Suchen des Microsoft Sentinel-Datenconnectors

In diesem Artikel werden alle unterstützten, sofort einsatzbereiten Datenconnectors und Links zu den Bereitstellungsschritten der einzelnen Connectors aufgeführt.

Wichtig

• Beachten Sie, dass sich Microsoft Sentinel Datenconnectors derzeit in der Vorschau befinden. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
• Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch integriert und an das Defender-Portal umgeleitet. Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfiehlt es sich, mit der Planung des Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen. Weitere Informationen finden Sie unter It's Time to Move: Reaktivierung Microsoft Sentinel Azure-Portal für mehr Sicherheit.

Datenconnectors sind als Teil der folgenden Angebote verfügbar:

• Lösungen: Viele Datenconnectors werden als Teil Microsoft Sentinel Lösung zusammen mit verwandten Inhalten wie Analyseregeln, Arbeitsmappen und Playbooks bereitgestellt. Weitere Informationen finden Sie im Microsoft Sentinel-Lösungskatalog.

• Communityconnectors: Weitere Datenconnectors werden von der Microsoft Sentinel-Community bereitgestellt und finden Sie im Azure Marketplace. Die Dokumentation für Communitydatenconnectors liegt in der Verantwortung des organization, der den Connector erstellt hat.

• Benutzerdefinierte Connectors: Wenn Sie über eine Datenquelle verfügen, die nicht aufgeführt ist oder derzeit nicht unterstützt wird, können Sie auch einen eigenen, benutzerdefinierten Connector erstellen. Weitere Informationen finden Sie unter Ressourcen zum Erstellen von Microsoft Sentinel benutzerdefinierten Connectors.

Hinweis

Informationen zur Featureverfügbarkeit in Clouds für US-Behörden finden Sie unter Microsoft Sentinel Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.

Voraussetzungen für den Datenconnector

Jeder Datenconnector verfügt über eigene Voraussetzungen. Zu den Voraussetzungen gehören möglicherweise bestimmte Berechtigungen für Ihren Azure Arbeitsbereich, Ihr Abonnement oder Ihre Richtlinie. Möglicherweise müssen Sie auch andere Anforderungen für die Partnerdatenquelle erfüllen, mit der Sie eine Verbindung herstellen.

Die Voraussetzungen für jeden Datenconnector sind in diesem Artikel und auf der Entsprechenden Datenconnectorseite in Microsoft Sentinel aufgeführt.

Azure AMA-basierten Datenconnectors (Monitor-Agent) erfordern eine Internetverbindung von dem System, auf dem der Agent installiert ist. Aktivieren Sie port 443 ausgehend, um eine Verbindung zwischen dem System, auf dem der Agent installiert ist, und Microsoft Sentinel zuzulassen.

Syslog- und CEF-Connectors (Common Event Format)

Die Protokollsammlung von vielen Sicherheitsappliances und -geräten wird von den Datenconnectors Syslog über AMA oder CEF (Common Event Format) über AMA in Microsoft Sentinel unterstützt. Um Daten für Microsoft Sentinel an Ihren Log Analytics-Arbeitsbereich weiterzuleiten, führen Sie die Schritte unter Erfassen von Syslog- und CEF-Nachrichten zum Microsoft Sentinel mit dem Azure Monitor-Agent aus. Diese Schritte umfassen die Installation der Microsoft Sentinel-Lösung für eine Sicherheits-Anwendung oder ein Gerät vom Inhaltshub in Microsoft Sentinel. Konfigurieren Sie dann syslog über AMA oder CEF (Common Event Format) über den AMA-Datenconnector, der für die Microsoft Sentinel installierten Lösung geeignet ist. Schließen Sie das Setup ab, indem Sie das Sicherheitsgerät oder Anwendung konfigurieren. Anweisungen zum Konfigurieren Ihres Sicherheitsgeräts oder Anwendung finden Sie in einem der folgenden Artikel:

• CEF über AMA-Datenconnector: Konfigurieren bestimmter Anwendung oder Geräts für Microsoft Sentinel Datenerfassung
• Syslog über AMA-Datenconnector: Konfigurieren bestimmter Anwendung oder Geräts für Microsoft Sentinel Datenerfassung

Wenden Sie sich an den Lösungsanbieter, um weitere Informationen zu erfahren oder wenn Informationen für die Anwendung oder das Gerät nicht verfügbar sind.

Benutzerdefinierte Protokolle über AMA-Connector

Filtern und erfassen Sie Protokolle im Textdateiformat aus Netzwerk- oder Sicherheitsanwendungen, die auf Windows- oder Linux Computern installiert sind, indem Sie den Benutzerdefinierten Protokollen über den AMA-Connector in Microsoft Sentinel verwenden. Weitere Informationen finden Sie in den folgenden Artikeln:

• Sammeln von Protokollen aus Textdateien mit dem Azure Monitor-Agent und Erfassung in Microsoft Sentinel
• Benutzerdefinierte Protokolle über den AMA-Datenconnector: Konfigurieren der Datenerfassung für Microsoft Sentinel aus bestimmten Anwendungen

Sentinel Von Datenconnectors

Hinweis

In der folgenden Tabelle sind die Datenconnectors aufgeführt, die im Microsoft Sentinel Content-Hub verfügbar sind. Die Connectors werden vom Produktanbieter unterstützt. Unterstützung finden Sie unter Dem Link Unterstützt von .

Tipp

Eine Liste der Tabellen, die in Microsoft Sentinel erfasst werden, und die Connectors, die diese erfassen, finden Sie unter Microsoft Sentinel Tabellen und zugeordneten Connectors.

1Kennwort (serverlos)

Unterstützt von:1Password

Der 1Password CCF-Connector ermöglicht es dem Benutzer, 1Password Audit-, Signin- & ItemUsage-Ereignisse in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OnePasswordEventLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• 1Kennwort-API-Token: Ein 1Password-API-Token ist erforderlich. Informationen zum Erstellen eines API-Tokens finden Sie in der 1Password-Dokumentation .

Setupanweisungen:

SCHRITT 1: Erstellen eines 1Password-API-Tokens:

Anleitungen zu diesem Schritt finden Sie in der Dokumentation zu 1Password .

SCHRITT 2 : Wählen Sie die richtige Basis-URL aus:

Es gibt mehrere 1Password-Server, die Ihre Ereignisse hosten können. Der richtige Server hängt von Ihrer Lizenz und Region ab. Befolgen Sie die 1Password-Dokumentation , um den richtigen Server auszuwählen. Geben Sie die Basis-URL wie in der Dokumentation angezeigt ein (einschließlich "https://" und ohne nachfolgendes "/").

SCHRITT 3 – Geben Sie Ihre 1Kennwortdetails ein:

Geben Sie die 1Password-Basis-URL & API-Token ein:

• Basis-URL: (Geben Sie Ihre Basis-URL ein)
• API-Token: (Geben Sie Ihr API-Token ein)
• Verbindung aktivieren/deaktivieren

---

1Kennwort (mit Azure Functions)

Unterstützt von:1Password

Die 1Password-Lösung für Microsoft Sentinel ermöglicht es Ihnen, Anmeldeversuche, Die Elementnutzung und Überwachungsereignisse aus Ihrem 1Password Business-Konto mithilfe der 1Password Events Reporting-API zu erfassen. Auf diese Weise können Sie Ereignisse in 1Password in Microsoft Sentinel zusammen mit den anderen Anwendungen und Diensten überwachen und untersuchen, die Ihr organization verwendet.

Zugrunde liegende Verwendete Microsoft-Technologien:

Diese Lösung hängt von den folgenden Technologien ab, von denen sich einige im Vorschauzustand befinden oder zusätzliche Erfassungs- oder Betriebskosten verursachen können:

• Azure Functions

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OnePasswordEventLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• 1Password-Ereignis-API-Token: Ein API-Token für 1Password-Ereignisse ist erforderlich. Weitere Informationen finden Sie unter 1Password-API.

Hinweis: Ein 1Password Business-Konto ist erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit 1Password herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten durch Azure führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Berichterstellungs-API für 1Password-Ereignisse

Befolgen Sie diese Anweisungen von 1Password, um ein Ereignisberichterstattungs-API-Token zu erhalten. Hinweis: Ein 1Password Business-Konto ist erforderlich.

SCHRITT 2: Bereitstellen der FunctionApp mithilfe der Schaltfläche DeployToAzure zum Erstellen der Tabelle, des dcr und der zugeordneten Azure-Funktion

WICHTIG: Vor der Bereitstellung des 1Password-Connectors muss eine benutzerdefinierte Tabelle erstellt werden.

Option 1: ARM-Vorlage (Azure Resource Manager)

Diese Methode stellt eine automatisierte Bereitstellung des 1Password-Connectors mithilfe eines ARM-Tempate-Elements bereit.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie den Arbeitsbereichsnamen, den Arbeitsbereichsnamen, den API-Schlüssel für 1Passwordereignisse und den URI ein.

• Das Standardzeitintervall ist auf fünf (5) Minuten festgelegt. Wenn Sie das Intervall ändern möchten, können Sie den Timertrigger der Funktions-App entsprechend anpassen (in der function.json-Datei nach der Bereitstellung), um überlappende Datenerfassung zu verhindern.
• Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.
5. Klicken Sie zum Bereitstellen auf Kaufen .

---

AbnormalSecurity (mit Azure-Funktion)

Unterstützt von:Abnormal Security

Der Datenconnector für ungewöhnliche Sicherheit bietet die Möglichkeit, Bedrohungs- und Fallprotokolle in Microsoft Sentinel mithilfe der Anormalen Sicherheits-REST-API zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ABNORMAL_THREAT_MESSAGES_CL	Nein	Nein
ABNORMAL_CASES_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Ungewöhnliches Sicherheits-API Token: Ein ungewöhnliches Sicherheits-API Token ist erforderlich. Weitere Informationen finden Sie unter Ungewöhnliche Sicherheits-API. Hinweis: Ein ungewöhnliches Sicherheitskonto ist erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der REST-API von Abnormal Security herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

SCHRITT 1: Konfigurationsschritte für die ungewöhnliche Sicherheits-API

Befolgen Sie diese Anweisungen von Abnormal Security, um die REST-API-Integration zu konfigurieren. Hinweis: Ein ungewöhnliches Sicherheitskonto ist erforderlich.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Datenconnector für abnormale Sicherheit bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus den folgenden Beispielen kopiert werden) sowie das Anormale Sicherheits-API Autorisierungstoken, das sofort verfügbar ist.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Diese Methode stellt eine automatisierte Bereitstellung des Connectors für ungewöhnliche Sicherheit mithilfe einer ARM-Vorlage bereit.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Microsoft Sentinel-Arbeitsbereichs-ID, Microsoft Sentinel gemeinsam genutzten Schlüssel und den Anormalen Sicherheits-REST-API-Schlüssel ein.

• Das Standardzeitintervall ist so festgelegt, dass die Daten der letzten fünf (5) Minuten abgerufen werden. Wenn das Zeitintervall geändert werden muss, wird empfohlen, den Timertrigger der Funktions-App entsprechend zu ändern (in der function.json-Datei, nach der Bereitstellung), um überlappende Datenerfassung zu verhindern.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.
5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Datenconnector für ungewöhnliche Sicherheit manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. AbnormalSecurityXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.8 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (optional) (fügen Sie alle anderen Einstellungen hinzu, die für die Funktions-App erforderlich sind). Legen Sie den Wert auf folgendes uri fest: <add uri value>

Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Azure Key Vault Referenzdokumentation.

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an:https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Agent 365

Unterstützt von:Microsoft Corporation

Agent 365 Datenconnector bietet umfassendere Einblicke in die Ki-Agent-Aktivität, indem ki-Agent-Telemetriedaten aus Agent 365, AI Foundry und Copilot in den Microsoft Sentinel Data Lake eingebunden werden, um das Verhalten, die Toolnutzung und die Ausführung des Agents mit Hunting-, Graph- und MCP-Workflows zu untersuchen. Daten aus diesem Connector werden verwendet, um das Verhalten des KI-Agents, die Verwendung von Tools und die Ausführung in Microsoft Sentinel zu untersuchen. Wenn Sie diese Workflows aktiviert haben, wird durch das Deaktivieren dieses Connectors verhindert, dass diese Untersuchungen durchgeführt werden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

---

AIShield

Unterstützt von:AIShield

Der AIShield-Connector ermöglicht es Benutzern, sich mit aiShield-Protokollen für benutzerdefinierte Verteidigungsmechanismen mit Microsoft Sentinel zu verbinden, sodass dynamische Dashboards, Arbeitsmappen, Notebooks und maßgeschneiderte Warnungen erstellt werden können, um die Untersuchung zu verbessern und Angriffe auf KI-Systeme zu verhindern. Sie bietet Benutzern mehr Einblick in die Ki-Ressourcen ihrer organization Sicherheitsfunktionen und verbessert die Sicherheitsfunktionen ihrer KI-Systeme. AIShield.GuArdIan analysiert die von LLM generierten Inhalte, um schädliche Inhalte zu identifizieren und zu mindern und schutz vor rechtlichen, richtlinienbasierten, rollenbasierten und nutzungsbasierten Verstößen zu schützen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AIShield_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Hinweis: Benutzer sollten das SaaS-Angebot AIShield genutzt haben, um Sicherheitsrisiken zu analysieren und benutzerdefinierte Verteidigungsmechanismen bereitzustellen, die zusammen mit ihrer KI-Ressource generiert wurden. Klicken Sie hier , um mehr zu erfahren oder sich in Verbindung zu setzen.

Setupanweisungen:

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet aiShield zu funktionieren, das mit der Microsoft Sentinel Solution bereitgestellt wird.

WICHTIG: Vor der Bereitstellung des AIShield-Connectors verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Alibaba Cloud ActionTrail (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Alibaba Cloud ActionTrail-Datenconnector bietet die Möglichkeit, Actiontrail-Ereignisse abzurufen, die in Alibaba Cloud Simple Log Service gespeichert sind, und sie über die SLS-REST-API in Microsoft Sentinel zu speichern. Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AliCloudActionTrailLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• SLS-REST-API-Anmeldeinformationen/-berechtigungen: AliCloudAccessKeyId und AliCloudAccessKeySecret sind für API-Aufrufe erforderlich. Ram-Richtlinienanweisung mit aktion von atleast log:GetLogStoreLogs über ressource acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} ist erforderlich, um einem RAM-Benutzer die Berechtigungen zum Aufrufen dieses Vorgangs zu gewähren.

Setupanweisungen:

Konfigurieren des Zugriffs auf die AliCloud SLS-API

Bevor Sie die API verwenden, müssen Sie Ihr Identitätskonto und Zugriffsschlüsselpaar für den effektiven Zugriff auf die API vorbereiten.

1. Es wird empfohlen, einen Ram-Benutzer (Resource Access Management) zu verwenden, um API-Vorgänge aufzurufen. Weitere Informationen finden Sie unter Erstellen eines RAM-Benutzers und Autorisieren des RAM-Benutzers für den Zugriff auf Simple Log Service.
2. Rufen Sie das Zugriffsschlüsselpaar für den RAM-Benutzer ab. Weitere Informationen finden Sie unter Abrufen des Zugriffsschlüsselpaars.

Notieren Sie sich die Details des Zugriffsschlüsselpaars für den nächsten Schritt.

Hinzufügen von ActionTrail Logstore

Um den Alibaba Cloud ActionTrail-Connector für Microsoft Sentinel zu aktivieren, klicken Sie auf ActionTrail Logstore hinzufügen, füllen Sie das Formular mit der Konfiguration der Alibaba Cloud-Umgebung aus, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

Alibaba Cloud Networking Data Connector (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Alibaba Cloud Networking-Datenconnector bietet die Möglichkeit, Alibaba Cloud-Netzwerkdaten über die SLS-REST-API (Simple Log Service) in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector bietet die Möglichkeit, VPC-Flussprotokolle, WAF-Protokolle und API-Gatewayprotokolle von Alibaba Cloud abzurufen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AlibabaCloudVPCFlowLogs	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Zugriff auf die Alibaba Cloud SLS-API: Alibaba Cloud Simple Log Service-Zugriff ist für die SLS-API erforderlich.

Setupanweisungen:

Konfigurieren des Zugriffs auf die AliCloud SLS-API

Bevor Sie die API verwenden, müssen Sie Ihr Identitätskonto und Zugriffsschlüsselpaar für den effektiven Zugriff auf die API vorbereiten.

1. Es wird empfohlen, einen Ram-Benutzer (Resource Access Management) zu verwenden, um API-Vorgänge aufzurufen. Weitere Informationen finden Sie unter Erstellen eines RAM-Benutzers und Autorisieren des RAM-Benutzers für den Zugriff auf Simple Log Service.
2. Rufen Sie das Zugriffsschlüsselpaar für den RAM-Benutzer ab. Weitere Informationen finden Sie unter Abrufen des Zugriffsschlüsselpaars.

Notieren Sie sich die Details des Zugriffsschlüsselpaars für den nächsten Schritt.

• Datenconnectors Grid (im Portal konfigurieren)

---

AliCloud (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der AliCloud-Datenconnector bietet die Möglichkeit, Protokolle mithilfe der Cloud-API aus Cloudanwendungen abzurufen und Ereignisse über die REST-API in Microsoft Sentinel zu speichern. Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AliCloud_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: AliCloudAccessKeyId und AliCloudAccessKey sind für API-Aufrufe erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Azure Blob Storage-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Blob Storage Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren AliCloud, die mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1: Konfigurationsschritte für die AliCloud-API

Befolgen Sie die Anweisungen, um die Anmeldeinformationen abzurufen.

1. Rufen Sie die AliCloudAccessKeyId und AliCloudAccessKey ab: Melden Sie sich im Konto an, klicken Sie auf AccessKey-Verwaltung, und klicken Sie dann auf Geheimnis anzeigen.
2. Speichern Sie Die Anmeldeinformationen für die Verwendung im Datenconnector.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den AliCloud-Datenconnector bereitstellen, müssen Sie die Arbeitsbereichs-ID und den Primären Schlüssel des Arbeitsbereichs verwenden (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des AliCloud-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects und AppInsightsWorkspaceResourceID ein, und stellen Sie sie bereit. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den AliCloud-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z.B. AliCloudXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): WorkspaceID WorkspaceKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Amazon Web Services

Unterstützt von:Microsoft Corporation

Anweisungen zum Herstellen einer Verbindung mit AWS und zum Streamen Ihrer CloudTrail-Protokolle in Microsoft Sentinel werden während des Installationsvorgangs angezeigt. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSCloudTrail	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Amazon Web Services CloudFront (über Codeless Connector Framework) (Vorschau)

Unterstützt von:Microsoft Corporation

Dieser Datenconnector ermöglicht die Integration von AWS CloudFront-Protokollen mit Microsoft Sentinel, um erweiterte Bedrohungserkennung, Untersuchung und Sicherheitsüberwachung zu unterstützen. Durch die Verwendung von Amazon S3 für die Protokollspeicherung und Amazon SQS für Message Queuing erfasst der Connector cloudFront-Zugriffsprotokolle zuverlässig in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSCloudFront_AccessLog_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Erfassen von AWS CloudFront-Protokollen in Microsoft Sentinel

Liste der erforderlichen Ressourcen:

• OIDC-Webidentitätsanbieter (Open ID Connect)
• IAM-Rolle
• Amazon S3-Bucket
• Amazon SQS
• AWS CloudFront-Konfiguration

1. AWS CloudFormation-Bereitstellung Zum Konfigurieren des Zugriffs auf AWS wurden zwei Vorlagen generiert, um die AWS-Umgebung so einzurichten, dass Protokolle aus einem S3-Bucket an Ihren Log Analytics-Arbeitsbereich gesendet werden.

Erstellen Sie für jede Vorlage Stack in AWS:

1. Wechseln Sie zu AWS CloudFormation Stacks.
2. Wählen Sie die Option "Vorlage angeben" und dann "Vorlagendatei hochladen", indem Sie auf "Datei auswählen" klicken und die entsprechende CloudFormation-Vorlagendatei auswählen, die unten angegeben ist. Klicken Sie auf "Datei auswählen", und wählen Sie die heruntergeladene Vorlage aus.
3. Klicken Sie auf "Weiter" und "Stapel erstellen".

• Vorlage 1: OpenID Connect-Authentifizierungsbereitstellung: <Variablenwert zum Zeitpunkt der Installation angegeben>
• Vorlage 2: Bereitstellung von AWSCloudFront-Ressourcen: <Variablenwert zum Zeitpunkt der Installation angegeben>

2. Neue Sammler verbinden Um AWS S3 für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

Elastischer Lastenausgleich für Amazon Web Services (über codeloses Connector-Framework)

Unterstützt von:Microsoft Corporation

Mit dem AWS-ELB-Connector (Elastic Load Balancing) für Microsoft Sentinel können Sie Zugriffs- und Flussprotokolle von AWS Application Load Balancern (ALB), Network Load Balancern (NLB) und Gateway Load Balancern (GLB) in Microsoft Sentinel erfassen. Diese Protokolle enthalten detaillierte Informationen zu Anforderungen, die von Ihren Lastenausgleichsmodulen und VPC-Datenverkehrsflüssen verarbeitet werden, sodass sicherheitsrelevante Überwachung, Bedrohungserkennung und Datenverkehrsanalyse ermöglicht werden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSALBAccessLogsData	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• AWS IAM Role ARN und SQS Queue: Ein AWS IAM Role ARN mit kontoübergreifendem Zugriff und einer FÜR S3-Ereignisbenachrichtigungen konfigurierten SQS-Warteschlangen-URL sind erforderlich. Anweisungen zum Einrichten finden Sie in der Dokumentation zum AWS ELB-Connector .

Setupanweisungen:

1. AWS CloudFormation-Bereitstellung Zum Konfigurieren des Zugriffs auf AWS verwenden Sie CloudFormation-Vorlagen, um die Umgebung so einzurichten, dass Protokolle von ALB, NLB und GLB an Ihren Log Analytics-Arbeitsbereich gesendet werden.

Bereitstellungsschritte:

1. Wechseln Sie zu den Cloudformationsvorlagen, und laden Sie die JSON-Vorlagendateien herunter.
2. Wechseln Sie zu AWS CloudFormation Stacks.
3. Stellen Sie zuerst die vorlage OIDCWebIdProvider.json bereit (überspringen Sie, wenn Sie bereits über einen OIDC-Anbieter für Microsoft Sentinel verfügen).
4. Stellen Sie dann die AWSS3ELB.json-Vorlage mit Ihren Parametern bereit.
5. Notieren Sie sich die folgenden Werte aus den Stapelausgaben:
   • IAMRoleArn
   • ALBSQSQueueURL
   • NLBSQSQueueURL
   • NLBFlowLogsSQSQueueURL
   • GLBFlowLogsSQSQueueURL

Konfiguration nach der Bereitstellung:

Nach erfolgreicher Bereitstellung des CloudFormation-Stapels:

• Wechseln Sie im Stapel zur Registerkarte Ressourcen .
• Suchen Sie den erstellten S3-Bucketnamen.
• Erstellen Sie im Bucket S3 die folgenden Ordner manuell:
  • ALBLogs
  • NLBAccessLogs
  • NLBFlowLogs
  • GLBFlowLogs

Senden von Protokollen:

Konfigurieren Sie nach der Ordnererstellung Ihre AWS-Dienste so, dass Protokolle an die entsprechenden Ordner gesendet werden:

• ALB-Zugriffsprotokolle:>ALBLogs/
• NLB-Zugriffsprotokolle :>NLBAccessLogs/
• NLB-Flussprotokolle :>NLBFlowLogs/
• GLB-Flussprotokolle :>GLBFlowLogs/

Diese Protokolle werden in den entsprechenden Tabellen in Ihrem Log Analytics-Arbeitsbereich erfasst.

Tabellenzuordnung:

• ALB-Zugriffsprotokolle:>AWSALBAccessLogsData
• NLB-Zugriffsprotokolle :>AWSNLBAccessLogsData
• NLB- und GLB-Flussprotokolle :>AWSELBFlowLogsData

Hinweis: In der AWSELBFlowLogsData Tabelle gibt eine Spalte mit dem Namen LogType an, ob eine Zeile aus NLB-Flussprotokollen oder GLB-Flussprotokollen stammt.

2. Neue Sammler verbinden Um den Connector zu aktivieren, klicken Sie auf Neuen Collector hinzufügen, geben Sie die erforderlichen Details ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

Amazon Web Services NetworkFirewall (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit diesem Datenconnector können Sie AWS Network Firewall-Protokolle für erweiterte Bedrohungserkennung und Sicherheitsüberwachung in Microsoft Sentinel erfassen. Durch die Nutzung von Amazon S3 und Amazon SQS leitet der Connector Netzwerkdatenverkehrsprotokolle, Angriffserkennungswarnungen und Firewallereignisse an Microsoft Sentinel weiter, wodurch Echtzeitanalysen und Korrelationen mit anderen Sicherheitsdaten ermöglicht werden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSNetworkFirewallFlow	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Erfassen von AWS NetworkFirewall-Protokollen in Microsoft Sentinel

Liste der erforderlichen Ressourcen:

• OIDC-Webidentitätsanbieter (Open ID Connect)
• IAM-Rolle
• Amazon S3-Bucket
• Amazon SQS
• AWSNetworkFirewall-Konfiguration
• Befolgen Sie diese Anweisungen für die Konfiguration des AWS NetworkFirewall Data-Connectors .

1. AWS CloudFormation-Bereitstellung Zum Konfigurieren des Zugriffs auf AWS wurden zwei Vorlagen generiert, um die AWS-Umgebung so einzurichten, dass Protokolle aus einem S3-Bucket an Ihren Log Analytics-Arbeitsbereich gesendet werden.

Erstellen Sie für jede Vorlage Stack in AWS:

1. Wechseln Sie zu AWS CloudFormation Stacks.
2. Wählen Sie die Option "Vorlage angeben" und dann "Vorlagendatei hochladen", indem Sie auf "Datei auswählen" klicken und die entsprechende CloudFormation-Vorlagendatei auswählen, die unten angegeben ist. Klicken Sie auf "Datei auswählen", und wählen Sie die heruntergeladene Vorlage aus.
3. Klicken Sie auf "Weiter" und "Stapel erstellen".

• Vorlage 1: OpenID Connect-Authentifizierungsbereitstellung: <Variablenwert zum Zeitpunkt der Installation angegeben>
• Vorlage 2: Bereitstellung von AWSNetworkFirewall-Ressourcen: <Variablenwert zur Installationszeit angegeben>

2. Neue Sammler verbinden Um AWS S3 für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

Amazon Web Services S3

Unterstützt von:Microsoft Corporation

Mit diesem Connector können Sie AWS-Dienstprotokolle erfassen, die in AWS S3-Buckets gesammelt werden, um Microsoft Sentinel. Die derzeit unterstützten Datentypen sind:

• AWS CloudTrail
• VPC-Flussprotokolle
• AWS GuardDuty
• AWSCloudWatch

Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSGuardDuty	Ja	Ja
AWSVPCFlow	Ja	Ja
AWSCloudTrail	Ja	Ja
AWSCloudWatch	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Umgebung: Sie müssen die folgenden AWS-Ressourcen definiert und konfiguriert haben: S3, Simple Queue Service (SQS), IAM-Rollen und Berechtigungsrichtlinien sowie die AWS-Dienste, deren Protokolle Sie erfassen möchten.

Setupanweisungen:

1. Einrichten Ihrer AWS-Umgebung

Es gibt zwei Optionen zum Einrichten Ihrer AWS-Umgebung zum Senden von Protokollen aus einem S3-Bucket an Ihren Log Analytics-Arbeitsbereich:

Setup mit PowerShell-Skript (empfohlen)

• Ausführen eines Skripts zum Einrichten der Umgebung: <Variablenwert zur Installationszeit angegeben>
• External ID (Arbeitsbereichs-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Manuelle Einrichtung

Befolgen Sie die Anweisungen unter dem folgenden Link, um die Umgebung einzurichten: Verbinden von AWS S3 mit Microsoft Sentinel

2. Verbindung hinzufügen

---

Amazon Web Services S3 DNS Route53 (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Dieser Connector ermöglicht die Erfassung von AWS Route 53-DNS-Protokollen in Microsoft Sentinel, um die Sichtbarkeit und Bedrohungserkennung zu verbessern. Es unterstützt DNS Resolver-Abfrageprotokolle, die direkt aus AWS S3-Buckets erfasst werden, während öffentliche DNS-Abfrageprotokolle und Route 53-Überwachungsprotokolle mithilfe der AWS CloudWatch- und CloudTrail-Connectors von Microsoft Sentinel erfasst werden können. Es werden umfassende Anweisungen bereitgestellt, die Sie durch die Einrichtung der einzelnen Protokolltypen führen. Nutzen Sie diesen Connector, um DNS-Aktivitäten zu überwachen, potenzielle Bedrohungen zu erkennen und Ihren Sicherheitsstatus in Cloudumgebungen zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSRoute53Resolver	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

AWS Route53

Dieser Connector ermöglicht die Erfassung von AWS Route 53-DNS-Protokollen in Microsoft Sentinel, wodurch ein verbesserter Einblick in die DNS-Aktivität und eine Stärkung der Funktionen zur Bedrohungserkennung bereitgestellt wird. Es unterstützt die direkte Erfassung von DNS Resolver-Abfrageprotokollen aus AWS S3-Buckets, während öffentliche DNS-Abfrageprotokolle und Route 53-Überwachungsprotokolle über die AWS CloudWatch- und CloudTrail-Connectors von Microsoft Sentinel erfasst werden können. Für jeden Protokolltyp werden ausführliche Setupanweisungen bereitgestellt. Verwenden Sie diesen Connector, um DEN DNS-Datenverkehr zu überwachen, potenzielle Bedrohungen zu identifizieren und Ihren Cloudsicherheitsstatus zu verbessern.

Sie können den folgenden Protokolltyp von AWS Route 53 in Microsoft Sentinel erfassen:

1. Abfrageprotokolle für Route 53 Resolver
2. Route 53: Abfrageprotokolle für öffentliche gehostete Zonen (über Microsoft Sentinel CloudWatch-Connector)
3. Route 53-Überwachungsprotokolle (über Microsoft Sentinel CloudTrail-Connector)

Erfassen von Route53 Resolver-Abfrageprotokollen in Microsoft Sentinel

Liste der erforderlichen Ressourcen:

• OIDC-Webidentitätsanbieter (Open ID Connect)
• IAM-Rolle
• Amazon S3-Bucket
• Amazon SQS
• Protokollierungskonfiguration für Route 53-Konfliktlöserabfragen
• VPC, die der Abfrageprotokollkonfiguration des Route53-Resolvers zugeordnet werden soll

1. AWS CloudFormation-Bereitstellung Zum Konfigurieren des Zugriffs auf AWS wurden zwei Vorlagen generiert, um die AWS-Umgebung so einzurichten, dass Protokolle aus einem S3-Bucket an Ihren Log Analytics-Arbeitsbereich gesendet werden.

Erstellen Sie für jede Vorlage Stack in AWS:

1. Wechseln Sie zu AWS CloudFormation Stacks.
2. Wählen Sie die Option "Vorlage angeben" und dann "Vorlagendatei hochladen", indem Sie auf "Datei auswählen" klicken und die entsprechende CloudFormation-Vorlagendatei auswählen, die unten angegeben ist. Klicken Sie auf "Datei auswählen", und wählen Sie die heruntergeladene Vorlage aus.
3. Klicken Sie auf "Weiter" und "Stapel erstellen".

• Vorlage 1: OpenID Connect-Authentifizierungsbereitstellung: <Variablenwert zum Zeitpunkt der Installation angegeben>
• Vorlage 2: Bereitstellung von AWS Route53-Ressourcen: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>

2. Neue Sammler verbinden Um Amazon Web Services S3 DNS Route53 für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

Erfassen von Abfrageprotokollen für öffentliche gehostete Routen 53-Zonen (über Microsoft Sentinel CloudWatch-Connector)

Abfrageprotokolle für öffentliche gehostete Zonen werden in den CloudWatch-Dienst in AWS exportiert. Wir können den "Amazon Web Services S3"-Connector verwenden, um CloudWatch-Protokolle von AWS in Microsoft Sentinel zu erfassen.

Schritt 1: Konfigurieren der Protokollierung für öffentliche DNS-Abfragen

1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die Route 53-Konsole unter AWS Route 53.
2. Navigieren Sie zu Route 53 > Gehostete Zonen.
3. Wählen Sie die öffentlich gehostete Zone aus, für die Sie die Abfrageprotokollierung konfigurieren möchten.
4. Klicken Sie im Bereich Details zur gehosteten Zone auf "Abfrageprotokollierung konfigurieren".
5. Wählen Sie eine vorhandene Protokollgruppe aus, oder erstellen Sie eine neue Protokollgruppe.
6. Wählen Sie Erstellen.

Schritt 2: Konfigurieren des Amazon Web Services S3-Datenconnectors für AWS CloudWatch

AWS CloudWatch-Protokolle können mithilfe der Lambda-Funktion in einen S3-Bucket exportiert werden. Befolgen Sie die Anweisungen im Amazon Web Services S3-Connector, um S3 öffentliche DNS-Abfragen aus AWS CloudWatch dem Bucket und dann in Microsoft Sentinel zu erfassen.

Erfassen von Route 53-Überwachungsprotokollen (über Microsoft Sentinel CloudTrail-Connector)

Route 53-Überwachungsprotokolle, d. h. die Protokolle im Zusammenhang mit Aktionen, die von Benutzern, Rollen oder AWS-Diensten in Route 53 ausgeführt werden, können über den AWS CloudTrail-Dienst in einen S3-Bucket exportiert werden. Wir können den "Amazon Web Services S3"-Connector verwenden, um CloudTrail-Protokolle von AWS in Microsoft Sentinel zu erfassen.

Schritt 1: Konfigurieren der Protokollierung für AWS Route 53-Überwachungsprotokolle

1. Melden Sie sich bei der AWS-Verwaltungskonsole an, und öffnen Sie die CloudTrail-Konsole unter AWS CloudTrail.
2. Wenn Sie noch keinen Trail haben, klicken Sie auf "Pfad erstellen".
3. Geben Sie im Feld Trail name (Pfadname) einen Namen für Ihren Pfad ein.
4. Wählen Sie Neuen S3-Bucket erstellen aus (Sie können auch einen vorhandenen S3-Bucket verwenden).
5. Übernehmen Sie die anderen Einstellungen als Standard, und klicken Sie auf Weiter.
6. Wählen Sie Ereignistyp aus, und stellen Sie sicher, dass Verwaltungsereignisse ausgewählt ist.
7. Api-Aktivität, "Lesen" und "Schreiben" auswählen
8. Klicken Sie auf "Weiter".
9. Überprüfen Sie die Einstellungen, und klicken Sie auf "Pfad erstellen".

Schritt 2: Konfigurieren des Amazon Web Services S3-Datenconnectors für AWS CloudTrail

Um Überwachungs- und Verwaltungsprotokolle von AWS CloudTrail in Microsoft Sentinel zu erfassen, befolgen Sie die Anweisungen im Amazon Web Services S3-Connector.

---

Amazon Web Services S3 WAF

Unterstützt von:Microsoft Corporation

Mit diesem Connector können Sie AWS WAF-Protokolle erfassen, die in AWS S3-Buckets gesammelt wurden, um Microsoft Sentinel. AWS WAF-Protokolle sind detaillierte Aufzeichnungen des Datenverkehrs, den Webzugriffssteuerungslisten (ACLs) analysieren, die für die Aufrechterhaltung der Sicherheit und Leistung von Webanwendungen unerlässlich sind. Diese Protokolle enthalten Informationen wie den Zeitpunkt, zu dem AWS WAF die Anforderung empfangen hat, die Besonderheiten der Anforderung und die Von der Regel ausgeführte Aktion, zu der die Anforderung übereinstimmt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSWAF	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

1. AWS CloudFormation-Bereitstellung Zum Konfigurieren des Zugriffs auf AWS wurden zwei Vorlagen generiert, um die AWS-Umgebung so einzurichten, dass Protokolle aus einem S3-Bucket an Ihren Log Analytics-Arbeitsbereich gesendet werden.

Erstellen Sie für jede Vorlage Stack in AWS:

1. Wechseln Sie zu AWS CloudFormation Stacks.
2. Wählen Sie die Option "Vorlage angeben" und dann "Vorlagendatei hochladen", indem Sie auf "Datei auswählen" klicken und die entsprechende CloudFormation-Vorlagendatei auswählen, die unten angegeben ist. Klicken Sie auf "Datei auswählen", und wählen Sie die heruntergeladene Vorlage aus.
3. Klicken Sie auf "Weiter" und "Stapel erstellen".

• Vorlage 1: OpenID Connect-Authentifizierungsbereitstellung: <Variablenwert zum Zeitpunkt der Installation angegeben>
• Vorlage 2: Bereitstellung von AWS WAF-Ressourcen: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>

2. Neue Sammler verbinden Um AWS S3 für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

Anvilogisch

Unterstützt von:Anvilogic

Mit dem Anvilogic-Datenconnector können Sie im Anvilogic ADX-Cluster generierte Ereignisse von Interesse in Ihre Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Anvilogic_Alerts_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Client-ID und geheimer Clientschlüssel für die Anvilogic-Anwendungsregistrierung: Für den Zugriff auf anvilogic ADX benötigen wir die Client-ID und den geheimen Clientschlüssel aus der Anvilogic-App-Registrierung.

Setupanweisungen:

Stellen Sie eine Verbindung mit Anvilogic her, um mit dem Sammeln von Ereignissen zu beginnen, die in Microsoft Sentinel

Füllen Sie das Formular aus, um Anvilogic Alerts in Ihrem Microsoft Sentinel

• Tokenendpunkt: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
• Anvilogic ADX-Bereich: (<avl_adx_uri>/.default)
• Anvilogic ADX-Anforderungs-URI: (<avl_adx_uri>/v2/rest/query)

---

ARGOS Cloud Security

Unterstützt von:ARGOS Cloud Security

Mit der ARGOS Cloud Security-Integration für Microsoft Sentinel können Sie alle wichtigen Cloudsicherheitsereignisse an einem Ort speichern. Auf diese Weise können Sie problemlos Dashboards und Warnungen erstellen und Ereignisse über mehrere Systeme hinweg korrelieren. Insgesamt verbessert dies den Sicherheitsstatus Und die Reaktion auf Sicherheitsvorfälle Ihrer organization.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ARGOS_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

1. Abonnieren von ARGOS

Stellen Sie sicher, dass Sie bereits ein ARGOS-Abonnement besitzen. Wenn nicht, navigieren Sie zu ARGOS Cloud Security , und registrieren Sie sich bei ARGOS.

Alternativ können Sie ARGOS auch über den Azure Marketplace erwerben.

2. Konfigurieren Sentinel Integration von ARGOS

Konfigurieren Sie ARGOS so, dass neue Erkennungen an Ihren Sentinel Arbeitsbereich weitergeleitet werden, indem Sie ARGOS mit Ihrer Arbeitsbereichs-ID und dem Primärschlüssel bereitstellen.

Es ist nicht erforderlich, eine benutzerdefinierte Infrastruktur bereitzustellen.

Geben Sie die Informationen auf der Konfigurationsseite von ARGOS Sentinel ein.

Neue Erkennungen werden automatisch weitergeleitet.

Weitere Informationen zur Integration

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Armis-Warnungsaktivitäten (mit Azure Functions)

Unterstützt von:Armis Corporation

Der Armis Alerts Activities-Connector bietet die Möglichkeit, Armis-Warnungen und -Aktivitäten über die Armis-REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation https://<YourArmisInstance>.armis.com/api/v1/docs . Der Connector bietet die Möglichkeit, Warnungs- und Aktivitätsinformationen von der Armis-Plattform abzurufen und Bedrohungen in Ihrer Umgebung zu identifizieren und zu priorisieren. Armis verwendet Ihre vorhandene Infrastruktur, um Geräte zu ermitteln und zu identifizieren, ohne Agents bereitstellen zu müssen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Armis_Alerts_CL	Nein	Nein
Armis_Activities_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Der geheime Armis-Schlüssel ist erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation unter https://<YourArmisInstance>.armis.com/api/v1/doc

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Armis-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt Log Analytics/Microsoft Sentinel Protokolle, klicken Sie auf Funktionen, suchen Sie nach dem Alias ArmisActivities/ArmisAlerts, und laden Sie den Funktionscode. Die Aktivierung der Funktion dauert in der Regel 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

SCHRITT 1: Konfigurationsschritte für die Armis-API

Befolgen Sie diese Anweisungen, um einen geheimen Armis-API-Schlüssel zu erstellen.

1. Melden Sie sich bei Ihrem Armis-instance an.
2. Navigieren Sie zu Einstellungen –> API Management
3. Wenn der geheime Schlüssel noch nicht erstellt wurde, drücken Sie die Schaltfläche Erstellen, um den geheimen Schlüssel zu erstellen.
4. Um auf die geheime Taste zuzugreifen, drücken Sie die Schaltfläche Anzeigen.
5. Der geheime Schlüssel kann jetzt kopiert und während der Konfiguration des Armis Alerts Activities-Connectors verwendet werden.

SCHRITT 2: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von Armis Alerts Activities Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 3: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von Armis Alerts Activities Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von Armis Alerts Activities Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 4: Zuweisen der Rolle "Mitwirkender" zur Anwendung in Microsoft Entra ID

Führen Sie die Schritte in diesem Abschnitt aus, um die Rolle zuzuweisen:

1. Wechseln Sie im Azure-Portal zu Ressourcengruppe, und wählen Sie Ihre Ressourcengruppe aus.
2. Wechseln Sie im linken Bereich zur Zugriffssteuerung (IAM).
3. Klicken Sie auf Hinzufügen, und wählen Sie dann Rollenzuweisung hinzufügen aus.
4. Wählen Sie Mitwirkender als Rolle aus, und klicken Sie auf Weiter.
5. Wählen Sie unter Zugriff zuweisen zu die Option aus User, group, or service principal.
6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den Namen Ihrer App ein, die Sie erstellt haben, und wählen Sie ihn aus.
7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink:/azure/role-based-access-control/role-assignments-portal

SCHRITT 5: Erstellen eines Schlüsseltresors

Befolgen Sie diese Anweisungen, um einen neuen Schlüsseltresor zu erstellen.

1. Wechseln Sie im Azure-Portal zu Schlüsseltresoren. Klicken Sie auf Erstellen.
2. Wählen Sie Unterbereich, Ressourcengruppe aus, und geben Sie einen eindeutigen Namen für keyvault an.

HINWEIS: Erstellen Sie einen separaten Schlüsseltresor für jeden API-Schlüssel in einem Arbeitsbereich.

SCHRITT 6: Erstellen einer Zugriffsrichtlinie in Keyvault

Befolgen Sie diese Anweisungen, um eine Zugriffsrichtlinie in Keyvault zu erstellen.

1. Wechseln Sie zu Schlüsseltresern, wählen Sie Ihren Schlüsseltresor aus, und wechseln Sie im linken Bereich zu Zugriffsrichtlinien. Klicken Sie auf Erstellen.
2. Wählen Sie alle Schlüssel & Berechtigungen für Geheimnisse aus. Klicken Sie auf Weiter.
3. Suchen Sie im Abschnitt prinzipal nach dem Anwendungsnamen, der in SCHRITT 2 generiert wurde. Klicken Sie auf Weiter.

HINWEIS: Stellen Sie sicher, dass das Berechtigungsmodell in der Zugriffskonfiguration von Key Vault auf "Tresorzugriffsrichtlinie" festgelegt ist.

SCHRITT 7: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Stellen Sie vor der Bereitstellung des Datenconnectors für Armis-Warnungsaktivitäten die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (die aus den folgenden Komponenten kopiert werden können) sowie die Armis-API-Autorisierungsschlüssel bereit.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Armis-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Informationen ein: Funktionsname Arbeitsbereichs-ID Arbeitsbereichsschlüssel Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Alert Table Name
   Armis-Aktivitätstabellenname Schweregrad (Standard: Niedrig) Armis Schedule KeyVault Name Azure Client-ID Azure Geheimer Clientmandanten-ID

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Datenconnector für Armis-Warnungsaktivitäten manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. ARMISXXXXX).

   e. Wählen Sie eine Runtime aus: Auswählen von Python 3.11

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Werten hinzu (Groß-/Kleinschreibung beachten): Arbeitsbereichs-ID Arbeitsbereichsschlüssel Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Alert Table Name Armis Activity Table Name Schweregrad (Standard: Niedrig) Armis Schedule KeyVault Name Azure Client-ID Azure Geheimer Client-Id Mandanten logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Armis-Geräte (mit Azure Functions)

Unterstützt von:Armis Corporation

Der Armis-Geräteconnector bietet die Möglichkeit, Armis-Geräte über die Armis-REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation https://<YourArmisInstance>.armis.com/api/v1/docs . Der Connector bietet die Möglichkeit, Geräteinformationen von der Armis-Plattform abzurufen. Armis verwendet Ihre vorhandene Infrastruktur, um Geräte zu ermitteln und zu identifizieren, ohne Agents bereitstellen zu müssen. Armis kann auch in Ihre vorhandenen IT-& Sicherheitsverwaltungstools integriert werden, um jedes einzelne in Ihrer Umgebung verwaltete oder nicht verwaltete Gerät zu identifizieren und zu klassifizieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Armis_Devices_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Der geheime Armis-Schlüssel ist erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation unter https://<YourArmisInstance>.armis.com/api/v1/doc

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Armis-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren. Führen Sie die folgenden Schritte aus, um den Kusto-Funktionsalias ArmisDevice zu erstellen.

SCHRITT 1: Konfigurationsschritte für die Armis-API

Befolgen Sie diese Anweisungen, um einen geheimen Armis-API-Schlüssel zu erstellen.

1. Melden Sie sich bei Ihrem Armis-instance an.
2. Navigieren Sie zu Einstellungen –> API Management
3. Wenn der geheime Schlüssel noch nicht erstellt wurde, drücken Sie die Schaltfläche Erstellen, um den geheimen Schlüssel zu erstellen.
4. Um auf die geheime Taste zuzugreifen, drücken Sie die Schaltfläche Anzeigen.
5. Der geheime Schlüssel kann jetzt kopiert und während der Konfiguration des Armis-Geräteconnectors verwendet werden.

SCHRITT 2: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von Armis Device Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 3: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von Armis Device Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von Armis Device Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 4: Zuweisen der Rolle "Mitwirkender" zur Anwendung in Microsoft Entra ID

Führen Sie die Schritte in diesem Abschnitt aus, um die Rolle zuzuweisen:

1. Wechseln Sie im Azure-Portal zu Ressourcengruppe, und wählen Sie Ihre Ressourcengruppe aus.
2. Wechseln Sie im linken Bereich zur Zugriffssteuerung (IAM).
3. Klicken Sie auf Hinzufügen, und wählen Sie dann Rollenzuweisung hinzufügen aus.
4. Wählen Sie Mitwirkender als Rolle aus, und klicken Sie auf Weiter.
5. Wählen Sie unter Zugriff zuweisen zu die Option aus User, group, or service principal.
6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den Namen Ihrer App ein, die Sie erstellt haben, und wählen Sie ihn aus.
7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink:/azure/role-based-access-control/role-assignments-portal

SCHRITT 5: Erstellen eines Schlüsseltresors

Befolgen Sie diese Anweisungen, um einen neuen Schlüsseltresor zu erstellen.

1. Wechseln Sie im Azure-Portal zu Schlüsseltresoren. Klicken Sie auf Erstellen.
2. Wählen Sie Unterbereich, Ressourcengruppe aus, und geben Sie einen eindeutigen Namen für keyvault an.

HINWEIS: Erstellen Sie einen separaten Schlüsseltresor für jeden API-Schlüssel in einem Arbeitsbereich.

SCHRITT 6: Erstellen einer Zugriffsrichtlinie in Keyvault

Befolgen Sie diese Anweisungen, um eine Zugriffsrichtlinie in Keyvault zu erstellen.

1. Wechseln Sie zu Schlüsseltresern, wählen Sie Ihren Schlüsseltresor aus, und wechseln Sie im linken Bereich zu Zugriffsrichtlinien. Klicken Sie auf Erstellen.
2. Wählen Sie alle Schlüssel & Berechtigungen für Geheimnisse aus. Klicken Sie auf Weiter.
3. Suchen Sie im Abschnitt prinzipal nach dem Anwendungsnamen, der in SCHRITT 2 generiert wurde. Klicken Sie auf Weiter.

HINWEIS: Stellen Sie sicher, dass das Berechtigungsmodell in der Zugriffskonfiguration von Key Vault auf "Tresorzugriffsrichtlinie" festgelegt ist.

SCHRITT 7: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Stellen Sie vor der Bereitstellung des Armis-Gerätedatenconnectors die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus den folgenden Komponenten kopiert werden können) sowie die Armis-API-Autorisierungsschlüssel bereit.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Armis-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Informationen ein: Funktionsname Arbeitsbereichs-ID Arbeitsbereichsschlüssel Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client-ID Azure Geheimer Client-ID Mandanten-ID

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Armis-Gerätedatenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. ARMISXXXXX).

   e. Wählen Sie eine Runtime aus: Auswählen von Python 3.11

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Werten hinzu (Groß-/Kleinschreibung beachten): Arbeitsbereichs-ID Arbeitsbereichsschlüssel Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client-ID Azure Geheimer Mandanten-ID logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Atlassian Beacon-Warnungen

Unterstützt von:DEFEND Ltd.

Atlassian Beacon ist ein Cloudprodukt, das für die intelligente Bedrohungserkennung auf den Atlassian-Plattformen (Jira, Confluence und Atlassian Admin) entwickelt wurde. Dies kann Benutzern helfen, riskante Benutzeraktivitäten für die Atlassian-Produktsuite zu erkennen, zu untersuchen und darauf zu reagieren. Die Lösung ist ein benutzerdefinierter Datenconnector von DEFEND Ltd., der verwendet wird, um die von Atlassian Beacon erfassten Warnungen über eine Logik-App für Microsoft Sentinel zu visualisieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
atlassian_beacon_alerts_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

1. Microsoft Sentinel

1. Navigieren Sie zur neu installierten Logik-App "Atlassian Beacon Integration".

2. Navigieren Sie zu "Logik-App-Designer".

3. Erweitern Sie "Beim Empfang einer HTTP-Anforderung"

4. Kopieren Sie die HTTP POST-URL.

2. Atlassian Beacon

1. Melden Sie sich mit einem Administratorkonto beim Atlassian Beacon an.

2. Navigieren Sie unter EINSTELLUNGEN zu "SIEM-Weiterleitung".

3. Fügen Sie die kopierte URL aus der Logik-App in das Textfeld ein.

4. Klicken Sie auf die Schaltfläche "Speichern".

3. Prüfung und Validierung

1. Melden Sie sich mit einem Administratorkonto beim Atlassian Beacon an.

2. Navigieren Sie unter EINSTELLUNGEN zu "SIEM-Weiterleitung".

3. Klicken Sie rechts neben dem neu konfigurierten Webhook auf die Schaltfläche "Test".

4. Navigieren Sie zu Microsoft Sentinel

5. Navigieren Sie zur neu installierten Logik-App.

6. Suchen Sie unter "Ausführungsverlauf" nach der Logik-App-Ausführung.

7. Suchen Nach Protokollen unter dem Tabellennamen "atlassian_beacon_alerts_CL" in "Logs"

8. Wenn die Analyseregel aktiviert wurde, sollte die obige Testwarnung einen Incident in Microsoft Sentinel

---

Atlassian Confluence Audit (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Atlassian Confluence Audit-Datenconnector bietet die Möglichkeit, Confluence Audit Records-Ereignisse über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ConfluenceAuditLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Zugriff auf die Atlassian Confluence-API: Die Berechtigung zum Verwalten von Confluence ist erforderlich, um Zugriff auf die Confluence-Überwachungsprotokoll-API zu erhalten. Weitere Informationen zur Überwachungs-API finden Sie in der Dokumentation zur Confluence-API .

Setupanweisungen:

Stellen Sie eine Verbindung mit der Atlassian Confluence-API her, um mit dem Sammeln von Überwachungsprotokollen in Microsoft Sentinel

Um den Atlassian Confluence-Connector für Microsoft Sentinel zu aktivieren, klicken Sie auf , um eine organization hinzuzufügen, füllen Sie das Formular mit den Anmeldeinformationen für die Confluence-Umgebung aus, und klicken Sie auf Verbinden. Führen Sie die folgenden Schritte aus, um ein API-Token zu erstellen.

• Datenconnectors Grid (im Portal konfigurieren)

---

Atlassian Jira Audit (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Atlassian Jira Audit-Datenconnector bietet die Möglichkeit, Jira Audit Records-Ereignisse über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Jira_Audit_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/Berechtigungen: JiraAccessToken, JiraUsername ist für die REST-API erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Jira-REST-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren. Führen Sie die folgenden Schritte aus, um den Kusto-Funktionsalias JiraAudit zu erstellen.

SCHRITT 1: Konfigurationsschritte für die Jira-API

Befolgen Sie die Anweisungen , um die Anmeldeinformationen abzurufen.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Geben Sie vor der Bereitstellung des Arbeitsbereichsdatenconnectors die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel an (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Jira Audit-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie JiraAccessToken, JiraUsername, JiraHomeSiteName (Kurzteil des Websitenamens, als Beispiel HOMESITENAME von https://community.atlassian.com) ein, und stellen Sie bereit. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden schrittweisen Anweisungen, um den Jira Audit-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. JiraAuditXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

3. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Atlassian Jira Audit (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Atlassian Jira Audit-Datenconnector bietet die Möglichkeit, Jira Audit Records-Ereignisse über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Jira_Audit_v2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Zugriff auf die Atlassian Jira-API: Die Berechtigung zum Verwalten von Jira ist erforderlich, um Zugriff auf die Jira-Überwachungsprotokoll-API zu erhalten. Weitere Informationen zur Überwachungs-API finden Sie in der Dokumentation zur Jira-API .

Setupanweisungen:

Um den Atlassian Jira-Connector für Microsoft Sentinel zu aktivieren, klicken Sie auf , um eine organization hinzuzufügen, füllen Sie das Formular mit den Anmeldeinformationen für die Jira-Umgebung aus, und klicken Sie auf Verbinden. Führen Sie die folgenden Schritte aus, um ein API-Token zu erstellen.

• Datenconnectors Grid (im Portal konfigurieren)

---

Auth0-Protokolle (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Auth0-Datenconnector ermöglicht das Erfassen von Protokollen aus der Auth0-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die Auth0-API zum Abrufen von Protokollen und unterstützt DCR-basierte Erfassungszeittransformationen , die die empfangenen Sicherheitsdaten in einer benutzerdefinierten Tabelle analysiert, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Auth0Logs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

SCHRITT 1: Konfigurationsschritte für die Auth0 Management-API

Befolgen Sie die Anweisungen, um die Anmeldeinformationen abzurufen.

1. Navigieren Sie im Auth0-Dashboard zu [Anwendungen>]
2. Wählen Sie Ihre Anwendung aus. Dies sollte eine [Machine-to-Machine]-Anwendung sein, die mit mindestens [read:logs] und [read:logs_users] Berechtigungen konfiguriert ist.
3. Kopieren [Domäne, ClientID, Geheimer Clientschlüssel]

• Basis-API-URL: (https://example.auth0.com)
• Client-ID: (Client-ID)
• Geheimer Clientschlüssel: (API-Token)
• Verbindung aktivieren/deaktivieren

---

Automatisierte Logik-WebCTRL

Unterstützt von:Microsoft Corporation

Sie können die Überwachungsprotokolle von der WebCTRL SQL Server-Instanz streamen, die auf Windows-Computern gehostet wird, die mit Ihrem Microsoft Sentinel verbunden sind. Mit dieser Verbindung können Sie Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Dadurch erhalten Sie Einblicke in Ihre industriellen Steuerungssysteme, die von der WebCTRL BAS-Anwendung überwacht oder gesteuert werden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Event	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

1. Installieren und integrieren Sie den Microsoft-Agent für Windows.

Erfahren Sie mehr über das Agent-Setup und das Onboarding von Windows-Ereignissen.

Sie können diesen Schritt überspringen, wenn Sie den Microsoft-Agent für Windows bereits installiert haben.

2. Konfigurieren der Windows-Aufgabe zum Lesen der Überwachungsdaten und Schreiben in Windows-Ereignisse

Installieren und konfigurieren Sie den geplanten Windows-Task, um die Überwachungsprotokolle in SQL zu lesen und als Windows-Ereignisse zu schreiben. Diese Windows-Ereignisse werden vom Agent gesammelt und an Microsoft Sentinel weitergeleitet.

Beachten Sie, dass die Daten von allen Computern im ausgewählten Arbeitsbereich gespeichert werden.

2.1 Kopieren Sie die Setupdateien an einen Speicherort auf dem Server.

2.2 Aktualisieren Sie die skriptparameterALC-WebCTRL-AuditPull.ps1 (kopiert im obigen Schritt), z. B. den Namen der Zieldatenbank und die Windows-Ereignis-IDs. Weitere Informationen finden Sie in den Kommentaren im Skript.

2.3 Aktualisieren Sie die Windows-Taskeinstellungen in der ALC-WebCTRL-AuditPullTaskConfig.xml Datei, die im obigen Schritt kopiert wurde, gemäß den Anforderungen. Weitere Informationen finden Sie in den Kommentaren in der Datei.

2.4 Installieren von Windows-Tasks mithilfe der aktualisierten Konfigurationen, die in den obigen Schritten kopiert wurden

• Führen Sie den folgenden Befehl in PowerShell aus dem Verzeichnis aus, in das die Setupdateien in Schritt 2.1 kopiert werden: <Variablenwert zur Installationszeit angegeben>

3. Überprüfen der Verbindung

Befolgen Sie die Anweisungen, um Ihre Konnektivität zu überprüfen:

Öffnen Sie Log Analytics, um zu überprüfen, ob die Protokolle mithilfe des Ereignisschemas empfangen werden.

Es kann etwa 20 Minuten dauern, bis die Verbindung Daten an Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, überprüfen Sie die folgenden Schritte auf Laufzeitprobleme:

1. Stellen Sie sicher, dass die geplante Aufgabe erstellt wurde und sich im Windows-Aufgabenplaner im Ausführungszustand befindet.

2. Überprüfen sie auf der Registerkarte "Verlauf" im Windows-Aufgabenplaner für die neu erstellte Aufgabe in Schritt 2.4 auf Fehler bei der Aufgabenausführung.

3. Stellen Sie sicher, dass die SQL Audit-Tabelle neue Datensätze enthält, während die geplante Windows-Aufgabe ausgeführt wird.

---

AWS EKS-Datenconnector (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der AWS EKS-Datenconnector bietet die Möglichkeit, Überwachungsprotokolle aus Amazon Elastic Kubernetes Service in Microsoft Sentinel zu erfassen. Dieser Connector konzentriert sich auf EKS-Überwachungsprotokolle (JSON-Format), die detaillierte Informationen zu API-Serveranforderungen, Authentifizierungsentscheidungen und Clusteraktivitäten enthalten. Der Connector verwendet AWS SQS, um Benachrichtigungen zu empfangen, wenn neue Überwachungsprotokolldateien in S3 exportiert werden. Dadurch wird die Echtzeitüberwachung und Compliancenachverfolgung für Ihre Kubernetes-Cluster sichergestellt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSEKSLogs_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

1. AWS CloudFormation-Bereitstellung

Verwenden Sie die bereitgestellten CloudFormation-Vorlagen, um die AWS-Umgebung für das Senden von Protokollen von AWS EKS an Ihren Log Analytics-Arbeitsbereich zu konfigurieren.

Bereitstellen von CloudFormation-Vorlagen in AWS:

1. Navigieren Sie zu AWS CloudFormation Stacks.
2. Klicken Sie auf Stapel erstellen, und wählen Sie Mit neuen Ressourcen aus.
3. Wählen Sie Vorlagendatei hochladen aus, und klicken Sie dann auf Datei auswählen , um die entsprechende CloudFormation-Vorlage (Vorlage 1 und 2 unten) hochzuladen.
4. Folgen Sie den Anweisungen, und klicken Sie auf Weiter , um die Stapelerstellung abzuschließen.
5. Nachdem die Stapel erstellt wurden, navigieren Sie zum Abschnitt Ausgaben . Führen Sie die Skripts in Schritt 1 und 2 aus dem Ausgabeabschnitt aus, und streamen Sie das Protokoll von eks in sqs.
6. Notieren Sie sich im selben Ausgabeabschnitt den Rollen-ARN und die SQS-Warteschlangen-URL , die im Verbindungsconnector verwendet werden sollen.

• Vorlage 1: Bereitstellung des OpenID Connect-Authentifizierungsanbieters: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Vorlage 2: AWS EKS-Ressourcenbereitstellung: <Variablenwert zum Zeitpunkt der Installation angegeben>

2. Verbinden neuer Kollektoren

Um AWS Security Hub Connector für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

• SentinelRoleArn: (Der AWS IAM-Rollen-ARN für den kontoübergreifenden Zugriff (z. B. arn:aws:iam::123456789012:role/SentinelRole))
• SentinelSQSQueueURL: (Die vollständige AWS EKS-Warteschlangen-URL (z. B. https://sqs.region.amazonaws.com/account-id/queue-name))

3. Verbinden

Aktivieren Sie den AWS EKS-Connector.

• Verbindung aktivieren/deaktivieren

---

AWS S3-Serverzugriffsprotokolle (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit diesem Connector können Sie AWS S3-Serverzugriffsprotokolle in Microsoft Sentinel erfassen. Diese Protokolle enthalten detaillierte Datensätze für Anforderungen, die an S3-Buckets gesendet werden, einschließlich des Anforderungstyps, des Zugriffs auf die Ressource, der Informationen zum Anfordernden und der Antwortdetails. Diese Protokolle sind nützlich, um Zugriffsmuster zu analysieren, Probleme zu debuggen und die Sicherheitskonformität sicherzustellen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSS3ServerAccess	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Umgebung: Sie müssen die folgenden AWS-Ressourcen definiert und konfiguriert haben: S3 Bucket, Simple Queue Service (SQS), IAM-Rollen und Berechtigungsrichtlinien.

Setupanweisungen:

1. AWS CloudFormation-Bereitstellung Zum Konfigurieren des Zugriffs auf AWS wurden zwei Vorlagen generiert, um die AWS-Umgebung zum Senden von Protokollen von einem AWS S3-Serverzugriff an Ihren Log Analytics-Arbeitsbereich einzurichten.

Bereitstellen von CloudFormation-Vorlagen in AWS:

1. Navigieren Sie zu AWS CloudFormation Stacks.
2. Klicken Sie auf Stapel erstellen, und wählen Sie Mit neuen Ressourcen aus.
3. Wählen Sie Vorlagendatei hochladen aus, und klicken Sie dann auf Datei auswählen , um die entsprechende bereitgestellte CloudFormation-Vorlage hochzuladen.
4. Folgen Sie den Anweisungen, und klicken Sie auf Weiter , um die Stapelerstellung abzuschließen.
5. Notieren Sie sich nach dem Erstellen der Stapel den Rollen-ARN und die SQS-Warteschlangen-URL.

• Vorlage 1: Bereitstellung des OpenID Connect-Authentifizierungsanbieters: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Vorlage 2: Bereitstellung von AWS Server Access-Ressourcen: <Variablenwert zur Installationszeit angegeben>

2. Neue Sammler verbinden Um aws S3 Server Access Logs Connector für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

AWS Security Hub-Ergebnisse (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Dieser Connector ermöglicht die Erfassung von AWS Security Hub-Ergebnissen, die in AWS S3-Buckets gesammelt werden, in Microsoft Sentinel. Es hilft, den Prozess der Überwachung und Verwaltung von Sicherheitswarnungen zu optimieren, indem AWS Security Hub Findings in die erweiterten Funktionen zur Bedrohungserkennung und -reaktion von Microsoft Sentinel integriert wird.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AWSSecurityHubFindings	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Umgebung: Sie müssen die folgenden AWS-Ressourcen definiert und konfiguriert haben: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), IAM-Rollen und Berechtigungsrichtlinien.

Setupanweisungen:

1. AWS CloudFormation-Bereitstellung Verwenden Sie die bereitgestellten CloudFormation-Vorlagen, um die AWS-Umgebung für das Senden von Protokollen von AWS Security Hub an Ihren Log Analytics-Arbeitsbereich zu konfigurieren.

Bereitstellen von CloudFormation-Vorlagen in AWS:

1. Navigieren Sie zu AWS CloudFormation Stacks.
2. Klicken Sie auf Stapel erstellen, und wählen Sie Mit neuen Ressourcen aus.
3. Wählen Sie Vorlagendatei hochladen aus, und klicken Sie dann auf Datei auswählen , um die entsprechende bereitgestellte CloudFormation-Vorlage hochzuladen.
4. Folgen Sie den Anweisungen, und klicken Sie auf Weiter , um die Stapelerstellung abzuschließen.
5. Notieren Sie sich nach dem Erstellen der Stapel den Rollen-ARN und die SQS-Warteschlangen-URL.

• Vorlage 1: Bereitstellung des OpenID Connect-Authentifizierungsanbieters: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Vorlage 2: Bereitstellung von AWS Security Hub-Ressourcen: <Variablenwert zum Zeitpunkt der Installation angegeben>

2. Neue Sammler verbinden Um AWS Security Hub Connector für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

Azure-Aktivität

Unterstützt von:Microsoft Corporation

Azure Aktivitätsprotokoll ist ein Abonnementprotokoll, das Einblick in Ereignisse auf Abonnementebene bietet, die in Azure auftreten. Dazu gehören Ereignisse aus Azure Resource Manager Betriebsdaten, Dienstintegritätsereignisse, Schreibvorgänge für die Ressourcen in Ihrem Abonnement und die status von Aktivitäten, die in ausgeführt werden. Azure. Weitere Informationen finden Sie in der Microsoft Sentinel Dokumentation .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureActivity	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

Azure Batch-Konto

Unterstützt von:Microsoft Corporation

Azure Batch Account ist eine eindeutig identifizierte Entität innerhalb des Batch-Diensts. Die meisten Batch-Lösungen verwenden Azure Storage zum Speichern von Ressourcen- und Ausgabedateien, sodass jedes Batch-Konto in der Regel einem entsprechenden Speicherkonto zugeordnet ist. Mit diesem Connector können Sie Ihr Azure Batch-Konto Diagnose Protokollen in Microsoft Sentinel streamen, sodass Sie aktivitäten kontinuierlich überwachen können. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Richtlinie: Für jeden Richtlinienzuweisungsbereich zugewiesene Besitzerrolle

Setupanweisungen:

Verbinden Sie Ihr Azure Batch-Konto, Diagnose sich bei Sentinel anmeldet.

Dieser Connector verwendet Azure Policy, um eine einzelne Azure Batch Account-Protokollstreamingkonfiguration auf eine Sammlung von Instanzen anzuwenden, die als Bereich definiert sind. Befolgen Sie die folgenden Anweisungen, um eine Richtlinie zu erstellen und auf alle aktuellen und zukünftigen Instanzen anzuwenden. Beachten Sie, dass Sie möglicherweise bereits über eine aktive Richtlinie für diesen Ressourcentyp verfügen.

Stream Diagnose von Protokollen aus Ihrem Azure Batch-Konto im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

---

Azure CloudNGFW von Palo Alto Networks

Unterstützt von:Palo Alto Networks

Cloud Next-Generation Firewall von Palo Alto Networks – ein Azure nativer ISV-Dienst – ist eine Palo Alto Networks Next-Generation Firewall (NGFW), die als cloudnativer Dienst auf Azure bereitgestellt wird. Sie können Cloud NGFW im Azure Marketplace ermitteln und in Ihrem Azure Virtual Networks (VNET) nutzen. Mit Cloud NGFW können Sie auf die kernigen NGFW-Funktionen wie App-ID und AUF URL-Filter basierende Technologien zugreifen. Es bietet Bedrohungsprävention und -erkennung durch cloudbasierte Sicherheitsdienste und Bedrohungsschutzsignaturen. Mit dem Connector können Sie Ihre Cloud NGFW-Protokolle ganz einfach mit Microsoft Sentinel verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Dadurch erhalten Sie mehr Einblick in das Netzwerk Ihrer organization und verbessern Ihre Sicherheitsfunktionen. Weitere Informationen finden Sie in der Dokumentation zu Cloud NGFW für Azure.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
fluentbit_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden von Cloud NGFW von Palo Alto Networks mit Microsoft Sentinel

Aktivieren Sie Protokolleinstellungen für alle Cloud-NGFWs von Palo Alto Networks.

In Ihrer Cloud NGFW-Ressource:

1. Navigieren Sie auf der Startseite zu den Protokolleinstellungen .
2. Stellen Sie sicher, dass das Kontrollkästchen Protokolleinstellungen aktivieren aktiviert ist.
3. Wählen Sie in der Dropdownliste Protokolleinstellungen den gewünschten Log Analytics-Arbeitsbereich aus.
4. Bestätigen Sie Ihre Auswahl und Konfigurationen.
5. Klicken Sie auf Speichern , um die Einstellungen anzuwenden.

---

Azure Cognitive Search

Unterstützt von:Microsoft Corporation

Azure Cognitive Search ist ein Cloudsuchdienst, der Entwicklern Infrastruktur, APIs und Tools zum Erstellen einer umfassenden Sucherfahrung für private, heterogene Inhalte in Web-, mobil- und Unternehmensanwendungen bereitstellt. Mit diesem Connector können Sie Ihre Azure Cognitive Search Diagnose-Protokolle in Microsoft Sentinel streamen, sodass Sie aktivitäten kontinuierlich überwachen können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Richtlinie: Für jeden Richtlinienzuweisungsbereich zugewiesene Besitzerrolle

Setupanweisungen:

Verbinden Sie Ihre Azure Cognitive Search Diagnose-Protokolle mit Sentinel.

Dieser Connector verwendet Azure Policy, um eine einzelne Azure Cognitive Search Protokollstreamingkonfiguration auf eine Sammlung von Instanzen anzuwenden, die als Bereich definiert sind. Befolgen Sie die folgenden Anweisungen, um eine Richtlinie zu erstellen und auf alle aktuellen und zukünftigen Instanzen anzuwenden. Beachten Sie, dass Sie möglicherweise bereits über eine aktive Richtlinie für diesen Ressourcentyp verfügen.

Stream Diagnose von Protokollen aus Ihrem Azure Cognitive Search im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

---

Azure DDoS Protection

Unterstützt von:Microsoft Corporation

Stellen Sie über Diagnoseprotokolle für öffentliche IP-Adressen eine Verbindung mit Azure DDoS Protection Standard Protokollen her. Zusätzlich zum zentralen DDoS-Schutz auf der Plattform bietet Azure DDoS Protection Standard erweiterte DDoS-Entschärfungsfunktionen gegen Netzwerkangriffe. Es wird automatisch optimiert, um Ihre spezifischen Azure Ressourcen zu schützen. Der Schutz ist während der Erstellung neuer virtueller Netzwerke einfach zu aktivieren. Dies kann auch nach der Erstellung erfolgen und erfordert keine Anwendungs- oder Ressourcenänderungen. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

Azure DevOps-Überwachungsprotokolle (über codeloses Connectorframework)

Unterstützt von:Microsoft Corporation

Mit dem Datenconnector Azure DevOps-Überwachungsprotokolle können Sie Überwachungsereignisse aus Azure DevOps in Microsoft Sentinel erfassen. Dieser Datenconnector wird mit dem Microsoft Sentinel Codeless Connector Framework erstellt und stellt eine nahtlose Integration sicher. Es nutzt die Azure DevOps-Überwachungsprotokoll-API, um detaillierte Überwachungsereignisse abzurufen, und unterstützt DCR-basierte Erfassungszeittransformationen. Diese Transformationen ermöglichen die Analyse der empfangenen Überwachungsdaten in einer benutzerdefinierten Tabelle während der Erfassung, wodurch die Abfrageleistung verbessert wird, da keine zusätzliche Analyse erforderlich ist. Mit diesem Connector können Sie einen besseren Einblick in Ihre Azure DevOps-Umgebung erhalten und Ihre Sicherheitsvorgänge optimieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ADOAuditLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure DevOps-Voraussetzung: Stellen Sie Folgendes sicher:
  1. Registrieren Sie eine Entra-App in Microsoft Entra Admin Center unter App-Registrierungen.
  2. Fügen Sie unter "API-Berechtigungen" Berechtigungen zu "Azure DevOps - vso.auditlog" hinzu.
  3. Generieren Sie unter "Zertifikate & Geheimnisse" den Wert "Geheimer Clientschlüssel".
  4. Fügen Sie in "Authentication" (Authentifizierung) den Umleitungs-URI im entsprechenden Feld hinzu.
  5. Aktivieren Sie im Azure DevOps-Einstellungen das Überwachungsprotokoll, und legen Sie Überwachungsprotokoll für den Benutzer anzeigen fest. Azure DevOps-Überwachung.
  6. Stellen Sie sicher, dass der Benutzer, der für die Verbindung mit dem Datenconnector zugewiesen ist, die Berechtigung Überwachungsprotokolle anzeigen explizit auf Jederzeit zulassen festgelegt ist. Diese Berechtigung ist für eine erfolgreiche Protokollerfassung unerlässlich. Wenn die Berechtigung widerrufen oder nicht erteilt wird, schlägt die Datenerfassung fehl oder wird unterbrochen.

Setupanweisungen:

**Stellen Sie eine Verbindung mit Azure DevOps her, um mit dem Sammeln von Überwachungsprotokollen in Microsoft Sentinel zu beginnen. **

1. Geben Sie die App ein, die Sie registriert haben.
2. Kopieren Sie im Abschnitt "Übersicht" die Anwendungs-ID (Client-ID).
3. Wählen Sie die Schaltfläche "Endpunkte" aus, und kopieren Sie den Wert "OAuth 2.0-Autorisierungsendpunkt (v2)" und den Wert "OAuth 2.0-Tokenendpunkt (v2)".
4. Kopieren Sie im Abschnitt "Zertifikate & Geheimnisse" den Wert "Geheimer Clientschlüssel", und speichern Sie ihn sicher.
5. Geben Sie unten die erforderlichen Informationen ein, und klicken Sie auf "Verbinden".

• Tokenendpunkt: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
• Autorisierungsendpunkt: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
• API-Endpunkt: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)

---

Azure Event Hub

Unterstützt von:Microsoft Corporation

Azure Event Hubs ist eine Big Data-Streamingplattform und ein Ereigniserfassungsdienst. Es kann Millionen von Ereignissen pro Sekunde empfangen und verarbeiten. Mit diesem Connector können Sie Ihre Azure Event Hub-Diagnose-Protokolle in Microsoft Sentinel streamen, sodass Sie aktivitäten kontinuierlich überwachen können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Richtlinie: Für jeden Richtlinienzuweisungsbereich zugewiesene Besitzerrolle

Setupanweisungen:

Verbinden Sie Ihre Azure Event Hub Diagnose sich bei Sentinel anmeldet.

Dieser Connector verwendet Azure Policy, um eine einzelne Azure Event Hub-Protokollstreamingkonfiguration auf eine Sammlung von Instanzen anzuwenden, die als Bereich definiert sind. Befolgen Sie die folgenden Anweisungen, um eine Richtlinie zu erstellen und auf alle aktuellen und zukünftigen Instanzen anzuwenden. Beachten Sie, dass Sie möglicherweise bereits über eine aktive Richtlinie für diesen Ressourcentyp verfügen.

Stream Diagnose von Protokollen aus Ihrem Azure Event Hub im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

---

Azure Firewall

Unterstützt von:Microsoft Corporation

Stellen Sie eine Verbindung mit Azure Firewall her. Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network Ressourcen schützt. Es handelt sich um eine vollständig zustandsbehaftete Firewall als Dienst mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein
AZFWApplicationRule	Ja	Ja
AZFWFlowTrace	Ja	Ja
AZFWFatFlow	Ja	Ja
AZFWNatRule	Ja	Ja
AZFWDnsQuery	Ja	Ja
AZFWIdpsSignature	Ja	Ja
AZFWInternalFqdnResolutionFailure	Ja	Ja
AZFWNetworkRule	Ja	Ja
AZFWThreatIntel	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Azure Key Vault

Unterstützt von:Microsoft Corporation

Azure Key Vault ist ein Clouddienst zum sicheren Speichern und Zugreifen auf Geheimnisse. Ein Geheimnis ist alles, auf das Sie den Zugriff genau steuern möchten, z. B. API-Schlüssel, Kennwörter, Zertifikate oder kryptografische Schlüssel. Mit diesem Connector können Sie Ihre Azure Key Vault Diagnose-Protokolle in Microsoft Sentinel streamen, sodass Sie aktivitäten in allen Instanzen kontinuierlich überwachen können. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

Azure Kubernetes Service (AKS)

Unterstützt von:Microsoft Corporation

Azure Kubernetes Service (AKS) ist ein vollständig verwalteter Open-Source-Containerorchestrierungsdienst, mit dem Sie Docker-Container und containerbasierte Anwendungen in einer Clusterumgebung bereitstellen, skalieren und verwalten können. Mit diesem Connector können Sie Ihre Azure Kubernetes Service (AKS) Diagnose Protokollen in Microsoft Sentinel streamen, sodass Sie aktivitäten in allen Instanzen kontinuierlich überwachen können. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

Azure Logic Apps

Unterstützt von:Microsoft Corporation

Azure Logic Apps ist eine cloudbasierte Plattform zum Erstellen und Ausführen automatisierter Workflows, die Ihre Apps, Daten, Dienste und Systeme integrieren. Mit diesem Connector können Sie Ihre Azure Logic Apps-Diagnose Protokolle in Microsoft Sentinel streamen, sodass Sie aktivitäten kontinuierlich überwachen können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Richtlinie: Für jeden Richtlinienzuweisungsbereich zugewiesene Besitzerrolle

Setupanweisungen:

Verbinden Sie Ihre Logic Apps-Diagnose-Protokolle mit Sentinel.

Dieser Connector verwendet Azure Policy, um eine einzelne Azure Logic Apps-Protokollstreamingkonfiguration auf eine Sammlung von Instanzen anzuwenden, die als Bereich definiert sind. Befolgen Sie die folgenden Anweisungen, um eine Richtlinie zu erstellen und auf alle aktuellen und zukünftigen Instanzen anzuwenden. Beachten Sie, dass Sie möglicherweise bereits über eine aktive Richtlinie für diesen Ressourcentyp verfügen.

Stream Diagnose von Protokollen aus Ihren Azure Logic Apps im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

---

Azure Resource Graph

Unterstützt von:Microsoft Corporation

Azure Resource Graph Connector bietet umfassendere Einblicke in Azure Ereignisse, indem er Details zu Azure Abonnements und Azure Ressourcen ergänzt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Richtlinie: Besitzerrollenberechtigung für Azure Abonnements

Setupanweisungen:

Verbinden von Azure Resource Graph mit Microsoft Sentinel

---

Azure Service Bus

Unterstützt von:Microsoft Corporation

Azure Service Bus ist ein vollständig verwalteter Unternehmensnachrichtenbroker mit Nachrichtenwarteschlangen und Themen zum Veröffentlichen/Abonnieren (in einem Namespace). Mit diesem Connector können Sie Ihre Azure Service Bus Diagnose-Protokolle in Microsoft Sentinel streamen, sodass Sie aktivitäten kontinuierlich überwachen können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Richtlinie: Für jeden Richtlinienzuweisungsbereich zugewiesene Besitzerrolle

Setupanweisungen:

Verbinden Sie Ihre Azure Service Bus Diagnose-Protokolle mit Sentinel.

Dieser Connector verwendet Azure Policy, um eine einzelne Azure Service Bus Protokollstreamingkonfiguration auf eine Sammlung von Instanzen anzuwenden, die als Bereich definiert sind. Befolgen Sie die folgenden Anweisungen, um eine Richtlinie zu erstellen und auf alle aktuellen und zukünftigen Instanzen anzuwenden. Beachten Sie, dass Sie möglicherweise bereits über eine aktive Richtlinie für diesen Ressourcentyp verfügen.

Stream Diagnose von Protokollen aus Ihrem Azure Service Bus im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

---

Azure SQL-Datenbanken

Unterstützt von:Microsoft Corporation

Azure SQL ist eine vollständig verwaltete PaaS-Datenbank-Engine (Platform-as-a-Service), die die meisten Datenbankverwaltungsfunktionen wie Upgrades, Patches, Sicherungen und Überwachung übernimmt, ohne dass die Benutzer einbezogen werden müssen. Mit diesem Connector können Sie Überwachungs- und Diagnoseprotokolle Ihrer Azure SQL Datenbanken in Microsoft Sentinel streamen, sodass Sie die Aktivität in allen Instanzen kontinuierlich überwachen können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

Azure-Speicherkonto

Unterstützt von:Microsoft Corporation

Azure Storage-Konto ist eine Cloudlösung für moderne Datenspeicherszenarien. Sie enthält alle Datenobjekte: Blobs, Dateien, Warteschlangen, Tabellen und Datenträger. Mit diesem Connector können Sie Azure Storage-Konten streamen, Diagnose sich in Ihrem Microsoft Sentinel Arbeitsbereich anmelden, sodass Sie aktivitäten in allen Instanzen kontinuierlich überwachen und schädliche Aktivitäten in Ihrem organization erkennen können. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureMetrics	Nein	Nein
StorageBlobLogs	Ja	Ja
StorageQueueLogs	Ja	Ja
StorageTableLogs	Ja	Ja
StorageFileLogs	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Richtlinie: Für jeden Richtlinienzuweisungsbereich zugewiesene Besitzerrolle

Setupanweisungen:

Verbinden Sie Ihr Azure-Speicherkonto, Diagnose sich bei Sentinel anmeldet.

Dieser Connector verwendet einen Satz von Azure Richtlinien, um eine Protokollstreamingkonfiguration auf eine Sammlung von Instanzen anzuwenden, die als Bereich definiert sind. Befolgen Sie die folgenden Anweisungen, um Richtlinien zu erstellen und auf alle aktuellen und zukünftigen Instanzen anzuwenden. Um die Diagnoseprotokollierung des Speicherkontos aus dem Azure Speicherkonto optimal nutzen zu können, empfiehlt es sich, die Diagnoseprotokollierung für alle Dienste innerhalb des Azure Speicherkontos – Blob, Warteschlange, Tabelle und Datei – zu aktivieren. Beachten Sie, dass Sie möglicherweise bereits über eine aktive Richtlinie für diesen Ressourcentyp verfügen.

Stream Diagnose von Protokollen aus Ihrem Azure-Speicherkonto im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

Stream Diagnose von Protokollen aus Ihrem Azure Storage-Blobdienst im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

Stream Diagnose von Protokollen aus Ihrem Azure Storage-Warteschlangendienst im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

Stream Diagnose von Protokollen ihres Azure Storage-Tabellendiensts im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

Stream Diagnose von Protokollen aus Ihrem Azure Storage File-Dienst im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

---

Azure Stream Analytics

Unterstützt von:Microsoft Corporation

Azure Stream Analytics ist eine Echtzeitanalyse- und komplexe Ereignisverarbeitungs-Engine, die darauf ausgelegt ist, große Mengen schneller Streamingdaten aus mehreren Quellen gleichzeitig zu analysieren und zu verarbeiten. Mit diesem Connector können Sie Ihren Azure Stream Analytics-Hub Diagnose Protokollen in Microsoft Sentinel streamen, sodass Sie Aktivitäten kontinuierlich überwachen können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Richtlinie: Für jeden Richtlinienzuweisungsbereich zugewiesene Besitzerrolle

Setupanweisungen:

Verbinden Sie ihre Azure Stream Analytics-Diagnose mit Sentinel.

Dieser Connector verwendet Azure Policy, um eine einzelne Azure Stream Analytics-Protokollstreamingkonfiguration auf eine Sammlung von Instanzen anzuwenden, die als Bereich definiert sind. Befolgen Sie die folgenden Anweisungen, um eine Richtlinie zu erstellen und auf alle aktuellen und zukünftigen Instanzen anzuwenden. Beachten Sie, dass Sie möglicherweise bereits über eine aktive Richtlinie für diesen Ressourcentyp verfügen.

Stream Diagnose von Protokollen aus Ihren Azure Stream Analytics im großen Stil

**Starten Sie den Azure Policy Zuweisungs-Assistenten, und führen Sie die Schritte aus. **

1. Klicken Sie auf der Registerkarte Grundlagen auf die Schaltfläche mit den drei Punkten unter Bereich, um Ihr Abonnement auszuwählen.
2. Wählen Sie auf der Registerkarte Parameter ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus, und lassen Sie alle Protokollkategorien, die Sie erfassen möchten, als "True" markiert.
3. Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie auf der Registerkarte Wartung das Kontrollkästchen Wartungstask erstellen .

---

Azure Web Application Firewall (WAF)

Unterstützt von:Microsoft Corporation

Stellen Sie eine Verbindung mit dem Azure Web Application Firewall (WAF) für Application Gateway, Front Door oder CDN her. Diese WAF schützt Ihre Anwendungen vor häufigen Webrisiken wie EINschleusung von SQL-Befehlen und websiteübergreifendem Skripting und ermöglicht es Ihnen, Regeln anzupassen, um falsch positive Ergebnisse zu reduzieren. Anweisungen zum Streamen Ihrer Microsoft Web Application Firewall-Protokolle in Microsoft Sentinel werden während des Installationsvorgangs angezeigt. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

BETTER Mobile Threat Defense (MTD)

Unterstützt von:Better Mobile Security Inc.

Der BETTER MTD-Connector ermöglicht Es Unternehmen, ihre Better MTD-Instanzen mit Microsoft Sentinel zu verbinden, um ihre Daten in Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen, sie zum Auslösen von Playbooks zu verwenden und die Funktionen zur Bedrohungssuche zu erweitern. Dies bietet Benutzern mehr Einblick in die mobilen Geräte ihrer organization und die Möglichkeit, den aktuellen sicherheitsrelevanten Status von Mobilgeräten schnell zu analysieren, was ihre gesamten SecOps-Funktionen verbessert.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
BetterMTDIncidentLog_CL	Nein	Nein
BetterMTDDeviceLog_CL	Nein	Nein
BetterMTDNetflowLog_CL	Nein	Nein
BetterMTDAppLog_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

1. Klicken Sie in Better MTD Console auf der Seitenleiste auf Integration.
2. Wählen Sie die Registerkarte Andere aus.
3. Klicken Sie auf die Schaltfläche KONTO HINZUFÜGEN, und wählen Sie Microsoft Sentinel aus den verfügbaren Integrationen aus.
4. Erstellen Sie die Integration:

• Legen Sie auf einen beschreibenden Namen fest ACCOUNT NAME , der die Integration identifiziert, und klicken Sie dann auf Weiter.
• Geben Sie und WORKSPACE IDPRIMARY KEY aus den folgenden Feldern ein, klicken Sie auf Speichern.
• Klicken Sie auf Fertig.

5. Einrichten der Bedrohungsrichtlinie (An welche Vorfälle gemeldet Microsoft Sentinelwerden sollen):

• Klicken Sie in der Better MTD-Konsole auf der Seitenleiste auf Richtlinien.
• Klicken Sie auf die Schaltfläche Bearbeiten der Richtlinie, die Sie verwenden.
• Wechseln Sie für jeden Incidenttyp, den Sie protokollieren möchten, zum Feld An Integrationen senden, und wählen Sie Sentinel

6. Weitere Informationen finden Sie in unserer Dokumentation.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

BeyondTrust PM Cloud

Unterstützt von:BeyondTrust

Der BeyondTrust Privilege Management Cloud-Datenconnector bietet die Möglichkeit, Aktivitätsüberwachungsprotokolle und Clientereignisprotokolle aus BeyondTrust PM Cloud in Microsoft Sentinel zu erfassen.

Dieser Connector verwendet Azure Functions, um Daten aus der BeyondTrust PM-Cloud-API zu pullen und in benutzerdefinierten Log Analytics-Tabellen zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
BeyondTrustPM_ActivityAudits_CL	Ja	Ja
BeyondTrustPM_ClientEvents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• BeyondTrust PM Cloud API-Anmeldeinformationen: BeyondTrust PM Cloud OAuth-Client-ID und geheimer Clientschlüssel sind erforderlich. Das API-Konto erfordert die folgenden Berechtigungen: Überwachung – Schreibgeschützt und Berichterstellung – Schreibgeschützt

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der BeyondTrust PM-Cloud-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

HINWEIS: Dieser Connector verwendet den OAuth 2.0-Clientanmeldeinformationsflow für die Authentifizierung mit der BeyondTrust PM-Cloud-API.

SCHRITT 1: Abrufen von BeyondTrust PM-Cloud-API-Anmeldeinformationen

Erstellen Sie ein API-Konto in Ihrem BeyondTrust PM Cloud instance mit OAuth-API-Anmeldeinformationen (Client-ID und geheimer Clientschlüssel). Das API-Konto erfordert die folgenden Berechtigungen:

• Überwachung – Schreibgeschützt
• Berichterstellung – Schreibgeschützt

SCHRITT 2: Bereitstellen des Connectors und der zugehörigen Azure-Funktion

Verwenden Sie diese Methode für die automatisierte Bereitstellung des BeyondTrust PM Cloud-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   portal.azure.com

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe (muss Ihren Log Analytics-Arbeitsbereich enthalten) und den Standort aus.

3. Geben Sie die erforderlichen Parameter ein:

   • Arbeitsbereichsname: Name Ihres Log Analytics-Arbeitsbereichs (z. B. beyondtrust-pmcloud)
   • BeyondTrust PM Cloud Base URL: Ihre Mandanten-URL (z. B. https://yourcompany.beyondtrustcloud.com)
   • BeyondTrust-Client-ID: OAuth-Client-ID aus Schritt 1
   • BeyondTrust-Clientgeheimnis: OAuth-Clientgeheimnis aus Schritt 1
   • Abrufintervall für Aktivitätsüberwachungen: Häufigkeit der Erfassung von Aktivitätsüberwachungen (Standard: 15 Minuten)
   • Abrufintervall für Clientereignisse: Häufigkeit der Erfassung von Clientereignissen (Standard: 5 Minuten)
   • Protokolliergrad: Protokolliergrad für die Problembehandlung (Standard: Informationen)
   • Zeitrahmen für verlaufsbezogene Daten: Zurück zum Sammeln von Daten bei der ersten Ausführung (Standard: 1 Tag)

4. Überprüfen Sie die erweiterten Einstellungen (Hostingplan-SKU, Speicherkontotyp), und passen Sie sie bei Bedarf an.

5. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

6. Klicken Sie zum Bereitstellen auf Kaufen .

7. Die Bereitstellung erstellt alle erforderlichen Ressourcen: Funktions-App, Speicherkonto, Datensammlungsendpunkt, Datensammlungsregeln und benutzerdefinierte Log Analytics-Tabellen.

8. Der Datenfluss sollte innerhalb von 15 bis 30 Minuten nach der Bereitstellung beginnen.

---

BigID DSSM Connector

Unterstützt von:BigID

Der BigID DSSM-Datenconnector bietet die Möglichkeit, BigID DSSM Fällen mit betroffenen Objekten und Datenquelleninformationen in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
BigIDDSPMCatalog_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• BigID DSSM API-Zugriff: Zugriff auf die BigID-DSSM-API über ein BigID-Token ist erforderlich.

Setupanweisungen:

Stellen Sie eine Verbindung mit der BigID-DSSM-API her, um mit dem Sammeln von BigID DSSM Fällen und betroffenen Objekten in Microsoft Sentinel

Geben Sie ihren BigID-Domänennamen wie "customer.bigid.cloud" und Ihr BigID-Token an. Generieren Sie ein Token in der BigID-Konsole über Einstellungen –> Zugriffsverwaltung –> Benutzer –> Wählen Sie Benutzer aus, und generieren Sie ein Token.

• BigID-FQDN: (BigID-FQDN)
• BigID-Token: (BigID-Token)
• Verbindung aktivieren/deaktivieren

---

Bitglas (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Bitglass-Datenconnector bietet die Möglichkeit, Sicherheitsereignisprotokolle der Bitglass-Dienste und weitere Ereignisse über die REST-API in Microsoft Sentinel abzurufen. Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
BitglassLogs_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: BitglassToken und BitglassServiceURL sind für API-Aufrufe erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Azure Blob Storage-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Blob Storage Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet bitglass zu funktionieren, das mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1: Konfigurationsschritte für die Bitglass-Protokollabruf-API

Befolgen Sie die Anweisungen, um die Anmeldeinformationen abzurufen.

1. Wenden Sie sich an den Bitglass-Support und erhalten Sie die BitglassToken- und BitglassServiceURL-Informationen .
2. Speichern Sie Die Anmeldeinformationen für die Verwendung im Datenconnector.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Bitglass-Datenconnector bereitstellen, verwenden Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Bitglass-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie BitglassToken, BitglassServiceURL ein, und stellen Sie sie bereit. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Bitglass-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. BitglassXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Bitwarden-Ereignisprotokolle

Unterstützt von:Bitwarden Inc

Dieser Connector bietet Einblicke in die Aktivitäten Ihrer Bitwarden-organization wie z. B. Benutzeraktivität (angemeldet, Kennwort geändert, 2fa usw.), Verschlüsselungsaktivität (erstellt, aktualisiert, gelöscht, freigegeben usw.), Sammlungsaktivität, organization Aktivität und vieles mehr.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
BitwardenEventLogs	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Bitwarden-Client-ID und geheimer Clientschlüssel: Ihr API-Schlüssel finden Sie in der Bitwarden-organization-Verwaltungskonsole. Weitere Informationen finden Sie in der Bitwarden-Dokumentation .

Setupanweisungen:

Verbinden von Bitwarden-Ereignisprotokollen mit Microsoft Sentinel

Ihren API-Schlüssel finden Sie in der Bitwarden organization-Verwaltungskonsole. Weitere Informationen finden Sie in der Bitwarden-Dokumentation . Selbstgehostete Bitwarden-Server müssen möglicherweise die URL ihrer Installation neu konfigurieren.

• Bitwarden-Identitäts-URL: (https://identity.bitwarden.com)
• Bitwarden-API-URL: (https://api.bitwarden.com)

---

blacklens.io

Unterstützt von:blacklens.io Support

Mit dem blacklens.io-Datenconnector können Sie Warnungen zur Verwaltung der Angriffsfläche von blacklens.io in Microsoft Sentinel erfassen, indem Sie eine webhookbasierte Logik-App und die Azure-API zur Erfassung von Protokollen verwenden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
blacklens_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure-Abonnement: Die Berechtigungen "Mitwirkender" oder "Besitzer" für die Ressourcengruppe sind erforderlich, um die Datenerfassungsinfrastruktur (Datensammlungsendpunkt, Datensammlungsregel, benutzerdefinierte Tabelle und Logik-App) bereitzustellen.
• blacklens.io-Konto: Ein blacklens.io-Konto mit Webhook-Integrationsfunktionen ist erforderlich.

Setupanweisungen:

Schritt 1: Bereitstellen der Datenerfassungsinfrastruktur

In diesem Schritt werden die erforderlichen Azure Ressourcen bereitgestellt: einen Datensammlungsendpunkt, eine Datensammlungsregel, eine benutzerdefinierte Log Analytics-Tabelle (blacklens_CL) und eine vom Webhook ausgelöste Logik-App.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   portal.azure.com

2. Wählen Sie das Abonnement, die Ressourcengruppe und den Standort aus, in dem sich Ihr Microsoft Sentinel Arbeitsbereich befindet.

3. Geben Sie den Arbeitsbereichsnamen Ihres Log Analytics-Arbeitsbereichs ein.

4. Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen.

Schritt 2: Kopieren der Webhook-URL

1. Nachdem die Bereitstellung erfolgreich war, klicken Sie auf der Bereitstellungsseite auf die Registerkarte Ausgaben.
2. Kopieren Sie den WebhookUrl-Wert .

Alternativ können Sie zu Übersicht über Logik-Apps >la-blacklens-alert-log-ingestion> navigieren und die Workflow-URL kopieren.

Schritt 3: Konfigurieren von blacklens.io

1. Melden Sie sich beim blacklens.io-Portal an.
2. Navigieren Sie zu den Webhook-Integrationseinstellungen.
3. Fügen Sie die in Schritt 2 kopierte Webhook-URL ein.
4. Speichern Sie die Konfiguration.
5. Verknüpfen Sie die Webhookintegration mit mindestens einer Benachrichtigungsrichtlinie , damit Warnungen an den Webhook gesendet werden.

Nach einigen Minuten sollte ein Testvorfall in Microsoft Sentinel angezeigt werden.

---

Box (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Box-Datenconnector bietet die Möglichkeit, die Ereignisse von Box Enterprise mithilfe der Box-REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Box-Dokumentation .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
BoxEvents_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Box-API-Anmeldeinformationen: Die JSON-Datei der Box-Konfiguration ist für die JWT-Authentifizierung der Box-REST-API erforderlich. Weitere Informationen finden Sie unter JWT-Authentifizierung.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Box-REST-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Connector ist von einem Parser abhängig, der auf der Kusto-Funktion basiert, um wie erwartete BoxEvents zu funktionieren, die mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1 : Konfiguration der Box-Ereignissammlung

Informationen zum Einrichten der JWT-Authentifizierung und zum Abrufen einer JSON-Datei mit Anmeldeinformationen finden Sie in der Dokumentation.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Box-Datenconnector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden können) sowie die Box JSON-Konfigurationsdatei, die sofort verfügbar ist.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Box-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden schrittweisen Anweisungen, um den Box-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Box-Ereignisse (CCF)

Unterstützt von:Microsoft Corporation

Der Box-Datenconnector bietet die Möglichkeit, die Ereignisse von Box Enterprise mithilfe der Box-REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Box-Dokumentation .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
BoxEventsV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Box-API-Anmeldeinformationen: Die Box-API erfordert eine Box App-Client-ID und einen geheimen Clientschlüssel für die Authentifizierung. Weitere Informationen finden Sie unter Gewähren von Clientanmeldeinformationen.
• Box Enterprise ID: Box Enterprise ID ist erforderlich, um die Verbindung herzustellen. Informationen zum Ermitteln der Enterprise-ID finden Sie in der Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Codeless Connecor Platform (CCF), um eine Verbindung mit der Box-REST-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen.

HINWEIS: Dieser Connector ist von einem Parser abhängig, der auf der Kusto-Funktion basiert, um wie erwartete BoxEvents zu funktionieren, die mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1: Erstellen einer benutzerdefinierten Box-Anwendung

Informationen zum Einrichten der Authentifizierung mit Clientanmeldeinformationen finden Sie in der Dokumentation.

SCHRITT 2: Abrufen der Werte für Client-ID und geheimer Clientschlüssel

Möglicherweise müssen Sie 2FA einrichten, um das Geheimnis abzurufen.

SCHRITT 3: Abrufen der Enterprise-ID von Box Admin Console

Informationen zum Ermitteln der Enterprise-ID finden Sie in der Dokumentation.

Stellen Sie eine Verbindung mit Box her, um mit dem Sammeln von Ereignisprotokollen in Microsoft Sentinel

Geben Sie unten die erforderlichen Werte an:

• Box Enterprise ID: (123456)

---

Check Point CloudGuard CNAPP Connector für Microsoft Sentinel

Unterstützt von:Check Point

Der CloudGuard-Datenconnector ermöglicht die Erfassung von Sicherheitsereignissen aus der CloudGuard-API in Microsoft Sentinel ™ mithilfe des Codeless Connector Frameworks von Microsoft Sentinel. Der Connector unterstützt DCR-basierte Erfassungszeittransformationen , die eingehende Sicherheitsereignisdaten in benutzerdefinierte Spalten analysieren. Dieser Vorabanalyseprozess entfällt die Notwendigkeit der Abfragezeitanalyse, was zu einer verbesserten Leistung für Datenabfragen führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CloudGuard_SecurityEvents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• CloudGuard-API-Schlüssel: Informationen zum Generieren eines API-Schlüssels finden Sie in den hier bereitgestellten Anweisungen.

Setupanweisungen:

Verbinden von CloudGuard-Sicherheitsereignissen mit Microsoft Sentinel

Um den CloudGuard-Connector für Microsoft Sentinel zu aktivieren, geben Sie unten die erforderlichen Informationen ein, und wählen Sie Verbinden aus.

• API-Schlüssel-ID: (api_key)
• API-Schlüsselgeheimnis: (api_secret)
• CloudGuard-Endpunkt-URL: (z. B. https://api.dome9.com)
• Filter: (Filter aus CloudGuard einfügen)
• Verbindung aktivieren/deaktivieren

---

Check Point Cyberint Alerts Connector (über Codeless Connector Framework)

Unterstützt von:Cyberint

Cyberint, ein Check Point Unternehmen, bietet eine Microsoft Sentinel Integration, um kritische Warnungen zu optimieren und erweiterte Threat Intelligence aus der Infinity External Risk Management-Lösung in Microsoft Sentinel. Dies vereinfacht den Prozess der Nachverfolgung der status von Tickets mit automatischen Synchronisierungsupdates über mehrere Systeme hinweg. Mit dieser neuen Integration für Microsoft Sentinel können bestehende Cyberint- und Microsoft Sentinel-Kunden protokolle basierend auf den Cyberint-Erkenntnissen problemlos in Microsoft Sentinel Plattform abrufen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
argsentdc_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Check Point Cyberint-API-Schlüssel, Argos-URL und Kundenname: Der Connector-API-Schlüssel, die Argos-URL und der Kundenname sind erforderlich.

Setupanweisungen:

Verbinden von Checkpoint Cyberint Alerts mit Microsoft Sentinel

Um den Connector zu aktivieren, geben Sie unten die erforderlichen Informationen an, und klicken Sie auf Verbinden.

Argos-URL – Cyberint-API-URL für Ihren Mandanten (z. B. https://your_tenant.cyberint.io) API-Token – Cyberint-API-Zugriffstoken Kundenname – Firmenname (Client), der Ihrem Cyberint instance Environments zugeordnet ist – durch Trennzeichen getrennte Liste der abzurufenden Umgebungen. Wenn leer, werden alle Umgebungen abgerufen.\n\nSchweregrad – durch Trennzeichen getrennte Liste der abzurufenden Schweregrade (niedrig, mittel, hoch, very_high). Wenn leer, werden alle Schweregrade abgerufen.\n\nAbrufintervall – Wie oft neue Warnungen in Minuten abgefragt werden (Standard: 5)\n\nCSV-Anlagen als JSON einschließen – Gibt an, ob CSV-Anlagen als JSON-Inhalt in Warnungen eingeschlossen werden sollen (Standard: false)

• Argos-URL: (https://your_tenant.cyberint.io)
• API-Token: (Cyberint-API-Zugriffstoken)
• Kundenname: (Firmenname (Kunde), der Ihrem Cyberint-instance zugeordnet ist)
• Umgebungen: (durch Trennzeichen getrennte Liste (z. B. Produktion,Staging))
• Schweregrad: (Durch Trennzeichen getrennte Liste (z. B. niedrig, mittel, hoch, very_high))
• Abrufintervall (Minuten): (Abrufhäufigkeit in Minuten)
• Einschließen von CSV-Anlagen als JSON: (true oder false)
• Verbindung aktivieren/deaktivieren

---

Check Point Cyberint IOC-Connector

Unterstützt von:Cyberint

Cyberint, ein Check Point Unternehmen, bietet eine Microsoft Sentinel Integration zum Erfassen von Indicators of Compromise (IOCs) aus der Infinity External Risk Management-Lösung in Microsoft Sentinel. Dieser Connector pullt automatisch den täglichen IOC-Feed – einschließlich schädlicher IP-Adressen, Domänen, URLs und Dateihashes – mit Bedrohungskontext wie Schweregrad, Zuverlässigkeit und erkannter Aktivität.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
iocsent_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Check Point Cyberint-API-Schlüssel, Argos-URL und Kundenname: Der Connector-API-Schlüssel, die Argos-URL und der Kundenname sind erforderlich.

Setupanweisungen:

Verbinden Check Point Cyberint IOC-Feed mit Microsoft Sentinel

Um den Connector zu aktivieren, geben Sie unten die erforderlichen Informationen an, und klicken Sie auf Verbinden.

Argos-URL – Cyberint-API-URL für Ihren Mandanten (z. B. https://your_tenant.cyberint.io) API-Token – Cyberint-API-Zugriffstoken Kundenname – Firmenname (Client), der Ihrem Cyberint-instance

• Argos-URL: (https://your-company.cyberint.io)
• API-Token: (API-Token)
• Kundenname: (Firmenname (Kunde), der Ihrem Cyberint-instance zugeordnet ist)
• Verbindung aktivieren/deaktivieren

---

Cisco ASA/FTD über AMA

Unterstützt von:Microsoft Corporation

Mit dem Cisco ASA-Firewallconnector können Sie Ihre Cisco ASA-Protokolle ganz einfach mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Dadurch erhalten Sie mehr Einblick in das Netzwerk Ihrer organization und verbessern Ihre Sicherheitsfunktionen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommonSecurityLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Um Daten von nicht Azure VMs zu sammeln, muss Azure Arc installiert und aktiviert sein. Weitere Informationen

Setupanweisungen:

Aktivieren der Datensammlungsregel

Cisco ASA/FTD-Ereignisprotokolle werden nur von Linux-Agents gesammelt.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Führen Sie den folgenden Befehl aus, um den Cisco ASA/FTD-Collector zu installieren und anzuwenden:

• Wert: <Variablenwert, der zum Zeitpunkt der Installation angegeben wurde>

---

Cisco Cloud Security (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Mit der Cisco Cloud Security-Lösung für Microsoft Sentinel können Sie Cisco Secure Access- und Cisco Umbrella-Protokolle, die in Amazon S3 gespeichert sind, mithilfe der Amazon S3-REST-API in Microsoft Sentinel erfassen. Weitere Informationen finden Sie in der Dokumentation zur Protokollverwaltung von Cisco Cloud Security .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Cisco_Umbrella_dns_CL	Ja	Ja
Cisco_Umbrella_proxy_CL	Ja	Ja
Cisco_Umbrella_ip_CL	Ja	Ja
Cisco_Umbrella_cloudfirewall_CL	Ja	Ja
Cisco_Umbrella_firewall_CL	Ja	Ja
Cisco_Umbrella_dlp_CL	Nein	Nein
Cisco_Umbrella_ravpnlogs_CL	Nein	Nein
Cisco_Umbrella_audit_CL	Nein	Nein
Cisco_Umbrella_ztna_CL	Nein	Nein
Cisco_Umbrella_intrusion_CL	Nein	Nein
Cisco_Umbrella_ztaflow_CL	Nein	Nein
Cisco_Umbrella_fileevent_CL	Nein	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Amazon S3-REST-API-Anmeldeinformationen/-berechtigungen: AWS-Zugriffsschlüssel-ID, AWS-Geheimer Zugriffsschlüssel, AWS S3-Bucketname sind für die Amazon S3-REST-API erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Amazon S3-REST-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

HINWEIS: Dieser Connector wurde aktualisiert, um Die Version 14 des Cisco Cloud Security-Protokollschemas zu unterstützen.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Functions-App zu verwenden.

HINWEIS: Dieser Connector verwendet einen Parser, der auf einer Kusto-Funktion basiert, um Felder zu normalisieren. Führen Sie die folgenden Schritte aus, um den Kusto-Funktionsalias Cisco_Umbrella zu erstellen.

SCHRITT 1: Konfiguration der Cisco Cloud Security-Protokollsammlung

Lesen Sie die Dokumentation , und befolgen Sie die Anweisungen zum Einrichten der Protokollierung und Abrufen von Anmeldeinformationen.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordneten Azure Functions

WICHTIG: Bevor Sie den Cisco Cloud Security-Datenconnector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden können) sowie die Anmeldeinformationen für die Amazon S3-REST-API-Autorisierung, die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Cisco Cloud Security-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, S3Bucket, AWSAccessKeyId und AWSSecretAccessKey ein Hinweis: Verwenden Sie für das S3Bucket den Wert, auf den Cisco verweist, als S3 Bucket-Datenpfad , und fügen Sie am Ende des Werts einen / (Schrägstrich) hinzu.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Cisco Cloud Security-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

Schritt 1: Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Functions Entwicklung vorbereiten.

1. Laden Sie die Azure Functions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

3. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Cisco Cloud Security (mit elastischem Premium-Plan) (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Cisco Umbrella-Datenconnector bietet die Möglichkeit, in Amazon S3 gespeicherte Cisco Umbrella-Ereignisse mithilfe der Amazon S3-REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur Protokollverwaltung von Cisco Umbrella .

HINWEIS: Dieser Datenconnector verwendet den Azure Functions Premium-Plan, um sichere Erfassungsfunktionen zu ermöglichen, und verursacht zusätzliche Kosten. Weitere Preisdetails finden Sie hier.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Cisco_Umbrella_dns_CL	Ja	Ja
Cisco_Umbrella_proxy_CL	Ja	Ja
Cisco_Umbrella_ip_CL	Ja	Ja
Cisco_Umbrella_cloudfirewall_CL	Ja	Ja
Cisco_Umbrella_firewall_CL	Ja	Ja
Cisco_Umbrella_dlp_CL	Nein	Nein
Cisco_Umbrella_ravpnlogs_CL	Nein	Nein
Cisco_Umbrella_audit_CL	Nein	Nein
Cisco_Umbrella_ztna_CL	Nein	Nein
Cisco_Umbrella_intrusion_CL	Nein	Nein
Cisco_Umbrella_ztaflow_CL	Nein	Nein
Cisco_Umbrella_fileevent_CL	Nein	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Amazon S3-REST-API-Anmeldeinformationen/-berechtigungen: AWS-Zugriffsschlüssel-ID, AWS-Geheimer Zugriffsschlüssel, AWS S3-Bucketname sind für die Amazon S3-REST-API erforderlich.
• Virtual Network-Berechtigungen (für den privaten Zugriff): Für den Zugriff auf ein privates Speicherkonto sind Berechtigungen vom Typ Netzwerkmitwirkender für die Virtual Network und das Subnetz erforderlich. Das Subnetz muss für die VNET-Integration der Funktions-App an Microsoft.Web/serverFarms delegiert werden.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Amazon S3-REST-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

HINWEIS: Dieser Connector wurde aktualisiert, um cisco umbrella log schema Version 14 zu unterstützen.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Functions-App zu verwenden.

HINWEIS: Dieser Connector verwendet einen Parser, der auf einer Kusto-Funktion basiert, um Felder zu normalisieren. Führen Sie die folgenden Schritte aus, um den Kusto-Funktionsalias Cisco_Umbrella zu erstellen.

SCHRITT 1: Netzwerkvoraussetzungen für den privaten Zugriff

WICHTIG: Stellen Sie bei der Bereitstellung mit privatem Speicherkontozugriff sicher, dass die folgenden Netzwerkvoraussetzungen erfüllt sind:

• Virtual Network: Ein vorhandenes Virtual Network (VNet) muss verfügbar sein.
• Subnetz: Ein dediziertes Subnetz innerhalb des VNET muss an Microsoft.Web/serverFarms delegiert werden , um die VNET-Integration der Funktions-App zu ermöglichen.
• Subnetzdelegierung: Konfigurieren Sie die Subnetzdelegierung mithilfe von Azure-Portal, arm-Vorlage oder Azure CLI:
  • Azure-Portal: Wechseln Sie zu Virtuelle Netzwerke → Wählen Sie Ihr VNET → Subnetze → Subnetz auswählen → Subnetz an Dienst delegieren → Microsoft.Web/serverFarms auswählen
  • Azure CLI:az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
• Private Endpunkte: Die Bereitstellung erstellt private Endpunkte für Speicherkontodienste (Blob, Datei, Warteschlange, Tabelle) innerhalb desselben Subnetzes.

SCHRITT 2 : Konfiguration der Cisco Umbrella-Protokollsammlung

Lesen Sie die Dokumentation , und befolgen Sie die Anweisungen zum Einrichten der Protokollierung und Abrufen von Anmeldeinformationen.

SCHRITT 3: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordneten Azure Functions

WICHTIG: Vor der Bereitstellung des Cisco Umbrella-Datenconnectors verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus den folgenden Beispielen kopiert werden) sowie die Anmeldeinformationen für die Amazon S3-REST-API-Autorisierung, die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Cisco Umbrella-Datenconnectors mithilfe von ARM Tempate.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey ein.

4. Für bereitstellung mit privatem Zugriff: Geben Sie auch existingVnetName, existingVnetResourceGroupName und existingSubnetName ein (stellen Sie sicher, dass das Subnetz an Microsoft.Web/serverFarms delegiert ist). Hinweis: Verwenden Sie für das S3Bucket den Wert, auf den Cisco als S3 Bucket-Datenpfad verweist, und fügen Sie am Ende des Werts einen / (Schrägstrich) hinzu.

5. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

6. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Cisco Umbrella-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

Schritt 1: Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Functions Entwicklung vorbereiten.

1. Laden Sie die Azure Functions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

3. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Cisco Duo Security (mit Azure Functions)

Unterstützt von:Cisco Systems

Der Cisco Duo Security-Datenconnector bietet die Möglichkeit, Authentifizierungsprotokolle, Administratorprotokolle, Telefonieprotokolle, Offlineregistrierungsprotokolle und Trust Monitor-Ereignisse mithilfe der Cisco Duo Admin-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CiscoDuo_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Cisco Duo-API-Anmeldeinformationen: Cisco Duo-API-Anmeldeinformationen mit der Berechtigung Leseprotokoll erteilen ist für die Cisco Duo-API erforderlich. Weitere Informationen zum Erstellen von Cisco Duo-API-Anmeldeinformationen finden Sie in der Dokumentation .

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Cisco Duo-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet ciscoDuo zu funktionieren, die mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1: Abrufen von Cisco Duo Admin API-Anmeldeinformationen

1. Befolgen Sie die Anweisungen zum Abrufen des Integrationsschlüssels, des geheimen Schlüssels und des API-Hostnamens. Verwenden Sie im 4. Schritt der Anweisungen die Berechtigung Zum Lesen von Protokollen erteilen.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Datenconnector bereitstellen, haben Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden) sowie Azure Blob Storage Verbindungszeichenfolge- und Containernamen sofort verfügbar.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie cisco Duo Integration Key, Cisco Duo Secret Key, Cisco Duo API Hostname, Cisco Duo Log Types, Microsoft Sentinel Workspace ID, Microsoft Sentinel Shared Key ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (groß-/kleinschreibung beachten): CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Cisco ETD (mit Azure Functions)

Unterstützt von:N/A

Der Connector ruft Daten von der ETD-API für die Bedrohungsanalyse ab.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CiscoETD_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Email Threat Defense-API, API-Schlüssel, Client-ID und Geheimnis: Stellen Sie sicher, dass Sie über den API-Schlüssel, die Client-ID und den geheimen Schlüssel verfügen.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der ETD-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen.

Führen Sie die Bereitstellungsschritte aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den ETD-Datenconnector bereitstellen, müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel verwenden (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

arm-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Cisco ETD-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

3. Geben Sie WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Region ein.

4. Klicken Sie zum Bereitstellen auf Erstellen .

---

Cisco Meraki (mit REST-API)

Unterstützt von:Microsoft Corporation

Mit dem Cisco Meraki-Connector können Sie Ihre Cisco Meraki organization-Ereignisse (Sicherheitsereignisse, Konfigurationsänderungen und API-Anforderungen) problemlos mit Microsoft Sentinel verbinden. Der Datenconnector verwendet die Cisco Meraki REST-API zum Abrufen von Protokollen und unterstützt DCR-basierte Erfassungszeittransformationen , die die empfangenen Daten analysiert und in ASIM und benutzerdefinierten Tabellen in Ihrem Log Analytics-Arbeitsbereich erfasst. Dieser Datenconnector profitiert von Funktionen wie DER DCR-basierten Erfassungszeitfilterung und der Datennormalisierung.

Unterstütztes ASIM-Schema:

1. Netzwerksitzung
2. Websitzung
3. Audit-Ereignis

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ASimNetworkSessionLogs	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Cisco Meraki-REST-API-Schlüssel: Aktivieren Sie den API-Zugriff in Cisco Meraki, und generieren Sie den API-Schlüssel. Weitere Informationen finden Sie in der offiziellen Dokumentation zu Cisco Meraki.
• Cisco Meraki Organization ID: Rufen Sie Ihre Cisco Meraki-organization-ID ab, um Sicherheitsereignisse abzurufen. Führen Sie die Schritte in der Dokumentation aus, um die Organisations-ID mithilfe des meraki-API-Schlüssels abzurufen, den Sie im vorherigen Schritt erhalten haben.

Setupanweisungen:

Verbinden von Cisco Meraki-Ereignissen mit Microsoft Sentinel

Derzeit ermöglicht dieser Connector das Erfassen von Ereignissen vom folgenden Cisco Meraki-REST-API-Endpunkt :

1. Abrufen von Sicherheitsereignissen der Organisationsappliance Dieser Connector analysiert IDS-Warnungsereignisse in ASimNetworkSessionLogs Table- und File Scanned-Ereignisse in der ASimWebSessionLogs-Tabelle.
2. Abrufen von Organisations-API-Anforderungen Dieser Connector analysiert Ereignisse in der ASimWebSessionLogs-Tabelle.
3. Abrufen von Organisationskonfigurationsänderungen Dieser Connector analysiert Ereignisse in der Tabelle ASimAuditEventLogs.

• Organisations-ID: (OrganizationId)
• API-Schlüssel: (ApiKey)
• Verbindung aktivieren/deaktivieren

---

Cisco Secure Endpoint (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Datenconnector für Cisco Secure Endpoint (früher AMP for Endpoints) bietet die Möglichkeit, Cisco Secure Endpoint-Überwachungsprotokolle und -ereignisse in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CiscoSecureEndpointAuditLogsV2_CL	Ja	Ja
CiscoSecureEndpointEventsV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Cisco Secure Endpoint API-Anmeldeinformationen/-regionen: Um API-Anmeldeinformationen zu erstellen und die Regionen zu verstehen, folgen Sie dem hier bereitgestellten Dokumentlink. Klicken Sie hier.

Setupanweisungen:

Verbinden von Cisco Secure Endpoint mit Microsoft Sentinel

Um Daten von Cisco Secure Endpoint in Microsoft Sentinel zu erfassen, müssen Sie unten auf die Schaltfläche Konto hinzufügen klicken. Anschließend wird ein Popupfenster angezeigt, in dem Sie die Details wie Email, Organisation, Client-ID, API-Schlüssel und Region eingeben, die erforderlichen Informationen angeben und auf Verbinden klicken. Die verbundenen Organisationen/E-Mails werden im folgenden Raster angezeigt.

• Datenconnectors Grid (im Portal konfigurieren)

---

Cisco Software Defined WAN

Unterstützt von:Cisco Systems

Der Cisco Software Defined WAN(SD-WAN)-Datenconnector bietet die Möglichkeit, Cisco SD-WAN Syslog- und Netflow-Daten in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Syslog	Ja	Ja
CiscoSDWANNetflow_CL	Nein	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Führen Sie die folgenden Schritte aus, um Cisco SD-WAN Syslog- und Netflow-Daten in Microsoft Sentinel erfassen.

1. Schritte zum Erfassen von Syslog-Daten in Microsoft Sentinel

Azure Monitor-Agent wird verwendet, um die Syslog-Daten in Microsoft Sentinel zu sammeln. Dafür müssen Sie zunächst einen Azure Arc-Server für den virtuellen Computer erstellen, von dem Syslog-Daten gesendet werden.

1.1 Schritte zum Hinzufügen Azure Arc-Servers

1. Wechseln Sie Azure-Portal zu Server – Azure Arc, und klicken Sie auf Hinzufügen.
2. Wählen Sie im Abschnitt Einzelnen Server hinzufügen die Option Skript generieren aus. Ein Benutzer kann auch Skripts für mehrere Server generieren.
3. Überprüfen Sie die Informationen auf der Seite Voraussetzungen, und wählen Sie dann Weiter aus.
4. Geben Sie auf der Seite Ressourcendetails das Abonnement und die Ressourcengruppe der Microsoft Sentinel, Region, Betriebssystem und Konnektivitätsmethode an. Wählen Sie dann "Weiter" aus.
5. Überprüfen Sie auf der Seite Tags die vorgeschlagenen Standardtags für physische Speicherorte, und geben Sie einen Wert ein, oder geben Sie ein oder mehrere benutzerdefinierte Tags an, um Ihre Standards zu unterstützen. Wählen Sie dann Weiter aus.
6. Wählen Sie Herunterladen aus, um die Skriptdatei zu speichern.
7. Nachdem Sie das Skript generiert haben, besteht der nächste Schritt darin, es auf dem Server auszuführen, den Sie in Azure Arc integrieren möchten.
8. Wenn Sie über Azure VM führen Sie die im Link aufgeführten Schritte aus, bevor Sie das Skript ausführen.
9. Führen Sie das Skript mit dem folgenden Befehl aus: ./<ScriptName>.sh
10. Nachdem Sie den Agent installiert und für die Verbindung mit Azure Arc-fähigen Servern konfiguriert haben, wechseln Sie zum Azure-Portal, um zu überprüfen, ob die Verbindung mit dem Server erfolgreich hergestellt wurde. Zeigen Sie Ihren Computer im Azure-Portal an. Referenzlink:/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 Schritte zum Erstellen einer Datensammlungsregel (Data Collection Rule, DCR)

1. Suchen Sie Azure-Portal nach Monitor. Wählen Sie unter Einstellungen die Option Datensammlungsregeln und dann Erstellen aus.
2. Geben Sie im Bereich Grundlagen den Regelnamen, das Abonnement, die Ressourcengruppe, die Region und den Plattformtyp ein.
3. Wählen Sie Weiter: Ressourcen aus.
4. Wählen Sie Ressourcen hinzufügen aus. Verwenden Sie die Filter, um den virtuellen Computer zu finden, den Sie zum Sammeln von Protokollen verwenden.
5. Wählen Sie den virtuellen Computer aus. Wählen Sie Anwenden aus.
6. Wählen Sie Weiter: Sammeln und übermitteln aus.
7. Wählen Sie Datenquelle hinzufügen aus. Wählen Sie unter Datenquellentyp die Option Linux Syslog aus.
8. Übernehmen Sie für Mindestprotokolliergrad die Standardwerte LOG_DEBUG.
9. Wählen Sie Weiter: Ziel aus.
10. Wählen Sie Ziel hinzufügen aus, und fügen Sie Zieltyp, Abonnement und Konto oder Namespace hinzu.
11. Wählen Sie Datenquelle hinzufügen aus. Wählen Sie Weiter: Überprüfen + erstellen aus.
12. Wählen Sie Erstellen aus. Warten Sie 20 Minuten. Überprüfen Sie in Microsoft Sentinel oder Azure Monitor, ob der Azure Monitor-Agent auf Ihrem virtuellen Computer ausgeführt wird. Referenzlink:/azure/sentinel/forward-syslog-monitor-agent

2. Schritte zum Erfassen von Netflow-Daten in Microsoft Sentinel

Zum Erfassen von Netflow-Daten in Microsoft Sentinel müssen Filebeat und Logstash auf dem virtuellen Computer installiert und konfiguriert werden. Nach der Konfiguration kann der virtuelle Computer Netflow-Daten über den konfigurierten Port empfangen, und diese Daten werden im Arbeitsbereich von Microsoft Sentinel erfasst.

2.1 Installieren von filebeat und logstash

1. Informationen zur Installation von filebeat und logstash mit apt finden Sie in diesem Dokument:
2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
4. Für die Installation von filebeat und logstash for RedHat based Linux (yum) gehen Sie wie folgt vor:
5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Konfigurieren von Filebeat zum Senden von Ereignissen an Logstash

1. Bearbeiten sie filebeat.yml Datei: vi /etc/filebeat/filebeat.yml
2. Kommentieren Sie den Abschnitt Elasticsearch-Ausgabe aus.
3. Auskommentierung des Logstash-Ausgabeabschnitts aufheben (Nur diese beiden Zeilen auskommentieren)- output.logstash hosts: ["localhost:5044"]
4. Wenn Sie im Abschnitt Logstash-Ausgabe andere Daten als den Standardport senden möchten, d. h. port 5044, ersetzen Sie die Portnummer im Feld hosts. (Hinweis: Dieser Port sollte während der Konfiguration von logstash in der Conf-Datei hinzugefügt werden.)
5. Kommentieren Sie im Abschnitt "filebeat.inputs" die vorhandene Konfiguration aus, und fügen Sie die folgende Konfiguration hinzu: - geben Sie ein: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protokolle: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions:

• /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true

6. Wenn Sie im Abschnitt Filebeat-Eingaben andere Daten als den Standardport empfangen möchten, d. h. port 2055, ersetzen Sie die Portnummer im Feld host.
7. Fügen Sie die bereitgestellte custom.yml-Datei im Verzeichnis /etc/filebeat/ hinzu.
8. Öffnen Sie den Filebeat-Eingabe- und Ausgabeport in der Firewall.
9. Befehl ausführen: firewall-cmd --zone=public --permanent --add-port=2055/udp
10. Befehl ausführen: firewall-cmd --zone=public --permanent --add-port=5044/udp

Hinweis: Wenn ein benutzerdefinierter Port für filebeat input/output hinzugefügt wird, öffnen Sie diesen Port in der Firewall.

2.3 Konfigurieren von Logstash zum Senden von Ereignissen an Microsoft Sentinel

1. Installieren Sie das Azure Log Analytics-Plug-In:
2. Befehl ausführen: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
3. Speichern Sie den Log Analytics-Arbeitsbereichsschlüssel im Logstash-Schlüsselspeicher. Den Arbeitsbereichsschlüssel finden Sie in Azure-Portal unter Protokollanalysearbeitsbereich > Arbeitsbereich auswählen Unter > Einstellungen wählen Sie Agent-Anweisungen > für Log Analytics-Agent aus.
4. Kopieren Sie den Primärschlüssel, und führen Sie die folgenden Befehle aus:
5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
7. Erstellen Sie die Konfigurationsdatei /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Geben Sie die Ausgabeportnummer ein, die während der Filebeat-Konfiguration konfiguriert wurde, d. h. filebeat.yml Datei .) } } ausgabe { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Hinweis: Wenn die Tabelle in Microsoft Sentinel nicht vorhanden ist, wird eine neue Tabelle in Sentinel erstellt.

2.4 Ausführen von Filebeat:

1. Öffnen Sie ein Terminal, und führen Sie den Folgenden Befehl aus: systemctl start filebeat
2. Dieser Befehl startet die Ausführung von filebeat im Hintergrund. Führen Sie dann den folgenden Befehl aus, um die Protokolle anzuzeigen, die filebeat (systemctl stop filebeat) beenden: filebeat run -e

2.5 Ausführen von Logstash:

1. Führen Sie in einem anderen Terminal den Befehl aus: /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
2. Dieser Befehl startet die Ausführung des logstash im Hintergrund. Um die Protokolle von logstash anzuzeigen, beenden Sie den obigen Prozess, und führen Sie den folgenden Befehl aus: /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

---

Claroty xDome

Unterstützt von:xDome-Kundensupport

Claroty xDome bietet umfassende Sicherheits- und Warnungsverwaltungsfunktionen für Gesundheits- und Industrienetzwerkumgebungen. Es ist so konzipiert, dass mehrere Quelltypen zugeordnet, die gesammelten Daten identifiziert und in Microsoft Sentinel Datenmodelle integriert werden. Dies führt dazu, dass alle potenziellen Bedrohungen in Ihren Gesundheits- und Industrieumgebungen an einem Ort überwacht werden können, was zu einer effektiveren Sicherheitsüberwachung und einem stärkeren Sicherheitsstatus führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommonSecurityLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

1. Konfiguration des syslog-Agents Linux

Installieren und konfigurieren Sie den Linux-Agent, um Ihre CEF-Syslog-Nachrichten (Common Event Format) zu sammeln und an Microsoft Sentinel weiterzuleiten.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.

1.1 Auswählen oder Erstellen eines Linux Computers

Wählen Oder erstellen Sie einen Linux Computer, der Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel sich dieser Computer in Ihrer lokalen Umgebung, Azure oder anderen Clouds befinden kann.

1.2 Installieren des CEF-Collectors auf dem Linux Computer

Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux Computer, und konfigurieren Sie den Computer so, dass er den erforderlichen Port überwacht und Nachrichten an Ihren Microsoft Sentinel Arbeitsbereich weiterleitt. Der CEF-Collector sammelt CEF-Nachrichten an Port 514 TCP.

1. Stellen Sie mit dem folgenden Befehl sicher, dass Python auf Ihrem Computer installiert ist: python --version.

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um den zum Zeitpunkt der Installation angegebenen CEF-Collector zu installieren und anzuwenden:<>

2. Weiterleiten von CEF-Protokollen (Common Event Format) an den Syslog-Agent

Konfigurieren Sie die Integration von Claroty xDome - Microsoft Sentinel, um Ihre CEF-Syslog-Nachrichten (Common Event Format) zu sammeln und an Microsoft Sentinel weiterzuleiten.

3. Überprüfen der Verbindung

Befolgen Sie die Anweisungen, um Ihre Konnektivität zu überprüfen:

Öffnen Sie Log Analytics, um zu überprüfen, ob die Protokolle mithilfe des CommonSecurityLog-Schemas empfangen werden.

Es kann etwa 20 Minuten dauern, bis die Verbindung Daten an Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Verbindungsüberprüfungsskript aus:

1. Stellen Sie mit dem folgenden Befehl sicher, dass Python auf Ihrem Computer installiert ist: python --version

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:: <Variablenwert, der zur Installationszeit angegeben wurde>

**4. Schützen Ihres Computers **

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihres organization konfigurieren.

Weitere Informationen >

---

Cloudflare (Vorschau) (mit Azure Functions)

Unterstützt von:Cloudflare

Der Cloudflare-Datenconnector bietet die Möglichkeit, Cloudflare-Protokolle mithilfe von Cloudflare Logpush und Azure Blob Storage in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Cloudflare-Dokumentation .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Cloudflare_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Azure Blob Storage Verbindungszeichenfolge und Containername: Azure Blob Storage Verbindungszeichenfolge und Containername, an den die Protokolle von Cloudflare Logpush gepusht werden. Weitere Informationen finden Sie unter Erstellen Azure Blob Storage Containers.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Azure Blob Storage-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Blob Storage Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, damit er wie erwartet funktioniert und mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1 : Konfiguration des Cloudflare-Logpush

Weitere Informationen finden Sie in der Dokumentation zum Einrichten von Cloudflare Logpush für Microsoft Azure

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Stellen Sie vor der Bereitstellung des Cloudflare-Datenconnectors die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus den folgenden Beispielen kopiert werden können) sowie Azure Blob Storage Verbindungszeichenfolge und Containernamen bereit, die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Cloudflare-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie den Azure Blob Storage Containernamen, Azure Blob Storage Verbindungszeichenfolge, Microsoft Sentinel Arbeitsbereichs-ID Microsoft Sentinel gemeinsam verwendeten Schlüssel ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Cloudflare-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. CloudflareXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.8 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Cloudflare (Verwenden von Blobcontainern) (über Codeless Connector Framework)

Unterstützt von:Cloudflare

Der Cloudflare-Datenconnector bietet die Möglichkeit, Cloudflare-Protokolle mithilfe von Cloudflare Logpush und Azure Blob Storage in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Cloudflare-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CloudflareV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Erstellen eines Speicherkontos und eines Containers: Erstellen Sie vor dem Einrichten von logpush in Cloudflare zunächst ein Speicherkonto und einen Container in Microsoft Azure. In diesem Leitfaden erfahren Sie mehr über Container und Blobs. Führen Sie die Schritte in der Dokumentation aus, um ein Azure Storage-Konto zu erstellen.
• Generieren einer Blob-SAS-URL: Die Berechtigungen "Erstellen" und "Schreiben" sind erforderlich. Weitere Informationen zu Blob-SAS-Token und -URL finden Sie in der Dokumentation .
• Sammeln von Protokollen von Cloudflare in Ihren Blobcontainer: Führen Sie die Schritte in der Dokumentation aus, um Protokolle von Cloudflare in Ihren Blobcontainer zu sammeln.

Setupanweisungen:

Verbinden von Cloudflare Logs mit Microsoft Sentinel

Um Cloudflare-Protokolle für Microsoft Sentinel zu aktivieren, geben Sie unten die erforderlichen Informationen an, und klicken Sie auf Verbinden.

• Die URL des Blobcontainers, aus der Sie Daten sammeln möchten:
• Der Name der Speicherkontoressourcengruppe des Blobcontainers:
• Speicherort des Speicherkontos des Blobcontainers:
• Die Abonnement-ID des Speicherkontos des Blobcontainers:
• Der Event Grid-Themenname des Speicherkontos des Blobcontainers( sofern vorhanden). andernfalls leer lassen.:
• Verbindung aktivieren/deaktivieren

---

Cognni

Unterstützt von:Cognni

Der Cognni-Connector bietet eine schnelle und einfache Integration in Microsoft Sentinel. Sie können Cognni verwenden, um Ihre zuvor nicht klassifizierten wichtigen Informationen autonom zuzuordnen und verwandte Vorfälle zu erkennen. Auf diese Weise können Sie Risiken für Ihre wichtigen Informationen erkennen, den Schweregrad der Vorfälle verstehen und die Details untersuchen, die Sie beheben müssen, schnell genug, um einen Unterschied zu machen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CognniIncidents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Herstellen einer Verbindung mit Cognni

1. Wechseln Sie zur Cognni-Integrationsseite.
2. Klicken Sie im Feld "Microsoft Sentinel" auf "Verbinden".
3. Kopieren Sie "workspaceId" und "sharedKey" (unten), und fügen Sie sie in die zugehörigen Felder auf dem Integrationsbildschirm von Cognni ein.
4. Klicken Sie auf das Botton "Verbinden" , um die Konfiguration abzuschließen.
   Bald werden alle Ihre von Cognni erkannten Vorfälle hier weitergeleitet (in Microsoft Sentinel).

Sie sind kein Cognni-Benutzer? Nehmen Sie an uns teil

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Gemeinsam verwendeter Schlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Kohäsität (mit Azure Functions)

Unterstützt von:Cohesity

Die Cohesity-Funktions-Apps bieten die Möglichkeit, Cohesity Datahawk Ransomware-Warnungen in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Cohesity_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Azure Blob Storage Verbindungszeichenfolge und Containername: Azure Blob Storage Verbindungszeichenfolge und Containername

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, die eine Verbindung mit dem Azure Blob Storage und KeyVault herstellen. Dies kann zu zusätzlichen Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise, Azure Blob Storage Preisseite und Azure KeyVault-Preisseite.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Abrufen eines Cohesity DataHawk-API-Schlüssels (siehe Anleitung zur Problembehandlung 1)

SCHRITT 2: Registrieren Azure App (Link) und Speichern der Anwendungs-ID (Client-ID), Verzeichnis-ID (Mandant) und Geheimniswert (Anweisungen). Erteilen Sie ihm die Berechtigung Azure Storage (user_impersonation). Weisen Sie der Anwendung im entsprechenden Abonnement außerdem die Rolle "mitwirkender Microsoft Sentinel" zu.

SCHRITT 3: Bereitstellen des Connectors und des zugehörigen Azure Functions.

arm-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Cohesity-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Parameter ein, die Sie in den vorherigen Schritten erstellt haben.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

---

CommvaultSecurityIQ

Unterstützt von:Commvault

Mit dieser Azure-Funktion können Commvault-Benutzer Warnungen/Ereignisse in ihren Microsoft Sentinel instance erfassen. Mit Analyseregeln können Microsoft Sentinel automatisch Microsoft Sentinel Incidents aus eingehenden Ereignissen und Protokollen erstellen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommvaultAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Commvault-Umgebungsendpunkt-URL: Befolgen Sie unbedingt die Dokumentation, und legen Sie den Geheimniswert in KeyVault fest.
• Commvault QSDK-Token: Befolgen Sie unbedingt die Dokumentation, und legen Sie den Geheimniswert in KeyVault fest.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Commvault-Instanz herzustellen, um ihre Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für das Commvalut QSDK-Token

Befolgen Sie diese Anweisungen , um ein API-Token zu erstellen.

SCHRITT 2: Bereitstellen des Connectors und der zugehörigen Azure-Funktion

WICHTIG: Bevor Sie den CommvaultSecurityIQ-Datenconnector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden können) sowie die Commvault-Endpunkt-URL und das QSDK-Token, die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

arm-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Commvault Security IQ-Datenconnectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel "und/oder andere erforderliche Felder" ein, und klicken Sie auf Weiter.

4. Klicken Sie zum Bereitstellen auf Erstellen .

---

Contrast ADR Push Connector

Unterstützt von:Contrast Security

Der Contrast Security-Connector bietet die Möglichkeit, Angriffsereignisse und Incidents von Contrast Application Detection and Response (ADR) in Microsoft Sentinel zu erfassen. Dieser Connector empfängt Daten über einen Webhook-Pushmechanismus unter Verwendung der OAuth-Authentifizierung.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ContrastADRAttackEvents_CL	Nein	Nein
ContrastADRIncidents_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID (bei Verwendung einer automatisch erstellten App). In der Regel ist die Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Erstellen und Konfigurieren Azure Ressourcen (DCE, DCR, Tabellen) und Zuweisen von RBAC-Rollen. In der Regel sind die Rollen Mitwirkender und Benutzerzugriffsadministrator erforderlich.
• Contrast ADR-Webhookzugriff: Zugriff auf die Contrast ADR-Plattform, um Webhook mit OAuth-Authentifizierungseinstellungen zu konfigurieren.

Setupanweisungen:

1. Bereitstellen von Connectorressourcen

Stellen Sie die erforderlichen Azure Ressourcen für die Contrast ADR-Datenerfassung bereit.

Wählen Sie Ihre Bereitstellungsoption aus.

Wählen Sie eine der folgenden Bereitstellungsoptionen basierend auf den Anforderungen aus:

---

Option A: Automatisches Erstellen Microsoft Entra Anwendung (empfohlen)

Wenn Sie auf Deploy Contrast ADR CCF Connector klicken, wird automatisch Folgendes erstellt:

• Datensammlungsendpunkt (Data Collection Endpoint, DCE)
• Datensammlungsregel (Data Collection Rule, DCR) mit Datenströmen für Angriffsereignisse und Incidents
• Log Analytics-Tabellen (ContrastADRAttackEvents_CL und ContrastADRIncidents_CL)
• Microsoft Entra-Anwendung mit OAuth-Anmeldeinformationen
• Rollenzuweisung (Herausgeber von Überwachungsmetriken) auf dem DCR

Nach der Bereitstellung: Alle Konfigurationswerte (Mandanten-ID, Client-ID, Geheimer Clientschlüssel, DCE-URI, DCR-Unveränderliche ID) werden unten automatisch aufgefüllt, um das Kopieren und Einfügen in die Contrast Platform zu vereinfachen.

---

Option B: Verwenden einer bereits vorhandenen Microsoft Entra-Anwendung (BYOA)

Wenn Sie auf Deploy Contrast ADR CCF Connector klicken, wird Folgendes erstellt:

• Datensammlungsendpunkt (Data Collection Endpoint, DCE)
• Datensammlungsregel (Data Collection Rule, DCR) mit Datenströmen für Angriffsereignisse und Incidents
• Log Analytics-Tabellen (ContrastADRAttackEvents_CL und ContrastADRIncidents_CL)
• Microsoft Entra-Anwendung (sie können ignoriert werden)

Verwendung: Wenn Sie über eine vorhandene Entra App verfügen, die Sie aus Sicherheits- oder Compliancegründen wiederverwenden möchten. Zusätzliche Schritte erforderlich:

1. Weisen Sie nach der Bereitstellung ihrem bereits vorhandenen Entra-App-Dienstprinzipal manuell die Rolle Herausgeber von Überwachungsmetriken auf dem erstellten DCR zu.
2. Verwenden Sie die Client-ID und den geheimen Clientschlüssel Ihrer eigenen Entra App (ignorieren Sie die unten automatisch generierten)
3. Verwenden Sie den DCE-URI und die DCR-Unveränderliche ID von unten in Ihrer Contrast-Webhookkonfiguration.

---

Klicken Sie auf Bereitstellen, um zu beginnen:

2. Konfigurieren des Contrast ADR-Webhooks

Kopieren Sie die folgenden Werte, um die Microsoft Sentinel Integration in Contrast ADR platform zu konfigurieren.

Für Option A (automatisch erstellte Entra-App): Verwenden Sie alle unten automatisch aufgefüllten Werte. Für Option B (bereits vorhandene Entra-App): Verwenden Sie den DCE-URI, die DCR-Unveränderliche ID und Stream Namen wie unten angegeben, aber verwenden Sie die Mandanten-ID, die Client-ID und den geheimen Clientschlüssel Ihrer Entra App.

---

Azure Konfigurationswerte:

• Mandanten-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Anwendungs-ID (Client): Variablenwert, <der zum Zeitpunkt der Installation angegeben wird>
• Geheimer Clientschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI (DCE): Variablenwert, der zum Zeitpunkt der Installation angegeben wird <>
• Unveränderliche ID der Datensammlungsregel (Data Collection Rule, DCR): Variablenwert, der zum Zeitpunkt der Installation angegeben wird <>
• Angriffsereignisse Stream Name: <Variablenwert, der zur Installationszeit angegeben wird>
• Incidents Stream Name: <Variablenwert, der zur Installationszeit angegeben wird>

---

Konfigurieren in Contrast ADR Platform

1. Melden Sie sich bei Ihrer Contrast ADR-Plattform an.
2. Navigieren Sie zu Verwaltungsintegrationen >> Microsoft Sentinel
3. Kopieren Sie alle oben aufgeführten Konfigurationswerte, und fügen Sie sie ein:
   • Mandanten-ID
   • Anwendungs-ID (Client)
   • Geheimer Clientschlüssel
   • Datensammlungsendpunkt-URI (DCE)
   • Unveränderliche ID der Datensammlungsregel (Data Collection Rule, DCR)
   • Angriffsereignisse Stream Name
   • Incidents Stream Name
4. Klicken Sie auf Speichern , um die Integration abzuschließen.

Die Contrast-Plattform konfiguriert die OAuth-Authentifizierung und die Datenendpunkte automatisch mit diesen Werten.

3. Überprüfen der Datenerfassung

Stellen Sie sicher, dass Daten von Contrast ADR an Microsoft Sentinel fließen.

Überprüfungsschritte

1. Auslösen eines Testangriffsereignisses in Contrast ADR
2. Warten Sie 5 bis 10 Minuten, bis Daten in Microsoft Sentinel
3. Führen Sie die folgende Abfrage aus, um Angriffsereignisse zu überprüfen:

ContrastADRAttackEvents_CL
| take 10

4. Überprüfen von Incidentdaten:

ContrastADRIncidents_CL
| take 10

5. Überprüfen sie die Konnektivität:

ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)

Wenn Daten angezeigt werden und IsConnected true zurückgibt, ist Ihr Connector ordnungsgemäß konfiguriert!

---

Corelight Connector Exporter

Unterstützt von:Corelight

Der Corelight-Datenconnector ermöglicht Incident-Respondern und Bedrohungsjägern, die Microsoft Sentinel verwenden, schneller und effektiver zu arbeiten. Der Datenconnector ermöglicht die Erfassung von Ereignissen von Zeek und Suricata über Corelight-Sensoren in Microsoft Sentinel.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Corelight	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren Corelight, das mit der Microsoft Sentinel Solution bereitgestellt wird.

1. Abrufen der Dateien

Wenden Sie sich an Ihre TAM, SE oder info@corelight.com , um die dateien zu erhalten, die für die Microsoft Sentinel Integration erforderlich sind.

2. Wiedergeben von Beispieldaten.

Geben Sie Beispieldaten wieder, um die erforderlichen Tabellen in Ihrem Log Analytics-Arbeitsbereich zu erstellen.

• Senden von Beispieldaten (nur einmal pro Log Analytics-Arbeitsbereich erforderlich):< Variablenwert, der zur Installationszeit angegeben wird>

3. Installieren Sie den benutzerdefinierten Exporter.

Installieren Sie den benutzerdefinierten Exporter oder den logstash-Container.

4. Konfigurieren Sie den Corelight-Sensor so, dass Protokolle an den Azure Log Analytics-Agent gesendet werden.

Konfigurieren Sie ihren Corelight-Sensor mithilfe der folgenden Werte für die Verwendung des Microsoft Sentinel-Exporters. Alternativ können Sie den logstash-Container mit diesen Werten konfigurieren und Ihren Sensor so konfigurieren, dass JSON über TCP an diesen Container am entsprechenden Port gesendet wird.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärer Arbeitsbereichsschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Cortex XDR – Incidents

Unterstützt von:DEFEND Ltd.

Benutzerdefinierter Datenconnector von DEFEND zur Verwendung der Cortex-API zum Erfassen von Incidents von der Cortex XDR-Plattform in Microsoft Sentinel.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CortexXDR_Incidents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Cortex-API-Anmeldeinformationen: Das Cortex-API-Token ist für die REST-API erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

Setupanweisungen:

Aktivieren der Cortex-XDR-API

Verbinden Sie Cortex XDR mit Microsoft Sentinel über die Cortex-API, um Cortex Incidents zu verarbeiten.

---

Cribl

Unterstützt von:Cribl

Mit dem Cribl-Connector können Sie Ihre Cribl-Protokolle (Cribl Enterprise Edition - Standalone) ganz einfach mit Microsoft Sentinel verbinden. Dadurch erhalten Sie mehr Sicherheitseinblicke in die Datenpipelines Ihrer organization.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CriblInternal_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Installations- und Einrichtungsanweisungen für Cribl Stream for Microsoft Sentinel

Verwenden Sie die Dokumentation aus diesem GitHub-Repository, und konfigurieren Sie Cribl Stream mit

https://docs.cribl.io/stream/usecase-azure-workspace/

---

CrowdStrike API Data Connector (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der CrowdStrike-Datenconnector ermöglicht das Erfassen von Protokollen aus der CrowdStrike-API in Microsoft Sentinel. Dieser Connector bietet die Möglichkeit, CrowdStrike-Warnungen, Erkennungen, Hosts, Fälle und Sicherheitsrisiken in Microsoft Sentinel zu erfassen. Dieser Connector basiert auf dem Microsoft Sentinel Codeless Connector Framework und verwendet die CrowdStrike-API zum Abrufen von Protokollen. Es unterstützt DCR-basierte Erfassungszeittransformationen, sodass Abfragen effizienter ausgeführt werden können. Weitere Informationen finden Sie in der Dokumentation zur CrowdStrike-API .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CrowdStrikeAlerts	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Crowdstrike OAuth2-API-Client und -Bereiche: Warnungen, API-Integrationen, App-Protokolle, Fälle, Korrelationsregeln, Erkennungen, Hosts, Assets, Incidents, unter Quarantäne gestellte Files, Sicherheitsrisiken sind für die REST-API erforderlich. Weitere Informationen finden Sie unter API.

Setupanweisungen:

Verbinden von CrowdStrike mit Microsoft Sentinel

Hinweis: Wichtiger Hinweis: Die Incidents-API wird vollständig außer Betrieb genommen. Verwenden Sie stattdessen den neuen Cases-Datentyp.

Zum Sammeln von Daten aus CrowdStrike müssen Sie die folgenden Ressourcen bereitstellen:

1. Basis-API-URL : Zum Sammeln von Daten aus CrowdStrike benötigen Sie die Basis-API-URL.

2. Client-ID : Um Daten von CrowdStrike zu sammeln, benötigen Sie die Client-ID.

3. Geheimer Clientschlüssel : Um Daten von CrowdStrike zu sammeln, benötigen Sie den geheimen Clientschlüssel.

Ausführliche Anweisungen zum Abrufen der Basis-API-URL, der Client-ID und des geheimen Clientschlüssels finden Sie im Connector-Tutorial.

• Datenconnectors Grid (im Portal konfigurieren)

Abfragen von Erkennungen (nach erfolgreicher Verbindung)

Sobald Protokolle erfasst werden, enthält die Tabelle CrowdStrikeDetections einzelne Warnungsdatensätze , die nach aggregate_idgruppiert sind. Um das Verhalten auf Erkennungsebene anzuzeigen, verwenden Sie die folgende KQL-Abfrage, um Warnungen nach ihrer Erkennungsgruppe zu aggregieren:

CrowdStrikeDetections
| summarize
  AlertCount = count(),
  FirstSeen = min(CreatedTimestamp),
  LastSeen = max(CreatedTimestamp),
  MaxSeverity = max(Severity)
by AggregateId

---

CrowdStrike Falcon Adversary Intelligence (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Connector CrowdStrike Falcon Indicators of Compromise ruft die Indicators of Compromise aus der Falcon Intel-API ab und lädt sie Microsoft Sentinel Threat Intel hoch.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelIndicators	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Client-ID und geheimer Clientschlüssel der CrowdStrike-API: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. CrowdStrike-Anmeldeinformationen müssen über den Lesebereich Indikatoren (Falcon Intelligence) verfügen.

Setupanweisungen:

SCHRITT 1 : Generieren von CrowdStrike-API-Anmeldeinformationen.

Stellen Sie sicher, dass für den Bereich "Indikatoren (Falcon Intelligence)" die Option "Lesen" ausgewählt ist.

SCHRITT 2: Registrieren einer Entra-App mit geheimem Clientschlüssel.

Stellen Sie dem Entra App-Prinzipal die Rollenzuweisung "Microsoft Sentinel Mitwirkender" für den jeweiligen Log Analytics-Arbeitsbereich bereit. Zuweisen von Rollen auf Azure.

SCHRITT 3: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Connector CrowdStrike Falcon Indicator of Compromise bereitstellen, verwenden Sie die Arbeitsbereichs-ID (kann wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Connectors für CrowdStrike Falcon Adversary Intelligence mithilfe eines ARM Tempate.Use this method for automated deployment of the CrowdStrike Falcon Adversary Intelligence connector using an ARM Tempate.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Geben Sie die folgenden Parameter an: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden schrittweisen Anweisungen, um den CrowdStrike Falcon Adversary Intelligence-Connector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z.B. CrowdStrikeFalconIOCXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.12 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (groß-/kleinschreibung beachten): CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID

12. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

CrowdStrike Falcon Data Replicator (AWS S3) (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Connector Crowdstrike Falcon Data Replicator (S3) bietet die Möglichkeit, FDR-Ereignisdaten in Microsoft Sentinel aus dem AWS S3-Bucket zu erfassen, in dem die FDR-Protokolle gestreamt wurden. Der Connector bietet die Möglichkeit, Ereignisse von Falcon Agents abzurufen, um potenzielle Sicherheitsrisiken zu untersuchen, die Verwendung der Zusammenarbeit durch Ihr Team zu analysieren, Konfigurationsprobleme zu diagnostizieren und vieles mehr.

HINWEIS:

1. Die CrowdStrike FDR-Lizenz muss verfügbar & aktiviert sein.

2. Der Connector erfordert, dass eine IAM-Rolle in AWS konfiguriert wird, um den Zugriff auf den AWS S3-Bucket zu ermöglichen, und ist möglicherweise nicht für Umgebungen geeignet, die crowdStrike - verwaltete Buckets nutzen.

3. Konfigurieren Sie für Umgebungen, die von CrowdStrike verwaltete Buckets nutzen, den Connector CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CrowdStrike_Additional_Events_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Anforderungen: Für die Verwendung des Falcon Data Replicator-Features ist Folgendes erforderlich:

1. Abonnement: 1.1. Falcon-Datenreplikator. 1.2. Falcon Insight XDR.

2. Rollen: 2.1. Falcon Administrator.

3. Richten Sie Ihre CrowdStrike-& AWS-Umgebungen ein, um den Zugriff auf AWS zu konfigurieren, verwenden Sie die folgenden beiden Vorlagen, die zum Einrichten der AWS-Umgebung bereitgestellt werden. Dadurch wird das Senden von Protokollen aus einem S3-Bucket an Ihren Log Analytics-Arbeitsbereich ermöglicht.

Erstellen Sie für jede Vorlage Stack in AWS:

1. Wechseln Sie zu AWS CloudFormation Stacks.
2. Wählen Sie die Option "Vorlage angeben" und dann "Vorlagendatei hochladen", indem Sie auf "Datei auswählen" klicken und die entsprechende CloudFormation-Vorlagendatei auswählen, die unten angegeben ist. Klicken Sie auf "Datei auswählen", und wählen Sie die heruntergeladene Vorlage aus.
3. Klicken Sie auf "Weiter" und "Stapel erstellen".

Stellen Sie sicher, dass Ihr Bucket in derselben AWS-Region wie Ihre Falcon CID erstellt wird, in der der FDR-Feed bereitgestellt wird. | CrowdStrike-Region | AWS-Region | |-----------------|-----------| | US-1 | us-west-1 | | US-2 | us-west-2 | | EU-1 | eu-central-1

• Vorlage 1: OpenID Connect-Authentifizierungsbereitstellung: <Variablenwert zum Zeitpunkt der Installation angegeben>
• Vorlage 2: Bereitstellung von AWS CrowdStrike-Ressourcen: <Variabler Wert, der zur Installationszeit> bereitgestellt wird. Verwenden Ihres eigenen S3-Buckets Um Ihren eigenen S3-Bucket zu verwenden, können Sie den folgenden Leitfaden Verwenden Ihres eigenen S3-Buckets lesen oder die folgenden Schritte ausführen:

1. Erstellen Eines Supportfalls mit dem folgenden Namen: Verwenden des Self S3-Buckets für FDR
2. Fügen Sie die folgenden Informationen hinzu: 2.1. Die Falcon CID, in der Ihr FDR-Feed bereitgestellt wird 2.2. Geben Sie an, welche Arten von Ereignissen Sie in diesem neuen FDR-Feed angegeben haben möchten. 2.3. Geben Sie an, welche Arten von Ereignissen Sie in diesem neuen FDR-Feed angegeben haben möchten. 2.4. Verwenden Sie keine Partitionen.

Ereignistyp	Präfix S3
Primäre Ereignisse	Daten/
Sekundäre Ereignisse	fdrv2/

2. Neue Sammler verbinden Um AWS S3 für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (mit Azure-Funktion) (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Dieser Connector ermöglicht die Erfassung von FDR-Daten in Microsoft Sentinel mithilfe von Azure Functions, um die Bewertung potenzieller Sicherheitsrisiken, die Analyse von Zusammenarbeitsaktivitäten, die Identifizierung von Konfigurationsproblemen und andere operative Erkenntnisse zu unterstützen.

HINWEIS:

1. Die CrowdStrike FDR-Lizenz muss verfügbar & aktiviert sein.

2. Der Connector verwendet eine schlüsselbasierte & Geheimnis-basierte Authentifizierung und eignet sich für verwaltete CrowdStrike-Buckets.

3. Für Umgebungen, die einen vollständig im Besitz befindlichen AWS S3-Bucket verwenden, empfiehlt Microsoft die Verwendung des CrowdStrike Falcon Data Replicator(AWS S3) -Connectors.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CrowdStrikeReplicatorV2	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Anmeldeinformationen/Berechtigungen für SQS- und AWS S3-Konten: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL erforderlich. Weitere Informationen finden Sie unter Pulling von Daten. Wenden Sie sich zunächst an den CrowdStrike-Support. Auf Ihre Anfrage hin erstellen sie einen von CrowdStrike verwalteten AWS S3-Bucket (Amazon Web Services) für kurzfristige Speicherzwecke sowie ein SQS-Konto (Simple Queue Service) zum Überwachen von Änderungen am S3-Bucket.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit AWS SQS/S3 herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von API-Autorisierungsschlüsseln oder -Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Voraussetzungen

1. Konfigurieren von FDR in CrowdStrike: Sie müssen sich an das CrowdStrike-Supportteam wenden, um CrowdStrike FDR zu aktivieren.
   • Nachdem CrowdStrike FDR aktiviert wurde, navigieren Sie in der CrowdStrike-Konsole zu Support –> API-Clients und Schlüssel.
   • Sie müssen neue Anmeldeinformationen erstellen, um die AWS-Zugriffsschlüssel-ID, den geheimen AWS-Zugriffsschlüssel, die SQS-Warteschlangen-URL und die AWS-Region zu kopieren.
2. Registrieren einer AAD-Anwendung: Damit dcr authentifiziert werden kann, um Daten in Log Analytics zu erfassen, müssen Sie die AAD-Anwendung verwenden.
   • Befolgen Sie die Anweisungen hier (Schritte 1 bis 5), um die AAD-Mandanten-ID, die AAD-Client-ID und den geheimen AAD-Clientschlüssel abzurufen.
   • Greifen Sie für die AAD-Prinzipal-ID dieser Anwendung über das AAD-Portal auf die AAD-App zu, und erfassen Sie die Objekt-ID über die Anwendungsübersichtsseite.

Deployment Options

Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Crowdstrike Falcon Data Replicator-Connectors V2 mithilfe eines ARM Tempate.Use this method for automated deployment of the Crowdstrike Falcon Data Replicator Connector V2 using an ARM Tempate.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Geben Sie die erforderlichen Details wie Microsoft Sentinel Arbeitsbereich, CrowdStrike AWS-Anmeldeinformationen, Azure AD-Anwendungsdetails und Erfassungskonfigurationen an.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. Es wird empfohlen, eine neue Ressourcengruppe für die Bereitstellung der Funktions-App und der zugehörigen Ressourcen zu erstellen. 3. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 4. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Crowdstrike Falcon Data Replicator-Connector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen von DCE, DCR und benutzerdefinierten Tabellen für die Datenerfassung

2. Bereitstellen der erforderlichen DCE, DCR und benutzerdefinierten Tabellen mithilfe der ARM-Vorlage für die Datensammlungsressource

3. Rufen Sie nach der erfolgreichen Bereitstellung von DCE und DCR(s) die folgenden Informationen ab, und halten Sie sie bereit (während Azure Functions App-Bereitstellung erforderlich).

   • DCE-Protokollerfassung: Befolgen Sie die Anweisungen unter Erstellen eines Datensammlungsendpunkts (Schritt 3).
   • Unveränderliche IDs eines oder mehrerer DCRs (sofern zutreffend): Befolgen Sie die Anweisungen unter Sammeln von Informationen aus dem DCR (Stpe 2).

4. Bereitstellen einer Funktions-App

5. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

6. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.

7. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

8. Konfigurieren der Funktions-App

9. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

10. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

11. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

12. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW //True, wenn Rohdaten USER_SELECTION_REQUIRE_SECONDARY //True erforderlich sind, wenn sekundäre Daten MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 für den Verbrauch und 150 für Premium-MAX_SCRIPT_EXEC_TIME_MINUTES // den Wert 10 hier hinzufügen AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK Datei // ist auf GitHub vorhanden. Fügen Sie hinzu, wenn auf die Datei über das Internet zugegriffen werden kann REQUIRED_FIELDS_SCHEMA_LINK //File auf GitHub vorhanden ist. Fügen Sie hinzu, wenn auf die Datei mit internet Schedule //Add value als "0 */1 * * * * *" zugegriffen werden kann, um sicherzustellen, dass die Funktion jede Minute ausgeführt wird.

13. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

CTERA Syslog

Unterstützt von:CTERA

Der CTERA-Datenconnector für Microsoft Sentinel bietet Überwachungs- und Bedrohungserkennungsfunktionen für Ihre CTERA-Lösung. Es enthält eine Arbeitsmappe, die die Summe aller Vorgänge pro Typ, Löschungen und Verweigerten Zugriffen visualisiert. Es bietet auch Analyseregeln, die Ransomware-Vorfälle erkennen und Sie benachrichtigen, wenn ein Benutzer aufgrund verdächtiger Ransomware-Aktivitäten blockiert wird. Darüber hinaus können Sie kritische Muster wie Massenzugriffsverweigerungsereignisse, Massenlöschungen und massenhafte Berechtigungsänderungen identifizieren und proaktives Bedrohungsmanagement und Reaktion ermöglichen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Syslog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Schritt 1: Verbinden der CTERA-Plattform mit Syslog

Einrichten der Syslog-Verbindung im CTERA-Portal und Edge-Filer Syslog-Connector

Schritt 2: Installieren des Azure Monitor-Agents (AMA) auf dem Syslog-Server

Installieren Sie den Azure Monitor-Agent (AMA) auf Ihrem Syslog-Server, um die Datensammlung zu aktivieren.

---

CTM360 CyberBlindSpot (serverlos)

Unterstützt von:Cyber Threat Management 360

Der CTM360 Cyber Blind Spot (CBS)-Connector ermöglicht die Integration in die CBS-Plattform von CTM360, um Sicherheitsdaten in 6 Modultypen zu erfassen: Incidents, Schadsoftwareprotokolle, verletzte Anmeldeinformationen, kompromittierte Karten, Domänenverletzung und Verletzung von Unterdomänen. Dieser Connector verwendet das Codeless Connector Framework (CCF) für die serverlose Datensammlung.

Datentypen:

• CBSLog_AzureV2_CL
• CBS_MalwareLogs_AzureV2_CL
• CBS_BreachedCredentials_AzureV2_CL
• CBS_CompromisedCards_AzureV2_CL
• CBS_DomainInfringement_AzureV2_CL
• CBS_SubdomainInfringement_AzureV2_CL

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CBSLog_AzureV2_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• CTM360 CBS-API-Schlüssel: Ein gültiger CTM360 Cyber Blind Spot-API-Schlüssel ist erforderlich, um eine Verbindung mit dem CBS-API-Endpunkt herzustellen.

Setupanweisungen:

Verbinden von CTM360 Cyber Blind Spot mit Microsoft Sentinel

Dieser Connector verwendet das Codeless Connector Framework (CCF), um Daten aus CTM360 CBS in Microsoft Sentinel zu erfassen. Daten werden alle 5 Minuten über 6 verschiedene Modultypen gesammelt.

Hinweis: Dieser Connector erstellt 6 separate Tabellen für verschiedene CBS-Modultypen: Incidents, Malware-Protokolle, verletzte Anmeldeinformationen, Kompromittierte Karten, Domänenverletzung und Unterdomänenverletzung.

Schritt 1: Abrufen von CTM360-API-Schlüsseln

Zum Einrichten dieser Integration benötigen Sie den CBS-API-Schlüssel. Sie können diese Schlüssel über die folgenden Links abrufen:

CBS-API-Schlüssel, der über diesen Link gefunden wurde: https://platform.ctm360.com/start/integrations nach der Protokollierung mit Dem Konto

Schritt 2: Konfigurieren der Verbindung

Geben Sie Ihren CTM360 CBS-API-Schlüssel ein, und stellen Sie eine Verbindung her, um die Datenerfassung zu starten.

• CTM360 CBS-API-Schlüssel: (Geben Sie Ihren CTM360 CBS-API-Schlüssel ein)
• Verbindung aktivieren/deaktivieren

Schritt 3: Überprüfen der Datenerfassung

Nach dem Herstellen der Verbindung sollte der Datenfluss innerhalb von 5 bis 10 Minuten beginnen. Verwenden Sie die obigen Beispielabfragen, um die Datenerfassung für jeden Modultyp zu überprüfen.

Hinweis: Die anfängliche Datenerfassung kann bis zu 30 Minuten dauern. Der Connector ruft alle 5 Minuten mit einem rollierenden Zeitfenster von 5 Minuten ab.

---

CTM360 HackerView (serverlos)

Unterstützt von:Cyber Threat Management 360

Mit dem CTM360 HackerView-Connector können Sie Sicherheitsprobleme und Sicherheitsrisiken von Ihrer HackerView External Attack Surface Management-Plattform in Microsoft Sentinel erfassen. Dieser serverlose Connector verwendet die REST-API zum automatischen Pullen von Issuedaten für die Analyse und Korrelation mit anderen Sicherheitsereignissen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
HackerViewLog_AzureV2_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• HackerView-API-Schlüssel: Ein gültiger HackerView-API-Schlüssel mit Berechtigungen für den Zugriff auf Daten mit Problemen ist erforderlich.

Setupanweisungen:

Verbinden von CTM360 HackerView mit Microsoft Sentinel

Dieser Connector verwendet die HackerView-REST-API, um Sicherheitsprobleme automatisch in Microsoft Sentinel zu erfassen.

Hinweis: Dies ist ein serverloser Connector, der das Codeless Connector Framework (CCF) von Azure verwendet. Es ist keine Azure Funktionsbereitstellung erforderlich.

Schritt 1: Abrufen von CTM360-API-Schlüsseln

Zum Einrichten dieser Integration benötigen Sie den HackerView-API-Schlüssel. Sie können diese Schlüssel über die folgenden Links abrufen:

HackerView-API-Schlüssel, der über diesen Link gefunden wurde: https://platform.ctm360.com/start/integrations nach der Protokollierung mit Dem Konto

Schritt 2: Konfigurieren des Connectors

Geben Sie Ihren HackerView-API-Schlüssel ein, und klicken Sie auf Verbinden, um mit der Datenerfassung zu beginnen.

• API-Schlüssel: (Geben Sie Ihren HackerView-API-Schlüssel ein)
• Verbindung aktivieren/deaktivieren

Schritt 3: Überprüfen der Datenerfassung

Nach dem Herstellen der Verbindung sollte der Datenfluss innerhalb von 5 bis 10 Minuten beginnen. Führen Sie die folgende Abfrage aus, um dies zu überprüfen:

Hinweis: HackerViewLog_AzureV2_CL | Nehmen Sie 10

---

Benutzerdefinierte Protokolle über AMA

Unterstützt von:Microsoft Corporation

Viele Anwendungen protokollieren Informationen in Text- oder JSON-Dateien anstelle von Standardprotokollierungsdiensten wie Windows-Ereignisprotokollen, Syslog oder CEF. Mit dem Datenconnector für benutzerdefinierte Protokolle können Sie Ereignisse aus Dateien auf Windows- und Linux-Computern sammeln und an von Ihnen erstellte benutzerdefinierte Protokolltabellen streamen. Beim Streamen der Daten können Sie den Inhalt mithilfe der DCR analysieren und transformieren. Nach dem Sammeln der Daten können Sie Analyseregeln, Hunting, Suche, Threat Intelligence, Anreicherungen und vieles mehr anwenden.

HINWEIS: Verwenden Sie diesen Connector für die folgenden Geräte: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP Server, Apache Tomcat, Jboss Enterprise Application Platform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP Server, Oracle Weblogic Server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat Detection SAP and AI vectra stream.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
JBossEvent_CL	Nein	Nein
JuniperIDP_CL	Ja	Ja
ApacheHTTPServer_CL	Ja	Ja
Tomcat_CL	Ja	Ja
meraki_CL	Ja	Ja
VectraStream_CL	Nein	Nein
MarkLogicAudit_CL	Nein	Nein
MongoDBAudit_CL	Ja	Ja
NGINX_CL	Ja	Ja
OracleWebLogicServer_CL	Ja	Ja
PostgreSQL_CL	Ja	Ja
SquidProxy_CL	Ja	Ja
Ubiquiti_CL	Ja	Ja
vcenter_CL	Ja	Ja
ZPA_CL	Ja	Ja
SecurityBridgeLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Berechtigungen: Zum Sammeln von Daten von nicht Azure VMs muss Azure Arc installiert und aktiviert sein. Weitere Informationen

Setupanweisungen:

Aktivieren der Datensammlungsregel

Benutzerdefinierte Protokolle werden sowohl von Windows- als auch von Linux-Agents gesammelt.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

CyberArk Audit

Unterstützt von:CyberArk-Support

Der CyberArk Audit-Datenconnector ermöglicht Microsoft Sentinel das Erfassen von Sicherheitsereignisprotokollen und anderen Ereignissen aus dem CyberArk Audit-Dienst über die REST-API. Diese Integration hilft Ihnen, potenzielle Sicherheitsrisiken zu erkennen, Benutzeraktivitäten zu überwachen, Zusammenarbeitsmuster zu analysieren, Konfigurationsprobleme zu beheben und tiefere Einblicke in Ihre Umgebung zu erhalten.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyberArk_AuditEvents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• CyberArk Audit Service Platform: Zugriff zum Ausführen der erforderlichen Konfigurationen auf der CyberArk Audit-Plattform

Setupanweisungen:

Stellen Sie eine Verbindung mit der CyberArk-Überwachungs-API her, um mit dem Sammeln von Ereignisprotokollen in Microsoft Sentinel

Führen Sie die folgenden Schritte aus, um Microsoft Sentinel in CyberArk Audit zu integrieren und die zentralisierte Überwachung von System- und Benutzeraktivitäten in Microsoft Sentinel zu ermöglichen. Sie können auch die Dokumentation zur CyberArk-Überwachung lesen und bis Schritt 5 folgen.

Schritt 1: Erstellen einer neuen SIEM-Integration

1. Navigieren Sie im CyberArk-Portal zu Administration.
2. Wählen Sie ausMy environmentExport to SIEM>Integrations>.
3. Wählen Sie auf der Seite SIEM-Integrationen die Option Create>Create SIEM integration
4. Wählen Sie auf der Create a SIEM integration Seite den Identity Administration Link zum Erstellen eines OAuth-Serverwebs in der Identitätsverwaltung aus. Schritt 2: Erstellen einer OAuth2-Server-Web-App in der Identitätsverwaltung
5. Wählen Identity Administration Sie auf der Seite im linken Menü Apps & Widgets>Web-Apps
6. Wählen Sie auf der Registerkarte eine OAuth2 server Web-App vom Typ aus, und erstellen Sie Add Web-Apps sieCustom.
7. Geben Sie CyberArkAuditforMicrosoftSentinel in die ApplicationID Felder und Name ein.
8. Stellen Sie auf der Tokens Registerkarte sicher, dass der Wert im Token Type Feld ist jwtR256 und nur die Client Creds Autorisierungsmethode ausgewählt ist.
9. Klicken Sie auf die Scope Registerkarte, und geben Sie Add einisp.audit.events:read.
10. Kopieren Sie auf der Advanced Registerkarte das folgende Skript, fügen Sie es ein, und klicken Sie dann auf Speichern.

		setClaim('tenant_id', TenantData.Get("CybrTenantID"));
		setClaim('aud', 'cyberark.isp.audit');

7. Klicken Sie auf Save. Schritt 3: Erstellen eines Dienstbenutzers in der Identitätsverwaltung
8. Wechseln Sie zu Core Services>Users, und wählen Sie aus Add User.
9. Geben Sie im Account Abschnitt und Login nameDisplay name als MicrosoftSentinelein. Fügen Sie ein neues Kennwort hinzu, oder generieren Sie das Kennwort automatisch.
10. Wählen Sie aus OAuth confidential client.
11. Klicken Sie auf der Application Settings Registerkarte auf Add.
12. Wählen Sie die Anwendung aus CyberArkAuditforMicrosoftSentinel . Dies ist der Name, den Sie im Webdienst erstellt haben. Schritt 4: Erteilen von Web-App-Berechtigungen für den Dienstbenutzer
13. Wechseln Sie zu der Web-App, die CyberArkAuditforMicrosoftSentinel Sie erstellt haben.
14. Klicken Sie auf der Permissions Registerkarte auf Add ihren Benutzer MicrosoftSentinel , und klicken Sie dann auf Add.
15. Legen Sie die folgenden Berechtigungen für den Benutzer fest:
    • Gewähren
    • View
    • Ausführen
    • Automatische Bereitstellung Schritt 5: Definieren der Integrationsbeschreibung
16. Gehen Sie zu Administration.
17. Wählen Sie ausMy environmentExport to SIEM>Integrations>.
18. Wählen Sie aus Create>Create SIEM integration.
19. Geben Sie den Namen als Microsoft Sentinel Integration ein, und fügen Sie optional eine Beschreibung hinzu.
20. Klicken Sie auf Apply. Schritt 6: Verbinden von CyberArk Audit Service mit Microsoft Sentinel Data Connector

Hinweis: Kopieren Sie alle Details, die Sie in den vorherigen Schritten erfasst haben, und stellen Sie eine Verbindung mit dem CyberArk Audit-Dienst her.

• OAuth2-Server-App-Name: (z. B. AuditforMicrosoftSentinel)
• ÜBERWACHUNGS-API-Schlüssel: (Der API-Schlüssel kann vom Überwachungsdienst abgerufen werden)
• Identitätsendpunkt: (z. B. kln9281.id.cyberark.cloud)
• Überwachungs-API-Basis-URL: (z. B. org-test.audit.cyberark.cloud)
• Abfragefilteraktion überwachen (optional): (z. B. {"op":"include","params":["cloud.core.login","cloud.core.mfasummary"]})
• Audit Query Filter Application Code (Optional): (z. B. {"op":"include","params":["IDP","CMS"]})
• Audit Query Filter Audit Type (Optional): (z. B. {"op":"include","params":["Failure"]})

---

CyberArkAudit (mit Azure Functions)

Unterstützt von:CyberArk-Support

Der CyberArk Audit-Datenconnector bietet die Möglichkeit, Sicherheitsereignisprotokolle des CyberArk Audit-Diensts und weitere Ereignisse über die REST-API in Microsoft Sentinel abzurufen. Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyberArk_AuditEvents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Details und Anmeldeinformationen zu REST-API-Verbindungen überwachen: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint und AuditApiBaseUrl sind für API-Aufrufe erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Azure Blob Storage-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Blob Storage Preise.

HINWEIS: API-Autorisierungsschlüssel oder -Token werden sicher in Azure Key Vault gespeichert. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten.

SCHRITT 1: Konfigurationsschritte für die CyberArk Audit SIEM-Integration

Befolgen Sie die Anweisungen , um Verbindungsdetails und Anmeldeinformationen abzurufen.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den CyberArk Audit-Datenconnector bereitstellen, verwenden Sie den Arbeitsbereichsnamen und arbeitsbereichsspeicherort (können wie folgt kopiert werden).

• Arbeitsbereichsname: <Variablenwert, der zur Installationszeit angegeben wird>
• Arbeitsbereichsspeicherort: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des CyberArk Audit-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie CyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL ein, und stellen Sie sie bereit. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den CyberArk Audit-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z.B. CyberArkXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.10 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): CyberArkAuditBenutzername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Cybersixgill Actionable Alerts (mit Azure Functions)

Unterstützt von:Cybersixgill

Aktionen erfordernde Warnungen bieten benutzerdefinierte Warnungen basierend auf konfigurierten Ressourcen

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyberSixgill_Alerts_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Client_ID und Client_Secret sind für API-Aufrufe erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Cybersixgill-API herzustellen, um Warnungen in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Blob Storage Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Cybersixgill Actionable Alerts-Datenconnectors mit arm tempate.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, die Client-ID, den geheimen Clientschlüssel, timeInterval und deploy ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den Cybersixgill Actionable Alerts-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS:Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. CybersixgillAlertsXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): ClientID ClientSecret Polling WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an:https://<CustomerId>.ods.opinsights.azure.us

3. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Cyble Vision-Warnungen

Unterstützt von:Cyble Support

Der CCF-Datenconnector für Cyble Vision-Warnungen ermöglicht die Erfassung von Bedrohungswarnungen aus Cyble Vision in Microsoft Sentinel mithilfe des Codeless Connector Framework Connectors. Sie sammelt Warnungsdaten über die API, normalisiert sie und speichert sie in einer benutzerdefinierten Tabelle für erweiterte Erkennung, Korrelation und Reaktion.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CybleVisionAlerts_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Cyble Vision-API-Token: Ein API-Token von Cyble Vision Platform ist erforderlich.

Setupanweisungen:

Schritt 1: Generieren von API-Token von Cyble Platform

Navigieren Sie zu Cyble Platform , und melden Sie sich mit Ihren Cyble Vision-Anmeldeinformationen an.

Wechseln Sie nach der Anmeldung zum linken Bereich, und scrollen Sie nach unten zu Hilfsprogramme. Klicken Sie auf Zugriffs-APIs. Klicken Sie in der oberen rechten Ecke der Seite auf das Symbol + (Hinzufügen), um einen neuen API-Schlüssel zu generieren. Geben Sie einen Alias (einen Anzeigenamen für Ihren Schlüssel) an, und klicken Sie auf Generieren. Kopieren Sie das generierte API-Token, und speichern Sie es sicher.

SCHRITT 2: Konfigurieren des Datenconnectors

Kehren Sie zu Microsoft Sentinel zurück, und öffnen Sie die Konfigurationsseite des Datenconnectors für Cyble Vision-Warnungen. Fügen Sie Ihr Cyble-API-Token in das Feld API-Token unter "API-Details" ein.

• API-Token: (Geben Sie Ihr API-Token ein)
• Abfrageintervall (in Minuten): (Geben Sie Zeit in Minuten ein (z. B. 10))
• Verbindung aktivieren/deaktivieren

---

Cyborg Security HUNTER Hunt Pakete

Unterstützt von:Cyborg Security

Cyborg Security ist ein führender Anbieter fortschrittlicher Lösungen zur Bedrohungssuche, mit dem Ziel, Organisationen mit modernster Technologie und tools für die Zusammenarbeit zu unterstützen, um Cyberbedrohungen proaktiv zu erkennen und darauf zu reagieren. Das Flaggschiff-Angebot von Cyborg Security, die HUNTER-Plattform, kombiniert leistungsstarke Analysen, kuratierte Inhalte zur Bedrohungssuche und umfassende Suchverwaltungsfunktionen, um ein dynamisches Ökosystem für eine effektive Bedrohungssuche zu schaffen.

Führen Sie die Schritte aus, um Zugriff auf die Cyborg Security-Community zu erhalten und die "Open in Tool"-Funktionen in der HUNTER-Plattform einzurichten.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityEvent	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Hinweis: Verwenden Sie den folgenden Link, um Ihre Azure Tentant-ID zu suchen, wie Sie Ihre Azure Active Directory-Mandanten-ID finden.

• ResourceGroupName & WorkspaceName: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• WorkspaceID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

1. Registrieren Sie sich für das HUNTER Community-Konto von Cyborg Security

Cyborg Security bietet Community-Memebers Zugriff auf eine Teilmenge der Emerging Threat Collections- und Hunting-Pakete.

Erstellen Sie ein kostenloses Commuinity-Konto, um Zugriff auf Die Hunt Packages von Cyborg Security zu erhalten: Jetzt registrieren!

2. Konfigurieren des Features "In Tool öffnen"

1. Navigieren Sie zum Abschnitt Umgebung der HUNTER-Plattform.

2. Geben Sie den Stamm-URI Ihrer Umgebung im Abschnitt mit der Bezeichnung Microsoft Sentinel ein. Ersetzen Sie die <fett formatierten Elemente> durch die IDs und Namen Ihres Abonnements, Ihrer Ressourcengruppen und Arbeitsbereiche.

   https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/

3. Klicken Sie auf Speichern.

3. Führen Sie einen HUNTER-Jagd-Pacakge in Microsoft Sentinel

Identifizieren Sie ein Cyborg Security HUNTER-Hunting-Paket für die Bereitstellung, und verwenden Sie die Schaltfläche In Tool öffnen, um schnell Microsoft Sentinel zu öffnen und den Hunting-Inhalt zu inszenieren.

---

Cyera DSSM Microsoft Sentinel Data Connector

Unterstützt von:Cyera Inc

Mit dem Cyera DSSM-Datenconnector können Sie eine Verbindung mit dem DSSM Mandanten Ihrer Cyera herstellen und Klassifizierungen, Ressourcen, Probleme und Identitätsressourcen/-definitionen in Microsoft Sentinel erfassen. Der Datenconnector basiert auf dem Codeless Connector Framework von Microsoft Sentinel und verwendet die Cyera-API zum Abrufen der DSSM Telemetriedaten von Cyera nach dem Empfang können mit Sicherheitsereignissen korreliert werden, die benutzerdefinierte Spalten erstellen, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyeraClassifications_CL	Nein	Nein
CyeraAssets_CL	Nein	Nein
CyeraAssets_MS_CL	Nein	Nein
CyeraIssues_CL	Nein	Nein
CyeraIdentities_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Cyera DSSM-Authentifizierung

Herstellen einer Verbindung mit Ihrem Cyera DSSM Tenenant über persönliche Zugriffstoken

• Client-ID des Persönlichen Zugriffstokens von Cyera: (client_id)
• Geheimer Schlüssel des persönlichen Cyera-Zugriffstokens: (secret_key)
• Verbindung aktivieren/deaktivieren

---

CYFIRMA-Angriffsfläche

Unterstützt von:CYFIRMA

Nicht zutreffend

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyfirmaASCertificatesAlerts_CL	Ja	Ja
CyfirmaASConfigurationAlerts_CL	Ja	Ja
CyfirmaASDomainIPReputationAlerts_CL	Ja	Ja
CyfirmaASOpenPortsAlerts_CL	Ja	Ja
CyfirmaASCloudWeaknessAlerts_CL	Ja	Ja
CyfirmaASDomainIPVulnerabilityAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

CYFIRMA-Angriffsfläche

Stellen Sie eine Verbindung mit cyFIRMA Attack Surface her, um Warnungen in Microsoft Sentinel zu erfassen. Dieser Connector verwendet die DeCYFIR/DeTCT-API zum Abrufen von Protokollen und unterstützt DCR-basierte Erfassungszeittransformationen, die während der Erfassung Sicherheitsdaten in benutzerdefinierte Tabellen analysieren. Dadurch entfällt die Notwendigkeit der Abfragezeitanalyse, was die Leistung und Effizienz verbessert.

• CYFIRMA-API-URL: (https://decyfir.cyfirma.com)
• CYFIRMA-API-Schlüssel: (CYFIRMA-API-Schlüssel)
• API-Delta: (API-Delta)
• Verbindung aktivieren/deaktivieren

---

CYFIRMA Brand Intelligence

Unterstützt von:CYFIRMA

Nicht zutreffend

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyfirmaBIDomainITAssetAlerts_CL	Ja	Ja
CyfirmaBIExecutivePeopleAlerts_CL	Ja	Ja
CyfirmaBIProductSolutionAlerts_CL	Ja	Ja
CyfirmaBISocialHandlersAlerts_CL	Ja	Ja
CyfirmaBIMaliciousMobileAppsAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

CYFIRMA Brand Intelligence

Stellen Sie eine Verbindung mit CYFIRMA Brand Intelligence her, um Warnungsdaten in Microsoft Sentinel zu erfassen. Dieser Connector verwendet die DeCYFIR/DeTCT-Warnungs-API zum Abrufen von Protokollen und unterstützt DCR-basierte Erfassungszeittransformationen, die während der Erfassung Sicherheitsdaten in benutzerdefinierte Tabellen analysieren. Dies verbessert die Leistung und Effizienz, da keine Analyse zur Abfragezeit erforderlich ist.

• CYFIRMA-API-URL: (https://decyfir.cyfirma.com)
• CYFIRMA-API-Schlüssel: (CYFIRMA-API-Schlüssel)
• API-Delta: (API-Delta)
• Verbindung aktivieren/deaktivieren

---

Kompromittierte CYFIRMA-Konten

Unterstützt von:CYFIRMA

Der CYFIRMA-Datenconnector für kompromittierte Konten ermöglicht die nahtlose Protokollerfassung aus der DeCYFIR/DeTCT-API in Microsoft Sentinel. Basierend auf dem Microsoft Sentinel Codeless Connector Framework nutzt es die DeCYFIR/DeTCT-API zum Abrufen von Protokollen. Darüber hinaus werden DCR-basierte Erfassungszeittransformationen unterstützt, die Sicherheitsdaten während der Erfassung in einer benutzerdefinierten Tabelle analysieren. Dadurch entfällt die Notwendigkeit der Abfragezeitanalyse, was die Leistung und Effizienz verbessert.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyfirmaCompromisedAccounts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Kompromittierte CYFIRMA-Konten

Der CYFIRMA-Datenconnector für kompromittierte Konten ermöglicht die nahtlose Erfassung von Protokollen aus der DeCYFIR/DeTCT-API in Microsoft Sentinel. Basierend auf dem Microsoft Sentinel Codeless Connector Framework nutzt es die DeCYFIR/DeTCT-API zum Abrufen von Protokollen. Darüber hinaus werden DCR-basierte Erfassungszeittransformationen unterstützt, die Sicherheitsdaten während der Erfassung in einer benutzerdefinierten Tabelle analysieren. Dadurch entfällt die Notwendigkeit der Abfragezeitanalyse, was die Leistung und Effizienz verbessert.

• CYFIRMA-API-URL: (https://decyfir.cyfirma.com)
• CYFIRMA-API-Schlüssel: (CYFIRMA-API-Schlüssel)
• API-Delta: (API-Delta)
• Verbindung aktivieren/deaktivieren

---

CYFIRMA Cyber Intelligence

Unterstützt von:CYFIRMA

Der CYFIRMA Cyber Intelligence-Datenconnector ermöglicht die nahtlose Protokollerfassung aus der DeCYFIR-API in Microsoft Sentinel. Es basiert auf dem Microsoft Sentinel Codeless Connector Framework und nutzt die DeCYFIR-Warnungs-API zum Abrufen von Protokollen. Darüber hinaus werden DCR-basierte Erfassungszeittransformationen unterstützt, die Sicherheitsdaten während der Erfassung in einer benutzerdefinierten Tabelle analysieren. Dadurch entfällt die Notwendigkeit der Abfragezeitanalyse, was die Leistung und Effizienz verbessert.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyfirmaIndicators_CL	Ja	Ja
CyfirmaThreatActors_CL	Ja	Ja
CyfirmaCampaigns_CL	Ja	Ja
CyfirmaMalware_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

CYFIRMA Cyber Intelligence

Dieser Connector stellt die Protokolle "Indikatoren", "Bedrohungsakteure", "Schadsoftware" und "Kampagnen" von CYFIRMA Cyber Intelligence bereit. Der Connector verwendet die DeCYFIR-API zum Abrufen von Protokollen und unterstützt DCR-basierte Erfassungszeittransformationen, die während der Erfassung Sicherheitsdaten in einer benutzerdefinierten Tabelle analysieren. Dadurch entfällt die Notwendigkeit der Abfragezeitanalyse, was die Leistung und Effizienz verbessert.

• CYFIRMA-API-URL: (https://decyfir.cyfirma.com)
• CYFIRMA-API-Schlüssel: (CYFIRMA-API-Schlüssel)
• Pullen aller IoC- oder maßgeschneiderten IoC-Vorgänge: (Alle IoC- oder tailored IoC-Werte)
• API-Delta: (API-Delta)
• Empfohlene Aktionen: (Empfohlene Aktion kann eine beliebige sein: All/Monitor/Block)
• Bedrohungsakteur zugeordnet: (Ist ein beliebiger Bedrohungsakteur zugeordnet, der dem IoC zugeordnet ist)
• Verbindung aktivieren/deaktivieren

---

CYFIRMA Digital Risk

Unterstützt von:CYFIRMA

Der CYFIRMA Digital Risk Alerts-Datenconnector ermöglicht die nahtlose Erfassung von Protokollen aus der DeCYFIR/DeTCT-API in Microsoft Sentinel. Es basiert auf dem Microsoft Sentinel Codeless Connector Framework und nutzt die DeCYFIR-Warnungs-API zum Abrufen von Protokollen. Darüber hinaus werden DCR-basierte Erfassungszeittransformationen unterstützt, die Sicherheitsdaten während der Erfassung in einer benutzerdefinierten Tabelle analysieren. Dadurch entfällt die Notwendigkeit der Abfragezeitanalyse, was die Leistung und Effizienz verbessert.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyfirmaDBWMPhishingAlerts_CL	Ja	Ja
CyfirmaDBWMRansomwareAlerts_CL	Ja	Ja
CyfirmaDBWMDarkWebAlerts_CL	Ja	Ja
CyfirmaSPESourceCodeAlerts_CL	Ja	Ja
CyfirmaSPEConfidentialFilesAlerts_CL	Ja	Ja
CyfirmaSPEPIIAndCIIAlerts_CL	Ja	Ja
CyfirmaSPESocialThreatAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

CYFIRMA Digital Risk

Stellen Sie eine Verbindung mit CYFIRMA Digital Risk Alerts her, um Protokolle in Microsoft Sentinel zu erfassen. Dieser Connector verwendet die DeCYFIR/DeTCT-API zum Abrufen von Warnungen und unterstützt DCR-basierte Erfassungszeittransformationen für eine effiziente Protokollanalyse.

• CYFIRMA-API-URL: (https://decyfir.cyfirma.com)
• CYFIRMA-API-Schlüssel: (CYFIRMA-API-Schlüssel)
• API-Delta: (API-Delta)
• Verbindung aktivieren/deaktivieren

---

CYFIRMA Vulnerabilities Intelligence

Unterstützt von:CYFIRMA

Der CYFIRMA Vulnerabilities Intelligence-Datenconnector ermöglicht die nahtlose Protokollerfassung aus der DeCYFIR-API in Microsoft Sentinel. Es basiert auf dem Microsoft Sentinel Codeless Connector Framework und nutzt die CYFIRMA-API zum Abrufen von Protokollen. Darüber hinaus werden DCR-basierte Erfassungszeittransformationen unterstützt, die Sicherheitsdaten während der Erfassung in einer benutzerdefinierten Tabelle analysieren. Dadurch entfällt die Notwendigkeit der Abfragezeitanalyse, was die Leistung und Effizienz verbessert.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyfirmaVulnerabilities_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

CYFIRMA Vulnerabilities Intelligence

Dieser Connector stellt die Sicherheitsrisikoprotokolle von CYFIRMA Vulnerabilities Intelligence bereit. Der Connector verwendet die DeCYFIR-API zum Abrufen von Protokollen und unterstützt DCR-basierte Erfassungszeittransformationen, die während der Erfassung Sicherheitsdaten in einer benutzerdefinierten Tabelle analysieren. Dadurch entfällt die Notwendigkeit der Abfragezeitanalyse, was die Leistung und Effizienz verbessert.

• CYFIRMA-API-URL: (https://decyfir.cyfirma.com)
• CYFIRMA-API-Schlüssel: (CYFIRMA-API-Schlüssel)
• API-Delta: (API-Delta)
• Vom Anbieter zugeordnete Sicherheitsrisiken:
• Produktbezogene Sicherheitsrisiken:
• Produkt mit Version-Associated Sicherheitsrisiken:
• Verbindung aktivieren/deaktivieren

---

Cynerio-Sicherheitsereignisse

Unterstützt von:Cynerio

Mit dem Cynerio-Connector können Sie Ihre Cynerio-Sicherheitsereignisse ganz einfach mit Microsoft Sentinel verbinden, um IDS-Ereignisse anzuzeigen. Dadurch erhalten Sie mehr Einblick in Ihren organization Netzwerksicherheitsstatus und verbessern Ihre Sicherheitsfunktionen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CynerioEvent_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Konfigurieren und Verbinden von Cynerio

Cynerio kann Ereignisse über Azure Server direkt in Microsoft Sentinel integrieren und exportieren. Führen Sie die folgenden Schritte aus, um die Integration einzurichten:

1. Wechseln Sie in der Cynerio-Konsole zur Registerkarte Einstellungen > Integrationen (Standard), und klicken Sie oben rechts auf die Schaltfläche +Integration hinzufügen .

2. Scrollen Sie nach unten zum Abschnitt SIEM .

3. Klicken Sie auf der Microsoft Sentinel Karte auf die Schaltfläche Verbinden.

4. Das Fenster Integrationsdetails wird geöffnet. Verwenden Sie die folgenden Parameter, um das Formular auszufüllen und die Verbindung einzurichten.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Cyren Threat Intelligence

Unterstützt von:Data443 Risk Mitigation, Inc.

Erfassen Sie DIE IP-Zuverlässigkeit und Malware-URL-Indikatoren aus Cyren mithilfe des Common Connector Framework (CCF).

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Cyren_Indicators_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Cyren-JWT-Token: JWT-Token, die in Azure Key Vault gespeichert oder zum Zeitpunkt der Bereitstellung bereitgestellt werden.

Setupanweisungen:

Verbinden von Cyren Threat Intelligence

Um den Cyren Threat Intelligence-Connector zu aktivieren, geben Sie unten Ihre JWT-Token an, und klicken Sie auf Verbinden.

Hinweis: Je nach Abonnement können Sie entweder einen Feed oder beides verwenden. Lassen Sie das Tokenfeld für alle Feeds leer, die Sie nicht erworben haben. Es werden nur die Connectors für bereitgestellte Token bereitgestellt.

Um die Sicherheit zu erhöhen, können Sie Key Vault Integration aktivieren, um die JWT-Token zu speichern und abzurufen.

• IP-Reputation-JWT-Token (optional): (Leer lassen, wenn nicht gekauft)
• Malware URL JWT Token (Optional): (Leer lassen, wenn nicht gekauft)
• Verbindung aktivieren/deaktivieren

---

D3 Smart SOAR-Vorfälle

Unterstützt von:D3 Security

Der D3 Smart SOAR-Datenconnector pullt Incidents von D3 Smart SOAR mithilfe des D3 codelosen REST-API-Befehlsendpunkts in Microsoft Sentinel.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
D3SOARIncidents_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Verbinden von D3 Smart SOAR mit Microsoft Sentinel

Voraussetzung: Navigieren Sie in D3 Smart SOAR zu Organisationsverwaltung → Websites, wählen Sie die Website aus, mit der Sie eine Verbindung herstellen, und legen Sie die Zeitzone auf (UTC+00:00) Koordinierte Weltzeit fest. Dadurch wird sichergestellt, dass die Incidentzeitstempel ordnungsgemäß an Microsoft Sentinel ausgerichtet sind.

Geben Sie unten ihre D3 Smart SOAR-Verbindungsdetails ein. Incidents werden alle 5 Minuten abgefragt und in die D3SOARIncidents_CL Tabelle geschrieben. Server-URL – Die Basis-URL Ihrer D3 Smart SOAR-Bereitstellung bis einschließlich des Websitepfads. Schließen Sie den API-Pfad nicht ein. Benutzername – Benutzername Ihres D3 Smart SOAR-Kontos (entspricht Ihrer Portalanmeldung). Website : Der Name der D3 Smart SOAR-Website, zu der Ihr Konto gehört (z. B. Security Operations). D3 JWT – Ein JSON-Webtoken, das von D3 Smart SOAR für die API-Authentifizierung ausgestellt wird.

• Server-URL: (https://poc.bemimo.com/ce_site/VSOC)
• Benutzername: (Administrator)
• Standort: (Sicherheitsvorgänge)
• D3 JWT: (ey...)
• Verbindung aktivieren/deaktivieren

---

Darktrace-Connector für Microsoft Sentinel REST-API

Unterstützt von:Darktrace

Der Darktrace-REST-API-Connector pusht Echtzeitereignisse von Darktrace an Microsoft Sentinel und ist für die Verwendung mit der Darktrace-Lösung für Sentinel konzipiert. Der Connector schreibt Protokolle in eine benutzerdefinierte Protokolltabelle mit dem Titel "darktrace_model_alerts_CL". Modellverletzungen, KI-Analystenvorfälle, Systemwarnungen und Email Warnungen können erfasst werden. Zusätzliche Filter können auf der Seite Darktrace-Systemkonfiguration eingerichtet werden. Daten werden von Darktrace-Mastern an Sentinel gepusht.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
darktrace_model_alerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Voraussetzungen für Darktrace: Um diesen Datenconnector verwenden zu können, ist ein Darktrace-master mit v5.2 und höher erforderlich. Daten werden über HTTPs von Darktrace-Mastern an die AZURE Monitor-HTTP-Datensammler-API gesendet. Daher ist eine ausgehende Konnektivität vom Darktrace-master mit Microsoft Sentinel REST-API erforderlich.
• Filtern von Darktrace-Daten: Während der Konfiguration ist es möglich, zusätzliche Filterung auf der Seite "Darktrace-Systemkonfiguration" einzurichten, um die Menge oder die Typen der gesendeten Daten einzuschränken.
• Probieren Sie die Darktrace-Sentinel-Lösung aus: Sie können diesen Connector optimal nutzen, indem Sie die Darktrace-Lösung für Microsoft Sentinel installieren. Dadurch werden Arbeitsmappen bereitgestellt, um Warnungsdaten und Analyseregeln zu visualisieren, um automatisch Warnungen und Vorfälle aus Darktrace-Modellverletzungen und KI-Analystenvorfällen zu erstellen.

Setupanweisungen:

1. Ausführliche Anweisungen zum Einrichten finden Sie im Darktrace-Kundenportal: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
2. Notieren Sie sich die Arbeitsbereichs-ID und den Primärschlüssel. Sie müssen diese Details auf der Seite "Darktrace-Systemkonfiguration" eingeben.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Darktrace-Konfiguration

1. Führen Sie auf der Seite Darktrace-Systemkonfiguration die folgenden Schritte aus:
2. Navigieren Sie zur Seite Systemkonfiguration (Hauptmenü > Admin > Systemkonfiguration)
3. Wechseln Sie zu Modulkonfiguration, und klicken Sie auf die Microsoft Sentinel-Konfiguration Karte
4. Wählen Sie "HTTPS (JSON)" aus, und klicken Sie auf "Neu".
5. Geben Sie die erforderlichen Details ein, und wählen Sie die entsprechenden Filter aus.
6. Klicken Sie auf "Warnungseinstellungen überprüfen", um die Authentifizierung zu versuchen und eine Testwarnung zu senden.
7. Führen Sie eine Beispielabfrage zum Suchen nach Testwarnungen aus, um zu überprüfen, ob die Testwarnung empfangen wurde.

---

DataBahn

Unterstützt von:Databahn

Der DataBahn-Connector bietet die Möglichkeit, Plattformtelemetriedaten in Echtzeit aus Ihrer DataBahn-Umgebung mithilfe des CCF-Pushmusters (Codeless Connector Framework) direkt in Microsoft Sentinel zu übertragen. Dieser Connector erfasst Überwachungsprotokolle, Betriebswarnungen und Geräteinventur zur Analyse, Warnung und Visualisierung in benutzerdefinierten Log Analytics-Tabellen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
databahn_audit_logs_CL	Nein	Nein
databahn_alerts_CL	Nein	Nein
databahn_device_inventory_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR). In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Mit diesem Connector kann Ihre DataBahn-Plattform Überwachungsprotokolle, Warnungen und Geräteinventur über die Azure Monitor-Erfassungs-API direkt an Microsoft Sentinel pushen.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung von Log Analytics-Tabellen und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Konfigurieren Ihrer DataBahn-Plattform

Verwenden Sie die folgenden Parameter, um Ihr DataBahn Highway-Ziel so zu konfigurieren, dass Daten per Push an den Arbeitsbereich übertragen werden.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Überwachungsprotokolle Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Warnungen Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Device Inventory Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Datalake2Sentinel

Unterstützt von:Orange Cyberdefense

Diese Lösung installiert den Datalake2Sentinel-Connector, der mit dem Codeless Connector Framework erstellt wurde, und ermöglicht es Ihnen, Threat Intelligence-Indikatoren von der CTI-Plattform von Datalake Orange Cyberdefense automatisch über die REST-API zum Hochladen von Indikatoren in Microsoft Sentinel zu erfassen. Nachdem Sie die Lösung installiert haben, konfigurieren und aktivieren Sie diesen Datenconnector, indem Sie die Anleitung unter Verwalten der Lösungsansicht befolgen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Installations- und Setupanweisungen

Verwenden Sie die Dokumentation aus diesem GitHub-Repository, um Datalake für Microsoft Sentinel Connector zu installieren und zu konfigurieren.

https://github.com/cert-orangecyberdefense/datalake2sentinel

---

Dataminr Pulse Alerts Data Connector (mit Azure Functions)

Unterstützt von:Dataminr-Support

Dataminr Pulse Alerts Data Connector bringt unsere KI-gestützte Echtzeitintelligenz in Microsoft Sentinel für eine schnellere Bedrohungserkennung und -reaktion.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DataminrPulse_Alerts_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Erforderliche Dataminr-Anmeldeinformationen/-berechtigungen:

a. Benutzer müssen über eine gültige Dataminr Pulse-API-Client-ID und ein geheimnis verfügen, um diesen Datenconnector verwenden zu können.

b. Mindestens eine Dataminr Pulse Watchlist muss auf der Dataminr Pulse-Website konfiguriert werden.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit dem DataminrPulse herzustellen, in dem Protokolle per Dataminr RTAP gepusht werden, und er erfasst Protokolle in Microsoft Sentinel. Darüber hinaus ruft der Connector die erfassten Daten aus der Tabelle für benutzerdefinierte Protokolle ab und erstellt Threat Intelligence-Indikatoren in Microsoft Sentinel Threat Intelligence. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Anmeldeinformationen für die Dataminr Pulse-Client-ID und den geheimen Clientschlüssel

• Rufen Sie die Dataminr Pulse-Benutzer-ID/das Kennwort und die API-Client-ID/-geheimnis von Ihrem Dataminr Customer Success Manager (CSM) ab.

SCHRITT 2: Konfigurieren von Watchlists im Dataminr Pulse-Portal.

Führen Sie die Schritte in diesem Abschnitt aus, um Watchlists im Portal zu konfigurieren:

1. Melden Sie sich auf der Dataminr Pulse-Website an.

2. Klicken Sie auf das Zahnradsymbol für Einstellungen, und wählen Sie Listen verwalten aus.

3. Wählen Sie den Typ der Watchlist aus, die Sie erstellen möchten (Cyber, Thema, Unternehmen usw.), und klicken Sie auf die Schaltfläche Neue Liste .

4. Geben Sie einen Namen für Ihre neue Watchlist an, und wählen Sie eine Hervorhebungsfarbe dafür aus, oder behalten Sie die Standardfarbe bei.

5. Wenn Sie die Konfiguration der Watchlist abgeschlossen haben, klicken Sie auf Speichern , um sie zu speichern.

SCHRITT 3: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von DataminrPulse Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 4: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von DataminrPulse Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von DataminrPulse Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 5: Zuweisen der Rolle "Mitwirkender" zur Anwendung in Microsoft Entra ID

Führen Sie die Schritte in diesem Abschnitt aus, um die Rolle zuzuweisen:

1. Wechseln Sie im Azure-Portal zu Ressourcengruppe, und wählen Sie Ihre Ressourcengruppe aus.
2. Wechseln Sie im linken Bereich zur Zugriffssteuerung (IAM).
3. Klicken Sie auf Hinzufügen, und wählen Sie dann Rollenzuweisung hinzufügen aus.
4. Wählen Sie Mitwirkender als Rolle aus, und klicken Sie auf Weiter.
5. Wählen Sie unter Zugriff zuweisen zu die Option aus User, group, or service principal.
6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den Namen Ihrer App ein, die Sie erstellt haben, und wählen Sie ihn aus.
7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink:/azure/role-based-access-control/role-assignments-portal

SCHRITT 6: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Vor der Bereitstellung des Dataminr Pulse Microsoft Sentinel-Datenconnectors sind die Arbeitsbereichs-ID und der Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden können) sofort verfügbar.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des DataminrPulse-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Informationen ein: Funktionsname Arbeitsbereichs-ID Arbeitsbereichsschlüssel WarnungenTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Dataminr Pulse Microsoft Sentinel-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1) Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. DmPulseXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.8 oder höher aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2) Konfigurieren der Funktions-App

1. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Werten hinzu (Groß-/Kleinschreibung beachten): Funktionsname Arbeitsbereichs-ID ArbeitsbereichsschlüsselWarnungenTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

SCHRITT 7: Schritte nach der Bereitstellung

1) Abrufen des Funktions-App-Endpunkts

1. Wechseln Sie Azure Funktionsübersichtsseite, und klicken Sie auf dem linken Blatt auf "Funktionen".
2. Klicken Sie auf die Funktion "DataminrPulseAlertsHttpStarter".
3. Wechseln Sie zu "GetFunctionurl" , und kopieren Sie die Funktions-URL.
4. Ersetzen Sie {functionname} durch "DataminrPulseAlertsSentinelOrchestrator" in der kopierten Funktions-URL.

2) So fügen Sie Integrationseinstellungen in Dataminr RTAP mithilfe der Funktions-URL hinzu

1. Öffnen Sie ein beliebiges API-Anforderungstool wie Postman.
2. Klicken Sie auf "+", um eine neue Anforderung zu erstellen.
3. Wählen Sie HTTP-Anforderungsmethode als "POST" aus.
4. Geben Sie im Anforderungs-URL-Teil die in Punkt 1) vorab festgelegte URL ein.
5. Wählen Sie in Text den unformatierten JSON-Code aus, und geben Sie den Anforderungstext wie folgt an (Groß-/Kleinschreibung beachten): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
6. Nachdem Sie alle erforderlichen Details angegeben haben, klicken Sie auf Senden.
7. Sie erhalten eine Integrationseinstellungs-ID in der HTTP-Antwort mit dem status Code 200.
8. Speichern Sie die Integrations-ID zur späteren Referenz.

Nun sind wir mit dem Hinzufügen von Integrationseinstellungen für Dataminr RTAP fertig. Sobald dataminr RTAP eine Warnungsdaten gesendet hat, wird die Funktions-App ausgelöst, und Sie sollten in der Lage sein, die Warnungsdaten aus der Dataminr Pulse in LogAnalytics-Arbeitsbereichstabelle namens "DataminrPulse_Alerts_CL" anzuzeigen.

---

Datawiza DAP

Unterstützt von:Datawiza Technology Inc.

Verbindet die Datawiza DAP-Protokolle über die REST-API-Schnittstelle mit Azure Log Analytics.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
datawizaserveraccess_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Schritt 1: Lesen Sie die ausführliche Dokumentation.

Der Installationsprozess ist ausführlich auf der Dokumentationswebsite Microsoft Sentinel Integration dokumentiert. Der Benutzer sollte unseren Support (support@datawiza.com) konsultieren, um die Installation und das Debuggen der Integration zu verstehen.

Schritt 2: Installieren des Datawiza Sentinel Connectors

Der nächste Schritt besteht darin, die Datawiza-Protokollweiterleitung zu installieren, um Protokolle an Microsoft Sentinel zu senden. Die genaue Installation hängt von Ihrer Umgebung ab. Ausführliche Informationen finden Sie in der Microsoft Sentinel Integration.

Schritt 3: Testen der Datenerfassung

Nach ungefähr 20 Minuten greifen Sie auf den Log Analytics-Arbeitsbereich auf Ihrer Microsoft Sentinel-Installation zu, und suchen Sie im Abschnitt Benutzerdefinierte Protokolle, ob eine datawizaserveraccess_CL Tabelle vorhanden ist. Verwenden Sie die Beispielabfragen, um die Daten zu untersuchen.

---

Derdack SIGNL4

Unterstützt von:Derdack

Wenn kritische Systeme ausfallen oder Sicherheitsvorfälle auftreten, überbrückt SIGNL4 Die letzte Meile zu Ihren Mitarbeitern, Ingenieuren, IT-Administratoren und Mitarbeitern vor Ort. Sie fügt Ihren Diensten, Systemen und Prozessen in kürzester Zeit mobile Echtzeitwarnungen hinzu. SIGNL4 benachrichtigt über permanente mobile Push-, SMS-Text- und Sprachanrufe mit Bestätigung, Nachverfolgung und Eskalation. Die integrierte Dienst- und Schichtplanung stellt sicher, dass die richtigen Personen zur richtigen Zeit alarmiert werden.

Weitere Informationen >

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityIncident	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

HINWEIS: Dieser Datenconnector wird hauptsächlich auf der SIGNL4-Seite konfiguriert. Ein Beschreibungsvideo finden Sie hier: Integrieren von SIGNL4 mit Microsoft Sentinel.

SIGNL4-Connector: Der SIGNL4-Connector für Microsoft Sentinel, Azure Security Center und andere Azure Graph Sicherheits-API-Anbieter bietet eine nahtlose 2-Wege-Integration in Ihre Azure Security-Lösungen. Nach dem Hinzufügen zu Ihrem SIGNL4-Team liest der Connector Sicherheitswarnungen aus Azure Graph-Sicherheits-API und löst automatisch Warnungsbenachrichtigungen an Ihre Teammitglieder aus, die diensthaben. Außerdem wird die Warnung status von SIGNL4 mit Graph Sicherheits-API synchronisiert. Wenn Warnungen bestätigt oder geschlossen werden, wird diese status auch für die entsprechende Azure Graph-Sicherheits-API Warnung oder den entsprechenden Sicherheitsanbieter aktualisiert. Wie bereits erwähnt, verwendet der Connector hauptsächlich Azure Graph-Sicherheits-API, aber für einige Sicherheitsanbieter wie Microsoft Sentinel werden auch dedizierte REST-APIs von Azure Lösungen verwendet.

Microsoft Sentinel Features

Microsoft Sentinel ist eine cloudnative SIEM-Lösung von Microsoft und ein Sicherheitswarnungsanbieter in Azure Graph Sicherheits-API. Die Ebene der warnungsdetails, die mit dem Graph-Sicherheits-API verfügbar sind, ist jedoch für Microsoft Sentinel begrenzt. Der Connector kann warnungen daher um weitere Details (Suchergebnisse der Insights-Regel) aus dem zugrunde liegenden Microsoft Sentinel Log Analytics-Arbeitsbereich erweitern. Dazu kommuniziert der Connector mit Azure Log Analytics-REST-API und benötigt entsprechende Berechtigungen (siehe unten). Darüber hinaus kann die App auch die status von Microsoft Sentinel Incidents aktualisieren, wenn alle zugehörigen Sicherheitswarnungen z.B. in Bearbeitung sind oder gelöst werden. Damit dies möglich ist, muss der Connector Mitglied der Gruppe "Microsoft Sentinel Mitwirkende" in Ihrem Azure-Abonnement sein. Automatisierte Bereitstellung in Azure Die Anmeldeinformationen, die für den Zugriff auf die zuvor bereitgestellten APIs erforderlich sind, werden von einem kleinen PowerShell-Skript generiert, das Sie unten herunterladen können. Das Skript führt die folgenden Aufgaben für Sie aus:

• Melden Sie sich bei Ihrem Azure-Abonnement an (melden Sie sich mit einem Administratorkonto an)
• Erstellt eine neue Unternehmensanwendung für diesen Connector in Ihrer Azure AD, die auch als Dienstprinzipal bezeichnet wird.
• Erstellt eine neue Rolle in Ihrem Azure IAM, die nur Azure Log Analytics-Arbeitsbereichen Lese-/Abfrageberechtigungen erteilt.
• Verknüpft die Unternehmensanwendung mit dieser Benutzerrolle.
• Verknüpft die Unternehmensanwendung mit der Rolle "mitwirkende Microsoft Sentinel".
• Gibt einige Daten aus, die Sie zum Konfigurieren der App benötigen (siehe unten).

Bereitstellungsverfahren

1. Laden Sie das PowerShell-Bereitstellungsskript hier herunter.
2. Überprüfen Sie das Skript und die Rollen und Berechtigungsbereiche, die es für die neue App-Registrierung bereitstellt. Wenn Sie den Connector nicht mit Microsoft Sentinel verwenden möchten, können Sie den gesamten Code für die Rollenerstellung und Rollenzuweisung entfernen und ihn nur zum Erstellen der App-Registrierung (SPN) in Ihrem Azure Active Directory verwenden.
3. Führen Sie das Skript aus. Am Ende werden Informationen ausgegeben, die Sie in die Connector-App-Konfiguration eingeben müssen.
4. Klicken Sie in Azure AD auf "App-Registrierungen". Suchen Sie die App mit dem Namen "SIGNL4AzureSecurity", und öffnen Sie ihre Details.
5. Klicken Sie auf dem linken Menüblatt auf "API-Berechtigungen". Klicken Sie dann auf "Berechtigung hinzufügen".
6. Klicken Sie auf dem Blatt, das geladen wird, unter "Microsoft-APIs" auf die Kachel "Microsoft Graph", und klicken Sie dann auf "App-Berechtigung".
7. Erweitern Sie in der angezeigten Tabelle "SecurityEvents", und aktivieren Sie "SecurityEvents.Read.All" und "SecurityEvents.ReadWrite.All".
8. Klicken Sie auf "Berechtigungen hinzufügen".

Konfigurieren der SIGNL4-Connector-App

Geben Sie schließlich die IDs ein, die das Skript in der Connectorkonfiguration ausgegeben hat:

• Azure Mandanten-ID
• Azure-Abonnement-ID
• Client-ID (der Unternehmensanwendung)
• Geheimer Clientschlüssel (der Unternehmensanwendung) Sobald die App aktiviert ist, beginnt sie mit dem Lesen Ihrer Azure Graph Sicherheits-API Warnungen.

HINWEIS: Es liest zunächst nur die Warnungen, die innerhalb der letzten 24 Stunden aufgetreten sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Digital Shadows Searchlight (mit Azure Functions)

Unterstützt von:Digital Shadows

Der Digital Shadows-Datenconnector ermöglicht die Erfassung der Incidents und Warnungen aus Digital Shadows Searchlight im Microsoft Sentinel mithilfe der REST-API. Der Connector stellt die Informationen zu Vorfällen und Warnungen bereit, sodass er bei der Untersuchung, Diagnose und Analyse potenzieller Sicherheitsrisiken und Bedrohungen hilfreich ist.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DigitalShadows_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Digital Shadows-Konto-ID, Geheimnis und Schlüssel sind erforderlich. Weitere Informationen zur API im finden Sie in der https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionDokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einem "Digital Shadows Searchlight" herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die API "Digital Shadows Searchlight"

Der Anbieter sollte detaillierte Schritte zum Konfigurieren des API-Endpunkts "Digital Shadows Searchlight" bereitstellen oder verknüpfen, damit sich die Azure-Funktion erfolgreich authentifizieren, den Autorisierungsschlüssel oder das Token abrufen und die Protokolle der Anwendung in Microsoft Sentinel pullen kann.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Connector "Digital Shadows Searchlight" bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus dem folgenden Beispiel kopiert werden) sowie die Autorisierungsschlüssel oder das Token der API "Digital Shadows Searchlight", die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Connectors "Digital Shadows Searchlight".

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den API-Benutzernamen, das API-Kennwort, "und/oder andere erforderliche Felder" ein.

Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Connector "Digital Shadows Searchlight" manuell mit Azure Functions bereitzustellen.

1. Erstellen einer Funktions-App

1. Navigieren Sie im Azure-Portal zu Funktions-App.
2. Klicken Sie oben auf + Erstellen .
3. Stellen Sie auf der Registerkarte Grundlagen sicher, dass Runtimestapel auf Python 3.8 festgelegt ist.
4. Stellen Sie auf der Registerkarte Hosting sicher, dass der Plantyp auf "Verbrauch (serverlos)" festgelegt ist. 5.Speicherkonto auswählen
5. "Weitere erforderliche Konfigurationen hinzufügen".
6. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

2. Importieren von Funktions-App-Code (Zip-Bereitstellung)

1. Installieren Azure CLI
2. Geben Sie im Terminal az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> ein, und drücken Sie die EINGABETASTE. Legen Sie den ResourceGroup Wert auf den Namen Ihrer Ressourcengruppe fest. Legen Sie den FunctionApp Wert auf den Namen Ihrer neu erstellten Funktions-App fest. Legen Sie den Zip File Wert auf folgendes fest: digitalshadowsConnector.zip(Pfad zu Ihrer ZIP-Datei). Hinweis: - Laden Sie die ZIP-Datei über den Link herunter – Funktions-App-Code

3. Konfigurieren der Funktions-App

1. Klicken Sie auf dem Bildschirm Funktions-App auf den Namen der Funktions-App, und wählen Sie Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden "x (Anzahl von)"-Anwendungseinstellungen einzeln hinzu, unter Name, mit den entsprechenden Zeichenfolgenwerten (Groß-/Kleinschreibung) unter Wert: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (optional) (fügen Sie alle anderen Einstellungen hinzu, die für die Funktions-App erforderlich sind) Legen Sie den DigitalShadowsURL Wert auf fest: https://api.searchlight.app/v1 Legen Sie den HighVariabilityClassifications Wert auf fest: Legen Sie die einstellung fest. exposed-credential,marked-documentClassificationFilterOperation Wert für: exclude für "Funktions-App ausschließen" oder include "Funktions-App einschließen"

Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Azure Key Vault Referenzdokumentation.

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://< CustomerId.ods.opinsights.azure.us>.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

DNS

Unterstützt von:Microsoft Corporation

Mit dem DNS-Protokollconnector können Sie Ihre DNS-Analyse- und Überwachungsprotokolle ganz einfach mit Microsoft Sentinel und anderen zugehörigen Daten verbinden, um die Untersuchung zu verbessern.

Wenn Sie die DNS-Protokollsammlung aktivieren, haben Sie folgende Möglichkeiten:

• Identifizieren Sie Clients, die versuchen, böswillige Domänennamen aufzulösen.
• Identifizieren veralteter Ressourcendatensätze.
• Identifizieren Sie häufig abgefragte Domänennamen und talkative DNS-Clients.
• Anzeigen der Anforderungslast auf DNS-Servern.
• Anzeigen von Fehlern bei der dynamischen DNS-Registrierung.

Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DnsEvents	Ja	Ja
DnsInventory	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Doppel-Datenconnector

Unterstützt von:Doppel

Der Datenconnector basiert auf Microsoft Sentinel für Doppel-Ereignisse und -Warnungen und unterstützt DCR-basierte Erfassungszeittransformationen, die die empfangenen Sicherheitsereignisdaten in benutzerdefinierte Spalten analysiert, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DoppelTable_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra Mandanten-ID, Client-ID und geheimer Clientschlüssel: Microsoft Entra ID erfordert eine Client-ID und einen geheimen Clientschlüssel, um Ihre Anwendung zu authentifizieren. Darüber hinaus ist Zugriff auf globale Admin-/Besitzerebene erforderlich, um der Entra registrierten Anwendung die Rolle Herausgeber von Ressourcengruppenüberwachungsmetriken zuzuweisen.
• Erfordert Arbeitsbereichs-ID, DCE-URI, DCR-ID: Sie müssen die Log Analytics-Arbeitsbereichs-ID, den DCE-Protokollerfassungs-URI und die DCR-Unveränderliche ID für die Konfiguration abrufen.

Setupanweisungen:

Konfigurieren des Doppel-Webhooks

Konfigurieren Sie den Webhook in Doppel und Endpunkt mit Berechtigungen in Microsoft Sentinel zum Senden von Daten.

Registrieren der Anwendung in Microsoft Entra ID

1. Öffnen Sie die Seite Microsoft Entra ID:

   • Klicken Sie auf den angegebenen Link, um die Microsoft Entra ID Registrierungsseite auf einer neuen Registerkarte zu öffnen.
   • Stellen Sie sicher, dass Sie mit einem Konto angemeldet sind, das über berechtigungen auf Admin ebene verfügt.

2. Erstellen Sie eine neue Anwendung:

   • Wählen Sie im Microsoft Entra ID-Portal auf der linken Registerkarte App-Registrierungen aus.
   • Klicken Sie auf + Neue Registrierung.
   • Füllen Sie die folgenden Felder aus:

• Name: Geben Sie einen Namen für die App ein (z. B. "Doppel-App").
• Unterstützte Kontotypen: Wählen Sie Nur Konten in diesem Organisationsverzeichnis (nur Standardverzeichnis – einzelner Mandant) aus.
• Umleitungs-URI: Lassen Sie diesen Wert leer, sofern nicht anders erforderlich.
  • Klicken Sie auf Registrieren , um die Anwendung zu erstellen.

3. Kopieren von Anwendungs- und Mandanten-IDs:

   • Nachdem die App registriert wurde, notieren Sie sich auf der Seite Übersicht die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandant ). Sie benötigen diese für die Integration.

4. Erstellen Eines geheimen Clientschlüssels:

   • Klicken Sie im Abschnitt Zertifikate & Geheimnisse auf + Neuer geheimer Clientschlüssel.
   • Fügen Sie eine Beschreibung hinzu (z. B. "DoppelGeheimnis") und legen Sie einen Ablauf (z. B. 1 Jahr) fest.
   • Klicken Sie auf Hinzufügen.
   • Kopieren Sie den Wert des geheimen Clientschlüssels sofort, da er nicht erneut angezeigt wird.

Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur App

1. Öffnen Sie die Ressourcengruppe im Azure-Portal:

   • Navigieren Sie zu der Ressourcengruppe, die den Log Analytics-Arbeitsbereich und die Datensammlungsregeln (Data Collection Rules, DCRs) enthält , in die die App Daten pushen soll.

2. Zuweisen der Rolle:

   • Klicken Sie im Menü Ressourcengruppe auf der linken Registerkarte auf Zugriffssteuerung (IAM).
   • Klicken Sie auf + Hinzufügen, und wählen Sie Rollenzuweisung hinzufügen aus.
   • Suchen Sie in der Dropdownliste Rolle nach der Rolle Herausgeber von Überwachungsmetriken, und wählen Sie sie aus.
   • Wählen Sie unter Zugriff zuweisen zu Azure AD-Benutzer, -Gruppe oder -Dienstprinzipal aus.
   • Suchen Sie im Feld Auswählen nach Ihrer registrierten App nach Name oder Client-ID.
   • Klicken Sie auf Speichern , um der Anwendung die Rolle zuzuweisen.

Bereitstellen der ARM-Vorlage

1. Rufen Sie die Arbeitsbereichs-ID ab:

   • Nach dem Zuweisen der Rolle benötigen Sie die Arbeitsbereichs-ID.
   • Navigieren Sie in der Ressourcengruppe zum Log Analytics-Arbeitsbereich.
   • Suchen Sie im Abschnitt Übersicht das Feld Arbeitsbereichs-ID unter Arbeitsbereichsdetails.
   • Kopieren Sie die Arbeitsbereichs-ID , und halten Sie sie für die nächsten Schritte bereit.

2. Klicken Sie auf die Schaltfläche Bereitstellen in Azure:

   • portal.azure.com.
   • Dadurch gelangen Sie direkt zum Azure-Portal, um die Bereitstellung zu starten.

3. Überprüfen und Anpassen von Parametern:

   • Stellen Sie auf der Seite benutzerdefinierte Bereitstellung sicher, dass Sie die Bereitstellung für das richtige Abonnement und die richtige Ressourcengruppe durchführen.
   • Geben Sie die Parameter wie Arbeitsbereichsname, Arbeitsbereichs-ID und Arbeitsbereichsstandort ein.

4. Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen , um die Ressourcen bereitzustellen.

Überprüfen der Einrichtung der DCE-, DCR- und Log Analytics-Tabelle

1. Überprüfen Sie den Datensammlungsendpunkt (Data Collection Endpoint, DCE):

   • Navigieren Sie nach der Bereitstellung zu Azure-Portal-Datensammlungsendpunkte>.
   • Vergewissern Sie sich, dass der DoppelDCE-Endpunkt erfolgreich erstellt wurde.
   • Kopieren Sie den DCE-Protokollerfassungs-URI, da Sie diesen zum Generieren der Webhook-URL benötigen.

2. Bestätigen des Setups der Datensammlungsregel (Data Collection Rule, DCR):

   • Wechseln Sie zu Azure Datensammlungsregeln im Portal>.
   • Stellen Sie sicher, dass die DoppelDCR-Regel vorhanden ist.
   • Kopieren Sie die Unveränderliche ID des DCR von der Seite Übersicht, da Sie sie für die Webhook-URL benötigen.

3. Überprüfen der Log Analytics-Tabelle:

   • Navigieren Sie zu Ihrem Log Analytics-Arbeitsbereich (verknüpft mit Microsoft Sentinel).
   • Überprüfen Sie im Abschnitt Tabellen, ob die DoppelTable_CL Tabelle erfolgreich erstellt wurde und zum Empfangen von Daten bereit ist.

Integrieren von Doppel-Warnungen in Microsoft Sentinel

1. Sammeln Sie die erforderlichen Informationen:
   • Sammeln Sie die folgenden Details, die für die Integration erforderlich sind:

• Datensammlungsendpunkt-ID (DCE-ID)
• Datensammlungsregel-ID (DCR-ID)
• Microsoft Entra Anmeldeinformationen: Mandanten-ID, Client-ID und geheimer Clientschlüssel.

2. Koordinate mit Doppel-Unterstützung:

   • Geben Sie die gesammelten DCE-ID, DCR-ID und Microsoft Entra Anmeldeinformationen mit Doppel-Unterstützung frei.
   • Fordern Sie Unterstützung zum Konfigurieren dieser Details im Doppel-Mandanten an, um die Webhookeinrichtung zu aktivieren.

3. Webhook-Setup von Doppel:

   • Doppel verwendet die bereitgestellten Ressourcen-IDs und Anmeldeinformationen, um einen Webhook zu konfigurieren.
   • Dieser Webhook erleichtert die Weiterleitung von Warnungen von Doppel an Microsoft Sentinel.

4. Überprüfen Sie die Warnungsübermittlung in Microsoft Sentinel:

   • Überprüfen Sie, ob Warnungen von Doppel erfolgreich an Microsoft Sentinel weitergeleitet werden.
   • Überprüfen Sie, ob die Arbeitsmappe in Microsoft Sentinel mit den Warnungsstatistiken aktualisiert wird, um eine nahtlose Datenintegration sicherzustellen.

---

Dragos-Benachrichtigungen über Cloud Sitestore

Unterstützt von:Dragos Inc

Die Dragos-Plattform ist die führende Industrielle Cyber Security-Plattform, die eine umfassende Operational Technology (OT)-Cyberbedrohungserkennung bietet, die auf beispiellosem Fachwissen in der industriellen Cybersicherheit basiert. Diese Lösung ermöglicht es, Dragos Platform-Benachrichtigungsdaten in Microsoft Sentinel anzuzeigen, sodass Sicherheitsanalysten in der Lage sind, potenzielle Cybersicherheitsereignisse in ihren industriellen Umgebungen zu selektieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DragosAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Dragos Sitestore-API-Zugriff: Ein Sitestore-Benutzerkonto, das über die notification:read Berechtigung verfügt. Dieses Konto muss auch über einen API-Schlüssel verfügen, der Sentinel bereitgestellt werden kann.

Setupanweisungen:

Geben Sie die folgenden Informationen an, damit Microsoft Sentinel eine Verbindung mit Ihrem Dragos Sitestore herstellen können.

• Dragos Sitestore Hostname: (dragossitestore.example.com)
• Dragos Sitestore-API-Schlüssel-ID: (Geben Sie die API-Schlüssel-ID ein.)
• Dragos Sitestore-API-Schlüsselgeheimnis: (Geben Sie das API-Schlüsselgeheimnis ein)
• Minimaler Benachrichtigungsschweregrad. Gültige Werte sind 0 bis einschließlich 5. Stellen Sie sicher, dass der schwere Schweregrad kleiner oder gleich ist.: (Geben Sie den Minimalschweregrad ein (empfehlen Sie 0 für alle Benachrichtigungen))
• Maximaler Benachrichtigungsschweregrad. Gültige Werte sind 0 bis einschließlich 5. Stellen Sie sicher, dass der Schweregrad größer oder gleich dem Mindestschweregrad ist.: (Geben Sie den maximalen Schweregrad ein (empfehlen Sie 5 für alle Benachrichtigungen))
• Verbindung aktivieren/deaktivieren

---

Druva-Ereignisconnector

Unterstützt von:Druva Inc

Ermöglicht das Erfassen der Druva-Ereignisse aus Druva-APIs.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DruvaSecurityEvents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Druva-API-Zugriff: Für die Druva-API sind für die Authentifizierung eine Client-ID und ein geheimer Clientschlüssel erforderlich.

Setupanweisungen:

Hinweis: Konfigurationen zum Herstellen einer Verbindung mit der Druva-Rest-API

Schritt 1: Erstellen von Anmeldeinformationen über die Druva-Konsole. Die Schritte finden Sie in dieser Dokumentation:- https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials

Schritt 2: Geben Sie den Hostnamen ein. Die apis.druva.com für die öffentliche Cloud

Schritt 3: Eingeben der Client-ID und des geheimen Clientschlüssels

Stellen Sie eine Verbindung mit der Druva-API her, um mit dem Sammeln von Protokollen in Microsoft Sentinel

Geben Sie die erforderlichen Werte an:

• Hostname: (Beispiel: apis.druva.com)

---

Dynamics 365 Finance und Vorgänge

Unterstützt von:Microsoft Corporation

Dynamics 365 for Finance and Operations ist eine umfassende ERP-Lösung (Enterprise Resource Planning), die Finanz- und Betriebsfunktionen kombiniert, um Unternehmen bei der Verwaltung ihrer täglichen Vorgänge zu unterstützen. Es bietet eine Reihe von Features, mit denen Unternehmen Workflows optimieren, Aufgaben automatisieren und Einblicke in die betriebliche Leistung erhalten können.

Der Dynamics 365 Finance- und Betriebsdatenconnector erfasst Dynamics 365 Finance- und Betriebsadministratoraktivitäten und Überwachungsprotokolle sowie Benutzergeschäftsprozess- und Anwendungsaktivitäten in Microsoft Sentinel.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
FinanceOperationsActivity_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra App-Registrierung: Anwendungsclient-ID und geheimer Schlüssel, die für den Zugriff auf Dynamics 365 Finance und Vorgänge verwendet werden.

Setupanweisungen:

Für die Konnektivität mit Finance and Operations ist eine Microsoft Entra App-Registrierung (Client-ID und Geheimnis) erforderlich. Außerdem benötigen Sie die Microsoft Entra Mandanten-ID und die Organisations-URL für Finanzvorgänge.

Um die Datensammlung zu aktivieren, erstellen Sie eine Rolle in Dynamics 365 Finance und Vorgängen mit Berechtigungen zum Anzeigen der Datenbankprotokollentität. Weisen Sie diese Rolle einem dedizierten Finance and Operations-Benutzer zu, der der Client-ID einer Microsoft Entra App-Registrierung zugeordnet ist. Führen Sie die folgenden Schritte aus, um den Vorgang abzuschließen:

Schritt 1: Microsoft Entra App-Registrierung

1. Navigieren Sie zum Microsoft Entra-Portal.
2. Klicken Sie unter Anwendungen auf App-Registrierungen , und erstellen Sie eine neue App-Registrierung (übernehmen Sie alle Standardwerte).
3. Öffnen Sie die neue App-Registrierung, und erstellen Sie ein neues Geheimnis.
4. Behalten Sie die Mandanten-ID, die Anwendungs-ID (Client-ID) und den geheimen Clientschlüssel zur späteren Verwendung bei.

Schritt 2: Erstellen einer Rolle für die Datensammlung in Finance and Operations

1. Navigieren Sie im Finanz- und Betriebsportal zu Arbeitsbereiche > Systemverwaltung, und klicken Sie auf Sicherheitskonfiguration.
2. Klicken Sie unter Rollen auf Neu erstellen, und geben Sie der neuen Rolle einen Namen, z. B. Datenbankprotokoll-Viewer.
3. Wählen Sie die neue Rolle in der Liste der Rollen aus, und klicken Sie auf Berechtigungen und dann auf Verweise hinzufügen.
4. Wählen Sie datenbankprotokollentitätsansicht aus der Liste der Berechtigungen aus.
5. Klicken Sie auf Unveröffentlichte Objekte und dann auf Alle veröffentlichen , um die Rolle zu veröffentlichen.

Schritt 3: Erstellen eines Benutzers für die Datensammlung in Finance and Operations

1. Navigieren Sie im Finanz- und Betriebsportal zu Module > Systemverwaltung, und klicken Sie auf Benutzer.
2. Erstellen Sie einen neuen Benutzer, und weisen Sie dem Benutzer die im vorherigen Schritt erstellte Rolle zu.

Schritt 4: Registrieren der Microsoft Entra-App in Finance and Operations

1. Navigieren Sie im F&O-Portal zu Systemverwaltung > einrichten > Microsoft Entra Anwendungen (Azure Active Directory-Anwendungen).
2. Erstellen Sie einen neuen Eintrag in der Tabelle. Geben Sie im Feld Client-ID die Anwendungs-ID der app ein, die in Schritt 1 registriert wurde.
3. Geben Sie im Feld Name einen Namen für die Anwendung ein.
4. Wählen Sie im Feld Benutzer-ID die im vorherigen Schritt erstellte Benutzer-ID aus.

Verbinden von Ereignissen von Dyanmics 365 Finance and Operations mit Microsoft Sentinel

Herstellen einer Verbindung mit Clientanmeldeinformationen

Organisationen

Jede Zeile stellt eine Finance and Operations-Verbindung dar.

• Datenconnectors Grid (im Portal konfigurieren)

---

Dynamics365

Unterstützt von:Microsoft Corporation

Der Dynamics 365 CDS-Aktivitätenconnector (Common Data Service) bietet Einblicke in Administrator-, Benutzer- und Supportaktivitäten sowie in Microsoft Social Engagement-Protokollierungsereignisse. Indem Sie Dynamics 365 CRM-Protokolle mit Microsoft Sentinel verbinden, können Sie diese Daten in Arbeitsmappen anzeigen, sie verwenden, um benutzerdefinierte Warnungen zu erstellen und Ihren Untersuchungsprozess zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Dynamics365Activity	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Dynatrace-Angriffe V1

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace Attacks-REST-API, um erkannte Angriffe in Microsoft Sentinel Log Analytics zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DynatraceAttacks_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten mit aktivierter Anwendungssicherheit . Erfahren Sie mehr über die Dynatrace-Plattform.
• Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken. Das Token sollte leseangriffe (attacks.read) haben.

Setupanweisungen:

Dynatrace-Angriffsereignisse zum Microsoft Sentinel

Konfigurieren und Aktivieren von Dynatrace Application Security Befolgen Sie diese Anweisungen , um ein Zugriffstoken zu generieren.

---

Dynatrace-Angriffe V2

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace Attacks-REST-API, um erkannte Angriffe in Microsoft Sentinel Log Analytics zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DynatraceAttacksV2_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten mit aktivierter Anwendungssicherheit . Erfahren Sie mehr über die Dynatrace-Plattform.
• Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken. Das Token sollte leseangriffe (attacks.read) haben.

Setupanweisungen:

Dynatrace-Angriffsereignisse zum Microsoft Sentinel

Konfigurieren und Aktivieren von Dynatrace Application Security Befolgen Sie diese Anweisungen , um ein Zugriffstoken zu generieren.

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}}})
• Dynatrace-Zugriffstoken: ({{dynatraceAccessToken}}})
• Verbindung aktivieren/deaktivieren

---

Dynatrace-Überwachungsprotokolle V1

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace Audit Logs-REST-API, um Mandantenüberwachungsprotokolle in Microsoft Sentinel Log Analytics zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DynatraceAuditLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten, um mehr über die Dynatrace-Plattform Starten Sie Ihre kostenlose Testversion zu erfahren.
• Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken. Das Token sollte den Bereich Überwachungsprotokolle lesen (auditLogs.read) aufweisen.

Setupanweisungen:

Dynatrace-Überwachungsprotokollereignisse zum Microsoft Sentinel

Aktivieren Sie die Dynatrace-Überwachungsprotokollierung. Befolgen Sie diese Anweisungen , um ein Zugriffstoken zu generieren.

---

Dynatrace-Überwachungsprotokolle V2

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace Audit Logs-REST-API, um Mandantenüberwachungsprotokolle in Microsoft Sentinel Log Analytics zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DynatraceAuditLogsV2_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten, um mehr über die Dynatrace-Plattform Starten Sie Ihre kostenlose Testversion zu erfahren.
• Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken. Das Token sollte den Bereich Überwachungsprotokolle lesen (auditLogs.read) aufweisen.

Setupanweisungen:

Dynatrace-Überwachungsprotokollereignisse zum Microsoft Sentinel

Aktivieren Sie die Dynatrace-Überwachungsprotokollierung. Befolgen Sie diese Anweisungen , um ein Zugriffstoken zu generieren.

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}}})
• Dynatrace-Zugriffstoken: ({{dynatraceAccessToken}}})
• Verbindung aktivieren/deaktivieren

---

Dynatrace-Probleme V1

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace-Problem-REST-API, um Problemereignisse in Microsoft Sentinel Log Analytics zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DynatraceProblems_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten, um mehr über die Dynatrace-Plattform Starten Sie Ihre kostenlose Testversion zu erfahren.
• Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken. Das Token sollte leseprobleme (problems.read) haben.

Setupanweisungen:

Dynatrace-Problemereignisse zum Microsoft Sentinel

Befolgen Sie diese Anweisungen , um ein Zugriffstoken zu generieren.

---

Dynatrace-Probleme V2

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace-Problem-REST-API, um Problemereignisse in Microsoft Sentinel Log Analytics zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DynatraceProblemsV2_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten, um mehr über die Dynatrace-Plattform Starten Sie Ihre kostenlose Testversion zu erfahren.
• Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken. Das Token sollte leseprobleme (problems.read) haben.

Setupanweisungen:

Dynatrace-Problemereignisse zum Microsoft Sentinel

Befolgen Sie diese Anweisungen , um ein Zugriffstoken zu generieren.

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}}})
• Dynatrace-Zugriffstoken: ({{dynatraceAccessToken}}})
• Verbindung aktivieren/deaktivieren

---

Sicherheitsrisiken in Dynatrace Runtime V1

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace Security Problem-REST-API, um erkannte Laufzeitrisiken in Microsoft Sentinel Log Analytics zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DynatraceSecurityProblems_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten mit aktivierter Anwendungssicherheit . Erfahren Sie mehr über die Dynatrace-Plattform.
• Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken. Das Token sollte den Bereich "Sicherheitsprobleme lesen" (securityProblems.read) aufweisen.

Setupanweisungen:

Dynatrace-Sicherheitsrisikoereignisse für Microsoft Sentinel

Konfigurieren und Aktivieren von Dynatrace Application Security Befolgen Sie diese Anweisungen , um ein Zugriffstoken zu generieren.

---

Dynatrace Runtime-Sicherheitsrisiken V2

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace Security Problem-REST-API, um erkannte Laufzeitrisiken in Microsoft Sentinel Log Analytics zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DynatraceSecurityProblemsV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten mit aktivierter Anwendungssicherheit . Erfahren Sie mehr über die Dynatrace-Plattform.
• Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken. Das Token sollte den Bereich "Sicherheitsprobleme lesen" (securityProblems.read) aufweisen.

Setupanweisungen:

Dynatrace-Sicherheitsrisikoereignisse für Microsoft Sentinel

Konfigurieren und Aktivieren von Dynatrace Application Security Befolgen Sie diese Anweisungen , um ein Zugriffstoken zu generieren.

• Dynatrace-Mandant (z. B. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}}})
• Dynatrace-Zugriffstoken: ({{dynatraceAccessToken}}})
• Verbindung aktivieren/deaktivieren

---

Elastischer Agent

Unterstützt von:Microsoft Corporation

Der Elastic Agent-Datenconnector bietet die Möglichkeit, Elastic Agent-Protokolle, Metriken und Sicherheitsdaten in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ElasticAgentEvent	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Benutzerdefinierte Voraussetzungen einschließen, wenn die Konnektivität erforderlich ist – andernfalls Zoll löschen: Beschreibung für alle benutzerdefinierten Voraussetzungen

Setupanweisungen:

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren ElasticAgentEvent, das mit der Microsoft Sentinel Solution bereitgestellt wird.

HINWEIS: Dieser Datenconnector wurde mit Elastic Agent 7.14 entwickelt.

1. Installieren und Integrieren des Agents für Linux oder Windows

Installieren Sie den Agent auf dem Server, auf dem die Protokolle des elastischen Agents weitergeleitet werden.

Protokolle von Elastic Agents, die auf Linux- oder Windows-Servern bereitgestellt werden, werden von Linux- oder Windows-Agents gesammelt.

Wählen Sie aus, wo der Linux-Agent installiert werden soll:

Installieren des Agents auf Azure Linux virtuellen Computer

Wählen Sie den Computer aus, auf dem der Agent installiert werden soll, und klicken Sie dann auf Verbinden.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Installieren des Agents auf einem Computer ohne Azure Linux

Laden Sie den Agent auf den entsprechenden Computer herunter, und befolgen Sie die Anweisungen.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Wählen Sie aus, wo der Windows-Agent installiert werden soll:

Installieren des Agents auf Azure virtuellen Windows-Computer

Wählen Sie den Computer aus, auf dem der Agent installiert werden soll, und klicken Sie dann auf Verbinden.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Installieren des Agents auf einem Nicht-Azure Windows-Computer

Laden Sie den Agent auf den entsprechenden Computer herunter, und befolgen Sie die Anweisungen.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

2. Konfigurieren des elastischen Agents (eigenständig)

Befolgen Sie die Anweisungen zum Konfigurieren von Elastic Agent für die Ausgabe an Logstash.

3. Konfigurieren von Logstash für die Verwendung des Microsoft Logstash-Ausgabe-Plug-Ins

Führen Sie die Schritte zum Konfigurieren von Logstash für die Verwendung des Plug-Ins microsoft-logstash-output-azure-loganalytics aus:

3.1) Überprüfen Sie, ob das Plug-In bereits installiert ist: ./logstash-plugin list | grep "azure-loganalytics" (wenn das Plug-In installiert ist, fahren Sie mit Schritt 3.3 fort)

3.2) Plug-In installieren: ./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Konfigurieren von Logstash für die Verwendung des Plug-Ins

4. Überprüfen der Protokollerfassung

Befolgen Sie die Anweisungen, um Ihre Konnektivität zu überprüfen:

Öffnen Sie Log Analytics, um zu überprüfen, ob die Protokolle mithilfe der in Schritt 3.3 angegebenen benutzerdefinierten Tabelle empfangen werden (z. B. ElasticAgentLogs_CL).

Es kann etwa 30 Minuten dauern, bis die Verbindung Daten an Ihren Arbeitsbereich streamt.

---

Elastic Agent (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit dem Elastic Agent-Datenconnector können Sie Systemmetriken, Protokolle und Telemetriedaten erfassen, die vom Elastic Agent von Elasticsearch in Microsoft Sentinel gesammelt werden. Dieser Connector verwendet die Elasticsearch-Such-API mit API-Schlüsselauthentifizierung, um mehrere Datenströme (CPU, Arbeitsspeicher, Prozess, Dateisystem, Netzwerk, Auslastung, Betriebszeit, Agentmetriken und Protokolle) abzufragen. Es unterstützt DCR-basierte Erfassungszeittransformationen für eine effiziente Abfrageausführung. Weitere Informationen finden Sie in der API-Dokumentation: https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ElasticAgentLogsV2_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

1. Voraussetzungen

Stellen Sie sicher, dass Sie über den erforderlichen Zugriff und die erforderliche Konfiguration verfügen.

Voraussetzungen

• Eine Elasticsearch-Bereitstellung (selbstverwaltet oder Elastic Cloud)
• Bereitgestellter Elastischer Agent mit aktivierter Systemintegration
• Agentüberwachung für Protokolle und Metriken aktiviert
• Elasticsearch-API-Schlüssel mit Leseberechtigungen für alle Indizes
• Netzwerkkonnektivität von Microsoft Sentinel zu Ihrem Elasticsearch-Endpunkt

Erforderliche Indizes

Der Connector fragt die folgenden Elasticsearch-Indizes ab:

Metriken:

• metrics-system.cpu-* – CPU-Metriken
• metrics-system.memory-* – Arbeitsspeichermetriken
• metrics-system.process-* - Prozessmetriken
• metrics-system.filesystem-* – Dateisystemmetriken
• metrics-system.network-* – Netzwerkmetriken
• metrics-system.load-*– Systemladevorgang (nur Linux)
• metrics-system.uptime-* - Systembetriebszeit
• metrics-elastic_agent.* - Agenttelemetrie

Protokolle:

• logs-elastic_agent-* - Agentprotokolle

2. Konfigurieren von Elasticsearch-Verbindungen

Fügen Sie mindestens eine Elasticsearch-Verbindung zum Sammeln von Daten hinzu.

Elasticsearch-Verbindungen

Sie können mehrere Verbindungen hinzufügen, um Daten aus verschiedenen Elasticsearch-Bereitstellungen zu sammeln. Jede Verbindung erfordert eine eigene Elasticsearch-URL und einen EIGENEN API-Schlüssel.

Erstellen eines API-Schlüssels

1. Navigieren Sie in Kibana zu Stack Management-API-Schlüssel > .
2. Klicken Sie auf API-Schlüssel erstellen.
3. Legen Sie einen Namen fest, und konfigurieren Sie Berechtigungen:
   • Lesezugriff auf metrics-system.*
   • Lesezugriff auf metrics-elastic_agent.*
   • Lesezugriff auf logs-elastic_agent-*
4. Kopieren des Base64-codierten API-Schlüsselwerts

• Datenconnectors Grid (im Portal konfigurieren)

---

Sicherheitsereignisse des Ermes-Browsers

Unterstützt von:Ermes Cyber Security S.p.A.

Sicherheitsereignisse des Ermes-Browsers

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ErmesBrowserSecurityEvents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Ermes-Client-ID und geheimer Clientschlüssel: Aktivieren Sie den API-Zugriff in Ermes. Wenden Sie sich für weitere Informationen an den Ermes Cyber Security-Support .

Setupanweisungen:

Verbinden von Ermes-Browsersicherheitsereignissen mit Microsoft Sentinel

Herstellen einer Verbindung mit OAuth2-Anmeldeinformationen

• API-URL (optional): (https://api.shield.ermessecurity.com)

---

ESET Protect Platform (mit Azure Functions)

Unterstützt von:ESET Enterprise Integrations

Mit dem ESET Protect Platform-Datenconnector können Benutzer Erkennungsdaten von ESET Protect Platform mithilfe der bereitgestellten Integrations-REST-API einfügen. Die Integrations-REST-API wird wie geplant Azure Funktions-App ausgeführt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
IntegrationTable_CL	Ja	Ja
IntegrationTableIncidents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Berechtigung zum Registrieren einer Anwendung in Microsoft Entra ID: Es sind ausreichende Berechtigungen zum Registrieren einer Anwendung bei Ihrem Microsoft Entra Mandanten erforderlich.
• Berechtigung zum Zuweisen einer Rolle zur registrierten Anwendung: Die Berechtigung zum Zuweisen der Rolle Herausgeber von Überwachungsmetriken zur registrierten Anwendung in Microsoft Entra ID ist erforderlich.

Setupanweisungen:

HINWEIS: Der ESET Protect Platform-Datenconnector verwendet Azure Functions, um über die Eset Connect-API eine Verbindung mit der ESET Protect Platform herzustellen, um Erkennungsprotokolle in Microsoft Sentinel zu pullen. Dieser Prozess kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

HINWEIS: Die neueste Version der ESET PROTECT-Plattform und Microsoft Sentinel Integration pullt nicht nur Protokolle, sondern auch neu erstellte Incidents. Wenn Ihre Integration vor dem 20.06.2025 eingerichtet wurde, führen Sie die folgenden Schritte aus, um sie zu aktualisieren.

Schritt 1: Erstellen eines API-Benutzers

Verwenden Sie diese Anweisung , um ein ESET Connect-API-Benutzerkonto mit Anmeldename und Kennwort zu erstellen.

Schritt 2: Erstellen einer registrierten Anwendung

Erstellen Sie eine Microsoft Entra ID registrierte Anwendung, indem Sie die Schritte unter Registrieren einer neuen Anwendung ausführen.

Schritt 3: Bereitstellen des ESET Protect Platform-Datenconnectors mithilfe der ARM-Vorlage (Azure Resource Manager)

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie den Namen des Log Analytics-Arbeitsbereichs aus, der Ihrem Microsoft Sentinel zugeordnet ist. Wählen Sie dieselbe Ressourcengruppe wie die Ressourcengruppe des Log Analytics-Arbeitsbereichs aus.

3. Geben Sie die Parameter der registrierten Anwendung in Microsoft Entra ID ein: Azure Client-ID, Azure Geheimer Clientschlüssel, Azure Mandanten-ID, Objekt-ID. Sie können die Objekt-ID in Azure-Portal finden, indem Sie diesen Pfad Microsoft Entra ID –> Verwalten (im Menü auf der linken Seite) -> Unternehmensanwendungen –> Objekt-ID -Spalte (der Wert neben dem Namen Ihrer registrierten Anwendung) folgen.

4. Geben Sie die Anmeldeinformationen und das Kennwort für das ESET Connect-API-Benutzerkonto an, die Sie in Schritt 1 erhalten haben.

5. Wählen Sie mindestens ein ESET-Produkt (ESET PROTECT, ESET Inspect, ESET Cloud Office Security) aus, aus dem Erkennungen abgerufen werden.

---

Exchange Security Insights On-Premises Collector

Unterstützt von:Community

Connector zum Pushen der lokalen Exchange-Sicherheitskonfiguration für Microsoft Sentinel Analysis

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ESIExchangeConfig_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Dienstkonto mit Organisationsverwaltungsrolle: Das Dienstkonto, das das Skript als geplante Aufgabe startet, muss Organisationsverwaltung sein, um alle erforderlichen Sicherheitsinformationen abrufen zu können.
• Ausführliche Dokumentation: >HINWEIS: Ausführliche Dokumentation zu Installationsverfahren und Verwendung finden Sie hier.

Setupanweisungen:

1. Installieren des ESI Collector-Skripts auf einem Server mit Exchange Admin PowerShell-Konsole

Dies ist das Skript, das Exchange-Informationen sammelt, um Inhalte in Microsoft Sentinel zu pushen.

Skriptbereitstellung

Laden Sie die neueste Version von ESI Collector herunter.

Die neueste Version finden Sie hier: https://aka.ms/ESI-ExchangeCollector-Script. Die herunterzuladende Datei ist CollectExchSecIns.zip

Kopieren des Skriptordners

Entzippen Sie den Inhalt, und kopieren Sie den Skriptordner auf einem Server, auf dem Exchange PowerShell-Cmdlets vorhanden sind.

Aufheben der Blockierung der PS1-Skripts

Klicken Sie auf jedes PS1-Skript mit der rechten Maustaste, und wechseln Sie zur Registerkarte Eigenschaften. Wenn das Skript als blockiert markiert ist, heben Sie die Blockierung auf. Sie können auch das Cmdlet "Unblock-File . " im entzippten Ordner mithilfe von PowerShell verwenden.

**Konfigurieren des Netzwerkzugriffs **

Stellen Sie sicher, dass das Skript Azure Analytics (*.ods.opinsights.azure.com) kontaktieren kann.

2. Konfigurieren des ESI Collector-Skripts

Stellen Sie sicher, dass Sie lokaler Administrator des Servers sein. Starten Sie im Modus "Als Administrator ausführen" das Skript "setup.ps1", um den Collector zu konfigurieren. Füllen Sie die Informationen zum Log Analytics-Arbeitsbereich (Microsoft Sentinel) aus. Geben Sie den Namen der Umgebung ein, oder lassen Sie es leer. Wählen Sie standardmäßig "Def" als Standardanalyse aus. Die anderen Optionen sind für eine bestimmte Verwendung.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

3. Planen Sie das ESI Collector-Skript (wenn dies nicht vom Installationsskript ausgeführt wird, weil die Berechtigung fehlt oder während der Installation ignoriert wurde)

Das Skript muss für das Senden der Exchange-Konfiguration an Microsoft Sentinel geplant werden. Es wird empfohlen, das Skript einmal täglich zu planen. Das Zum Starten des Skripts verwendete Konto muss Mitglied der Gruppe Organisationsverwaltung sein.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren. Parser werden automatisch mit der Lösung bereitgestellt. Führen Sie die Schritte zum Erstellen des Kusto Functions-Alias aus: ExchangeAdminAuditLogs

Parser werden während der Bereitstellung der Lösung automatisch bereitgestellt. Wenn Sie die Bereitstellung manuell durchführen möchten, führen Sie die folgenden Schritte aus.

Manuelle Parserbereitstellung

1. Herunterladen der Parserdatei

Die neueste Version der Datei ExchangeAdminAuditLogs

2. Erstellen der Parserfunktion ExchangeAdminAuditLogs

Kopieren Sie im Protokollanalyse-Explorer Ihrer Microsoft Sentinel den Inhalt der Datei in den Protokoll-Explorer.

3. Speichern des Parsers ExchangeAdminAuditLogs-Funktion

Klicken Sie auf die Schaltfläche Speichern. Für diesen Parser ist kein Parameter erforderlich. Klicken Sie erneut auf Speichern.

---

Exchange Security Insights Online Collector (mit Azure Functions)

Unterstützt von:Community

Connector zum Pushen Exchange Online Sicherheitskonfiguration für Microsoft Sentinel Analysis

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ESIExchangeOnlineConfig_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• microsoft.automation/automationaccounts-Berechtigungen: Lese- und Schreibberechtigungen zum Erstellen eines Azure Automation mit einem Runbook sind erforderlich. Weitere Informationen finden Sie unter Automation-Konto.
• Microsoft.Graph-Berechtigungen: Groups.Read, Users.Read und Auditing.Read sind erforderlich, um Benutzer-/Gruppeninformationen abzurufen, die mit Exchange Online Zuweisungen verknüpft sind. Weitere Informationen finden Sie in der Dokumentation.
• Exchange Online Berechtigungen: Die Exchange.ManageAsApp-Berechtigung und die Rolle "Globaler Leser" oder "Sicherheitsleseberechtigter" sind erforderlich, um die Exchange Online-Sicherheitskonfiguration abzurufen.Weitere Informationen finden Sie in der Dokumentation.
• (Optional) Protokollspeicherberechtigungen: Mitwirkender an Storage-Blobdaten für ein Speicherkonto, das mit der verwalteten Identität des Automation-Kontos oder einer Anwendungs-ID verknüpft ist, ist zum Speichern von Protokollen obligatorisch. Weitere Informationen finden Sie in der Dokumentation.

Setupanweisungen:

HINWEIS – UPDATE

Hinweis:

HINWEIS – UPDATE:

Es wird empfohlen, den Collector auf Version 7.6.0.0 oder höher zu aktualisieren. Die Prozedur zum Aktualisieren von Collectorskripts finden Sie hier: ESI Online Collector Update

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren. Führen Sie die Schritte für jeden Parser aus, um den Kusto Functions-Alias zu erstellen: ExchangeConfiguration und **ExchangeEnvironmentList SCHRITT 1 – Parserbereitstellung**

Parserbereitstellung (Bei Verwendung der Microsoft Exchange-Sicherheitslösung werden Parser automatisch bereitgestellt)

1. Herunterladen der Parserdateien

Die neueste Version der 2 Dateien ExchangeConfiguration.yaml und ExchangeEnvironmentList.yaml

2. Erstellen der ExchangeConfiguration-Parserfunktion

Kopieren Sie im Protokollanalyse-Explorer Ihrer Microsoft Sentinel den Inhalt der Datei in den Protokoll-Explorer.

3. Speichern der ExchangeConfiguration-Parserfunktion

Klicken Sie auf die Schaltfläche Speichern. Definieren Sie die Parameter so, wie sie im Header der Parserdatei angefordert werden. Klicken Sie erneut auf Speichern.

4. Reproduzieren Sie die gleichen Schritte für Parser ExchangeEnvironmentList

Reproduzieren der Schritte 2 und 3 mit dem Inhalt der Datei "ExchangeEnvironmentList.yaml"

HINWEIS: Dieser Connector verwendet Azure Automation, um eine Verbindung mit "Exchange Online" herzustellen, um die Sicherheitsanalyse in Microsoft Sentinel zu übertragen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Automation Preise.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordneten Azure Automation

WICHTIG: Bevor Sie den Connector "ESI Exchange Online Security Configuration" bereitstellen, müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden) sowie den Exchange Online Mandantennamen (contoso.onmicrosoft.com) sofort verfügbar sein.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Connectors "ESI Exchange Online Security Configuration".

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den Mandantennamen, "und/oder andere erforderliche Felder" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Connector "ESI Exchange Online Security Configuration" manuell mit Azure Automation bereitzustellen.

A. Erstellen des Azure Automation-Kontos

1. Navigieren Sie im Azure-Portal zu Azure Automation Konto.
2. Klicken Sie oben auf + Hinzufügen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, und geben Sie dem Azure Automation einen Namen.
4. Behalten Sie auf den Registerkarten Erweitert und Netzwerk und Tags die Felder als Standard bei, wenn Sie sie nicht anpassen müssen.
5. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

B. Hinzufügen Exchange Online Verwaltungsmoduls, Microsoft Graph-Module (Authentifizierung, Benutzer und Gruppe)

1. Wählen Sie auf der Seite Automation-Konto die Option Module aus.
2. Klicken Sie auf Katalog durchsuchen, und durchsuchen Sie das Modul ExchangeOnlineManagement .
3. Wählen Sie es aus, und klicken Sie auf Auswählen.
4. Wählen Sie Version 5.1 im Feld Laufzeitversion aus, und klicken Sie auf die Schaltfläche Importieren. Wiederholen Sie den Schritt für die folgenden Module: "Microsoft.Graph.Authentication", "Microsoft.Graph.Users" und "Microsoft.Graph.Groups". Achtung, Sie müssen auf die Installation von Microsoft.Graph.Authentication warten, bevor Sie die nächsten Module verarbeiten.

C. Herunterladen des Runbookinhalts

1. Laden Sie die neueste Version von ESI Collector herunter. Die neueste Version finden Sie hier : https://aka.ms/ESI-ExchangeCollector-Script
2. Entzippen Sie die Datei, um die JSON-Datei und die PS1-Datei für den nächsten Schritt zu suchen.

D. Erstellen eines Runbooks

1. Wählen Sie auf der Seite Automation-Konto die Schaltfläche Runbooks aus.
2. Klicken Sie auf Runbook erstellen, benennen Sie es wie "ESI-Collector" mit einem Runbooktyp PowerShell, Laufzeitversion 5.1, und klicken Sie auf "Erstellen".
3. Importieren Sie den Inhalt der PS1-Datei des vorherigen Schritts im Fenster Runbook.
4. Klicken Sie auf Veröffentlichen.

E. Erstellen einer GlobalConfiguration-Variablen

1. Wählen Sie auf der Seite Automation-Konto die Schaltfläche Variablen aus.
2. Klicken Sie auf Variable hinzufügen, und nennen Sie sie exaclty "GlobalConfiguration" mit dem Typ String.
3. Kopieren Sie im Feld "Wert" den Inhalt der JSON-Datei des vorherigen Schritts.
4. Ersetzen Sie innerhalb des Inhalts die Werte von WorkspaceID und WorkspaceKey.
5. Klicken Sie auf die Schaltfläche "Erstellen".

F. Create TenantName Variable

1. Wählen Sie auf der Seite Automation-Konto die Schaltfläche Variablen aus.
2. Klicken Sie auf Variable hinzufügen, und geben Sie ihr den Namen "TenantName" mit dem Typ String.
3. Geben Sie im Feld "Wert" den Mandantennamen Ihres Exchange Online ein.
4. Klicken Sie auf die Schaltfläche "Erstellen".

G. Erstellen einer LastDateTracking-Variablen

1. Wählen Sie auf der Seite Automation-Konto die Schaltfläche Variablen aus.
2. Klicken Sie auf Variable hinzufügen, und geben Sie ihr den Namen "LastDateTracking" mit dem Typ String.
3. Schreiben Sie im Feld "Wert" den Wert "Never".
4. Klicken Sie auf die Schaltfläche "Erstellen".

H. Erstellen eines Runbookzeitplans

1. Wählen Sie auf der Seite Automation-Konto die Schaltfläche Runbook aus, und klicken Sie auf Das erstellte Runbook.
2. Klicken Sie auf Zeitpläne und auf die Schaltfläche Zeitplan hinzufügen .
3. Klicken Sie auf Zeitplan und dann auf Zeitplan hinzufügen, und benennen Sie ihn. Wählen Sie Wiederkehrender Wert mit einer Wiederholung von alle 1 Tag aus, und klicken Sie auf "Erstellen".
4. Klicken Sie auf "Parameter und Ausführungseinstellungen konfigurieren". Lassen Sie alle leer, und klicken Sie erneut auf OK und OK .

SCHRITT 3: Zuweisen der Microsoft Graph-Berechtigung und Exchange Online-Berechtigung zu einem verwalteten Identitätskonto

Um Exchange Online Informationen sammeln und Benutzerinformationen und die Mitgliederliste von Administratorgruppen abrufen zu können, benötigt das Automation-Konto mehrere Berechtigungen.

Zuweisen von Berechtigungen nach Skript

A. Berechtigungsskript herunterladen

Skript zum Aktualisieren der Berechtigung

B. Rufen Sie die GUID der Azure Automation verwalteten Identität ab, und fügen Sie sie in das heruntergeladene Skript ein.

1. Navigieren Sie im Abschnitt Identität zu Ihrem Automation-Konto. Sie finden die GUID Ihrer verwalteten Identität.
2. Ersetzen Sie die GUID in $MI_ID = "XXXXXXXXXXX" durch die GUID Ihrer verwalteten Identität.

C. Starten des Skripts mit einem globalen Administratorkonto

Beachten Sie, dass dieses Skript MSGraph-Module und Admin Zustimmung für den Zugriff auf Ihren Mandanten mit Microsoft Graph erfordert. Das Skript fügt der verwalteten Identität 3 Berechtigungen hinzu: 1. Exchange Online ManageAsApp-Berechtigung 2. User.Read.All auf Microsoft Graph-API 3. Group.Read.All auf Microsoft Graph-API

D. Exchange Online Rollenzuweisung

1. Navigieren Sie als globaler Administrator zu Rollen und Administratoren.
2. Wählen Sie die Rolle "Globaler Leser" oder "Sicherheitsleseberechtigter " aus, und klicken Sie auf "Zuweisungen hinzufügen".
3. Klicken Sie auf "Kein Mitglied ausgewählt", und suchen Sie nach dem Namen Ihres Verwalteten Identitätskontos, z. B. "ESI-Collector". Wählen Sie es aus, und klicken Sie auf "Auswählen".
4. Klicken Sie auf Weiter, und überprüfen Sie die Zuweisung, indem Sie auf Zuweisen klicken.

---

ExtraHop Detections Data Connector

Unterstützt von:ExtraHop-Unterstützung

Mit dem ExtraHop Detections Data Connector können Sie Erkennungsdaten aus ExtraHop RevealX in Microsoft Sentinel über Webhooknutzlasten importieren. Daten werden mithilfe der Azure Protokollerfassungs-API über eine Datensammlungsregel (Data Collection Rule, DCR) erfasst.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ExtraHop_Detections_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren, einen Datensammlungsendpunkt und eine Datensammlungsregel zu erstellen und die erforderlichen Rollen zuzuweisen.
• Microsoft Entra App-Registrierung: Eine Microsoft Entra ID App-Registrierung (Dienstprinzipal) mit einem geheimen Clientschlüssel ist erforderlich. Die Objekt-ID der App muss bereitgestellt werden, damit die Bereitstellung ihr die erforderliche Rolle zuweisen kann, um Protokolle über die Protokollerfassungs-API zu veröffentlichen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• ExtraHop RevealX-Berechtigungen: Für Ihr ExtraHop RevealX-System ist Folgendes erforderlich:

1. Auf Ihrem RevealX-System muss die Firmwareversion 9.9.2 oder höher ausgeführt werden.
2. Ihr RevealX-System muss mit ExtraHop Cloud Services verbunden sein.
3. Ihr Benutzerkonto muss über Systemverwaltungsberechtigungen für RevealX 360 oder Vollständige Schreibberechtigungen für RevealX Enterprise verfügen.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um ExtraHop-Webhooknutzlasten zu empfangen und mithilfe der Azure Monitor Log Ingestion API (DCR-basierte Erfassung) in Microsoft Sentinel zu erfassen. Dadurch wird die ältere HTTP-Datensammler-API von Log Analytics ersetzt. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Speichern Sie API-Anmeldeinformationen sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt Log Analytics/Microsoft Sentinel Protokolle, klicken Sie auf Funktionen, und suchen Sie nach dem Alias ExtraHopDetections. und laden Sie den Funktionscode, oder klicken Sie hier. Die Aktivierung der Funktion dauert in der Regel 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

Konfiguration:

SCHRITT 1: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein (z. ExtraHopSentinelConnectorB. ).
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von ExtraHop Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 2: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von ExtraHop Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von ExtraHop Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 3: Abrufen der Objekt-ID Ihrer Anwendung in Microsoft Entra ID

Führen Sie nach dem Erstellen Ihrer App-Registrierung die Schritte in diesem Abschnitt aus, um die Objekt-ID abzurufen:

1. Wechseln Sie zu Microsoft Entra ID.
2. Wählen Sie im linken Menü Unternehmensanwendungen aus.
3. Suchen Sie ihre neu erstellte Anwendung in der Liste (Sie können nach dem von Ihnen angegebenen Namen suchen).
4. Klicken Sie auf die Anwendung.
5. Kopieren Sie auf der Übersichtsseite die Objekt-ID. Dies ist die AzureEntraObjectID, die für Ihre ARM-Vorlagenrollenzuweisung erforderlich ist.

SCHRITT 4: Bereitstellen des ExtraHop-Datenconnectors

WICHTIG: Stellen Sie vor der Bereitstellung des ExtraHop Data-Connectors die Microsoft Entra ID Details zur App-Registrierung (Client-ID, geheimer Clientschlüssel, Mandanten-ID und Objekt-ID) bereit.

Stellen Sie den ExtraHop Detections Data Connector bereit:

Verwenden Sie diese Methode für die automatisierte Bereitstellung des ExtraHop Detections Data-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

3. Geben Sie die folgenden Informationen ein:

   a. FunctionName : Geben Sie den Namen der Funktions-App ein (wird verwendet, um alle zugehörigen Ressourcen zu benennen). Muss 1 bis 11 Zeichen lang sein. Standard: ExtraHop

   b. Standort : Der Speicherort, an dem die Datensammlungsregeln und Datensammlungsendpunkte bereitgestellt werden sollen.

   c. WorkspaceName: Geben Sie Microsoft Sentinel Arbeitsbereichsnamen des Log Analytics-Arbeitsbereichs ein.

   d. AzureClientId: Geben Sie Azure Client-ID ein, die Sie während der App-Registrierung erstellt haben.

   e. AzureClientSecret: Geben Sie Azure geheimen Clientschlüssel ein, den Sie beim Erstellen des geheimen Clientschlüssels erstellt haben.

   f. AzureEntraObjectID: Geben Sie die Objekt-ID Ihrer Microsoft Entra-App ein.

   g. TenantId: Geben Sie die Mandanten-ID Ihrer Microsoft Entra ID ein.

   h. DetectionsTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von ExtraHop Detections-Protokollen verwendet wird. Der Standardwert ist "ExtraHop_Detections"

   i. LogLevel : Wählen Sie unter Debuggen, Info, Fehler, Warnung den Protokollgrad oder den Protokollschweregrad aus. Standardmäßig ist sie auf Info festgelegt.

   j. AppInsightsWorkspaceResourceID : Migrieren des klassischen Application Insights zum Log Analytics-Arbeitsbereich, der am 29. Februar 2024 eingestellt wird. Verwenden Sie das Blatt "Log Analytics Workspace--Properties>" mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

SCHRITT 5: Nach der Bereitstellung

Konfigurieren Sie nach erfolgreicher Bereitstellung die Webhookverbindung von ExtraHop RevealX mit Microsoft Sentinel.

1) Abrufen des Funktions-App-Endpunkts

1. Wechseln Sie zur Übersichtsseite der Azure Funktion, und klicken Sie auf die Registerkarte Funktionen.
2. Klicken Sie auf die Funktion extraHopHttpStarter.
3. Wechseln Sie zu Funktions-URL abrufen, und kopieren Sie die Funktions-URL, die unter der Standardeinstellung (Funktionsschlüssel) verfügbar ist.
4. Ersetzen Sie {functionname} durch ExtraHopDetectionsOrchestrator in der kopierten Funktions-URL.

2) Konfigurieren einer Verbindung mit Microsoft Sentinel und Angeben von Webhooknutzlastkriterien aus RevealX

Konfigurieren Sie in Ihrem ExtraHop-System die Microsoft Sentinel Integration, um eine Verbindung zwischen Microsoft Sentinel und ExtraHop RevealX herzustellen und Erkennungsbenachrichtigungsregeln zu erstellen, die Webhookdaten an Microsoft Sentinel senden. Ausführliche Anweisungen finden Sie unter Integrieren von ExtraHop RevealX in Microsoft Sentinel SIEM.

Nachdem Benachrichtigungsregeln konfiguriert wurden und Microsoft Sentinel Webhookdaten empfängt, wird die Funktions-App ausgelöst, und Sie können ExtraHop-Erkennungen aus der benutzerdefinierten Tabelle des Log Analytics-Arbeitsbereichs anzeigen. Verwenden Sie die ExtraHopDetections-Parserfunktion für eine normalisierte Ansicht der Daten.

---

F5 BIG-IP

Unterstützt von:F5 Networks

Mit dem F5-Firewallconnector können Sie Ihre F5-Protokolle ganz einfach mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Dadurch erhalten Sie mehr Einblick in das Netzwerk Ihrer organization und verbessern Ihre Sicherheitsfunktionen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
F5Telemetry_LTM_CL	Nein	Nein
F5Telemetry_system_CL	Ja	Ja
F5Telemetry_ASM_CL	Nein	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Konfigurieren und Verbinden von F5 BIGIP

Um Ihre F5 BIGIP-Datei zu verbinden, müssen Sie eine JSON-Deklaration an den API-Endpunkt des Systems senden. Anweisungen hierzu finden Sie unter Integrieren von F5 BGIP in Microsoft Sentinel.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Feedly IoC

Unterstützt von:Feedly Inc

Der Feedly IoC-Datenconnector bietet die Möglichkeit, Gefährdungsindikatoren (Indicators of Compromise, IoCs) aus der Feedly-API in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
feedly_indicators_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Feedly-API-Zugriff: Zugriff auf die Feedly-API ist erforderlich. Sie benötigen ein Feedly-API-Token mit Zugriff auf die IoC-Streams, die Sie erfassen möchten. Generieren Sie Ihr API-Token unter https://feedly.com/i/team/api

Setupanweisungen:

Stellen Sie eine Verbindung mit Feedly her, um mit dem Sammeln von IoCs in Microsoft Sentinel

1. Wechseln Sie zu , https://feedly.com/i/team/api und generieren Sie ein neues API-Token für den Connector.
2. Geben Sie Sentinel auf der Connectorseite Ihren Feedly-API-Schlüssel und Stream IDs an. Klicken Sie dann auf "Verbinden".

• Feedly-API-Schlüssel: (Geben Sie Ihr Feedly-API-Token ein)
• Feedly Stream IDs: (streamId1,streamId2,streamId3)
• Verbindung aktivieren/deaktivieren

---

Flare Push Connector

Unterstützt von:Flare

Der Flare-Connector bietet die Möglichkeit, Threat Intelligence- und Expositionsdaten von Flare in Microsoft Sentinel zu erfassen. Flare identifiziert die digitalen Ressourcen Ihres Unternehmens, die aufgrund von menschlichen Fehlern oder böswilligen Angriffen öffentlich zur Verfügung gestellt werden, einschließlich kompromittierter Anmeldeinformationen, verfügbar gemachter Cloud-Buckets, Darkweb-Erwähnungen und mehr.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
FireworkV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR).
• Flare: Berechtigung zum Konfigurieren Microsoft Sentinel Integration in Flare.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Dieser Connector ermöglicht es Flare, Bedrohungsdaten an Microsoft Sentinel zu senden. Wenn die Datenweiterleitung in Flare aktiviert ist, werden Ereignisrohdaten sicher an die Microsoft Sentinel Erfassungs-API gesendet.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" werden Log Analytics-Tabellen und eine Datensammlungsregel (Data Collection Rule, DCR) erstellt. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Konfigurieren von Flare zum Senden von Protokollen an Microsoft Sentinel

Verwenden Sie die folgenden Parameter, um Flare so zu konfigurieren, dass Protokolle an Ihren Arbeitsbereich gesendet werden.

• Entra Anwendungs-ID< (Client): Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra Verzeichnis-ID <(Mandant): Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Protokollerfassungs-URL: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

3. Konfigurieren des Warnungskanals in Flare

Als organization-Administrator können Sie einen Warnungskanal in Flare konfigurieren, um Daten an Sentinel zu senden.

1. Authentifizieren auf Flare
2. Greifen Sie auf die Seite Warnungen zu, um einen neuen Warnungskanal zu erstellen.
3. Wählen Sie "Microsoft Sentinel" aus, und kopieren Sie die obigen Felder in das Formular.

Weitere Informationen finden Sie in der Flare-Dokumentation.

---

Forcepoint DLP

Unterstützt von:Community

Mit dem Forcepoint DLP-Connector (Data Loss Prevention, Verhinderung von Datenverlust) können Sie DLP-Incidentdaten aus Forcepoint DLP automatisch in Echtzeit in Microsoft Sentinel exportieren. Dies verbessert den Einblick in Benutzeraktivitäten und Datenverlustvorfälle, ermöglicht eine weitere Korrelation mit Daten aus Azure Workloads und anderen Feeds und verbessert die Überwachungsfunktionen mit Arbeitsmappen innerhalb Microsoft Sentinel.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ForcepointDLPEvents_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Befolgen Sie die Schrittweisen Anweisungen in der Forcepoint DLP-Dokumentation für Microsoft Sentinel, um diesen Connector zu konfigurieren.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Forescout

Unterstützt von:Microsoft Corporation

Der Forescout-Datenconnector bietet die Möglichkeit, Forescout-Ereignisse in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Forescout-Dokumentation .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ForescoutEvent	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren ForescoutEvent, das mit der Microsoft Sentinel Solution bereitgestellt wird.

HINWEIS: Dieser Datenconnector wurde mit der Forescout Syslog-Plug-In-Version v3.6 entwickelt.

1. Installieren und Integrieren des Agents für Linux oder Windows

Installieren Sie den Agent auf dem Server, auf dem die Forescout-Protokolle weitergeleitet werden.

Protokolle von Forescout Server, die auf Linux- oder Windows-Servern bereitgestellt werden, werden von Linux- oder Windows-Agents gesammelt.

Wählen Sie aus, wo der Linux-Agent installiert werden soll:

Installieren des Agents auf Azure Linux virtuellen Computer

Wählen Sie den Computer aus, auf dem der Agent installiert werden soll, und klicken Sie dann auf Verbinden.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Installieren des Agents auf einem Computer ohne Azure Linux

Laden Sie den Agent auf den entsprechenden Computer herunter, und befolgen Sie die Anweisungen.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Wählen Sie aus, wo der Windows-Agent installiert werden soll:

Installieren des Agents auf Azure virtuellen Windows-Computer

Wählen Sie den Computer aus, auf dem der Agent installiert werden soll, und klicken Sie dann auf Verbinden.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Installieren des Agents auf einem Nicht-Azure Windows-Computer

Laden Sie den Agent auf den entsprechenden Computer herunter, und befolgen Sie die Anweisungen.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

2. Konfigurieren der zu sammelnden Protokolle

Konfigurieren Sie die Einrichtungen, die Sie erfassen möchten, und deren Schweregrade.

1. Wählen Sie unter Erweiterte Arbeitsbereichseinstellungen Konfiguration die Option Daten und dann Syslog aus.
2. Wählen Sie unten die Konfiguration auf meine Computer anwenden aus, und wählen Sie die Einrichtungen und Schweregrade aus.
3. Klicken Sie auf Speichern.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

3. Konfigurieren der Forescout-Ereignisweiterleitung

Führen Sie die folgenden Konfigurationsschritte aus, um Forescout-Protokolle in Microsoft Sentinel abzurufen.

1. Wählen Sie eine Appliance aus, die konfiguriert werden soll.
2. Befolgen Sie diese Anweisungen , um Warnungen von der Forescout-Plattform an einen Syslog-Server weiterzuleiten.
3. Konfigurieren Sie die Einstellungen auf der Registerkarte Syslog-Trigger.

---

Forescout Host Property Monitor

Unterstützt von:Microsoft Corporation

Mit dem Forescout Host Property Monitor-Connector können Sie Hosteigenschaften von der Forescout-Plattform mit Microsoft Sentinel verbinden, um benutzerdefinierte Incidents anzuzeigen, zu erstellen und die Untersuchung zu verbessern. Dadurch erhalten Sie mehr Einblick in Ihr organization Netzwerk und verbessern Ihre Sicherheitsfunktionen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ForescoutHostProperties_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Forescout-Plug-In-Anforderung: Stellen Sie sicher, dass forescout Microsoft Sentinel Plug-In auf der Forescout-Plattform ausgeführt wird.

Setupanweisungen:

Anweisungen zum Konfigurieren des Forescout-Microsoft Sentinel-Plug-Ins finden Sie im Forescout-Dokumentationsportal (https://docs.forescout.com/bundle/sentinel-1-0-h).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Fortinet FortiNDR Cloud

Unterstützt von:Fortinet

Der Fortinet FortiNDR Cloud-Datenconnector bietet die Möglichkeit, Fortinet FortiNDR Cloud-Daten mithilfe der FortiNDR-Cloud-API in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
FncEventsSuricata_CL	Nein	Nein
FncEventsObservation_CL	Nein	Nein
FncEventsDetections_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• MetaStream-Anmeldeinformationen: Zum Abrufen von Ereignisdaten sind AWS-Zugriffsschlüssel-ID, geheimer AWS-Zugriffsschlüssel und FortiNDR-Cloudkontocode erforderlich.
• API-Anmeldeinformationen: FortiNDR-Cloud-API-Token und FortiNDR-Cloudkonto-UUID sind erforderlich, um Erkennungsdaten abzurufen.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der FortiNDR-Cloud-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Connector verwendet einen Parser, der auf einer Kusto-Funktion basiert, um Felder zu normalisieren. Führen Sie die folgenden Schritte aus, um den Kusto-Funktionsalias Fortinet_FortiNDR_Cloud zu erstellen.

SCHRITT 1: Konfigurationsschritte für die Fortinet FortiNDR-Cloudprotokollsammlung

Der Anbieter sollte detaillierte Schritte zum Konfigurieren des API-Endpunkts "ANBIETERNAME ANWENDUNGSNAME" bereitstellen oder verknüpfen, damit sich die Azure-Funktion erfolgreich bei ihm authentifizieren, ihren Autorisierungsschlüssel oder ihr Token abrufen und die Protokolle der Anwendung in Microsoft Sentinel pullen kann.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Fortinet FortiNDR Cloud-Connector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden) sowie die Anmeldeinformationen für die FortiNDR-Cloud-API (verfügbar in der FortiNDR Cloud-Kontoverwaltung).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

arm-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Fortinet FortiNDR Cloud-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus(Stellen Sie sicher, dass Sie denselben Standort wie Ihre Ressourcengruppe verwenden, und erhalten Sie, dass der Standort Flex Consumption unterstützt.

3. Geben Sie die Felder Arbeitsbereichs-ID, Arbeitsbereichsschlüssel, AwsAccessKeyId, AwsSecretAccessKey und/oder Andere erforderliche Felder ein.

4. Klicken Sie zum Bereitstellen auf Erstellen .

---

Fortra Agari Data Connector (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Fortra Agari Data Connector ermöglicht das Erfassen von Protokollen von Fortra Agari-APIs in Microsoft Sentinel. Dieser Connector kann in produkte von Agari Brand Protection (BP), Phishing Defense (APD) und Phishing Response (APR) integriert werden. Es unterstützt DCR-basierte Erfassungszeittransformationen für eine effiziente Abfrageausführung. Weitere Informationen finden Sie in der Dokumentation zur Agari-API .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AgariBPAlertsLog_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Konfigurationsschritte für die Agari-API

Befolgen Sie die folgenden Anweisungen, um Ihre Agari-API-Anmeldeinformationen abzurufen.

1. Api-URL abrufen Melden Sie sich bei Ihrer Agari-Konsole an, und navigieren Sie zum ABSCHNITT API. Die Standard-API-URL lautet https://api.agari.com

2. Abrufen von Clientanmeldeinformationen Rufen Sie Ihre Client-ID und den geheimen Clientschlüssel aus dem Abschnitt API-Anmeldeinformationen in Ihrem Agari-Konto ab. Beachten Sie, dass verschiedene Agari-Produkte (Brand Protection, Phishing Defense, Phishing Response) möglicherweise separate API-Anmeldeinformationen erfordern.

3. Wählen Sie Datenströme aus Wählen Sie aus, welche Agari-Datenströme Sie sammeln möchten. Sie können einen oder mehrere Streams basierend auf Ihrem Abonnement und Ihren Anforderungen auswählen.

• Basis-API-URL: (https://api.agari.com)
• Client-ID: (Ihre Client-ID)
• Geheimer Clientschlüssel: (Ihr geheimer Clientschlüssel)
• Verbindung aktivieren/deaktivieren

---

Garrison ULTRA Remote Logs (mit Azure Functions)

Unterstützt von:Garrison

Mit dem Garrison ULTRA Remote Logs-Connector können Sie Garrison ULTRA Remote Logs in Microsoft Sentinel erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Garrison_ULTRARemoteLogs_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Garrison ULTRA: Um diesen Datenconnector verwenden zu können, müssen Sie über eine aktive Garrison ULTRA-Lizenz verfügen.

Setupanweisungen:

Bereitstellung – Azure Resource Manager (ARM)-Vorlage

In diesen Schritten wird die automatisierte Bereitstellung des Garrison ULTRA Remote Logs-Datenconnectors mithilfe von ARM Tempate beschrieben.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   portal.azure.com

2. Geben Sie die erforderlichen Details wie Ressourcengruppe, Microsoft Sentinel Arbeitsbereich und Erfassungskonfigurationen an.

HINWEIS: Es wird empfohlen, eine neue Ressourcengruppe für die Bereitstellung dieser Ressourcen zu erstellen. 3. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 4. Klicken Sie zum Bereitstellen auf Kaufen .

---

GCP Cloud Run (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der GCP Cloud Run-Datenconnector bietet die Möglichkeit, Cloud run request-Protokolle mithilfe von Pub/Sub in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Übersicht über die Cloudausführung .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPCloudRun	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

**Verbinden von GCP Cloud Run mit Microsoft Sentinel **

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren von Cloudausführungsprotokollen Aktivieren Sie in der Google Cloud-Konsole die Cloudprotokollierung, falls sie noch nicht aktiviert ist, und speichern Sie die Änderungen. Stellen Sie Ihre Cloudausführungsdienste mit aktivierter Protokollierung bereit oder aktualisieren Sie sie.

Referenzlink: Link zur Dokumentation

3. Neue Sammler verbinden Um GCP Cloud Run Request Logs für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie im Popupfenster die erforderlichen Informationen ein, und klicken Sie auf Verbinden.

---

GCP Cloud SQL (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der GCP Cloud SQL-Datenconnector bietet die Möglichkeit, Überwachungsprotokolle mithilfe der GCP Cloud SQL-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zu SQL-Überwachungsprotokollen für die GCP-Cloud .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPCloudSQL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden von GCP Cloud SQL mit Microsoft Sentinel

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.<>

2. Aktivieren Sie in der Google Cloud Console die Cloud SQL-API( sofern sie zuvor nicht aktiviert wurde), und speichern Sie die Änderungen.

3. Neue Sammler verbinden Um GCP Cloud SQL Logs für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

---

GCP Pub/Sub-Überwachungsprotokolle

Unterstützt von:Microsoft Corporation

Mit den Überwachungsprotokollen der Google Cloud Platform (GCP), die vom Connector Microsoft Sentinel erfasst werden, können Sie drei Arten von Überwachungsprotokollen erfassen: Protokolle für Administratoraktivitäten, Datenzugriffsprotokolle und Zugriffstransparenzprotokolle. Google Cloud-Überwachungsprotokolle zeichnen einen Pfad auf, den Praktiker verwenden können, um den Zugriff zu überwachen und potenzielle Bedrohungen über Google Cloud Platform (GCP)-Ressourcen hinweg zu erkennen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPAuditLogs	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Neue Sammler verbinden Um GCP-Überwachungsprotokolle für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

---

GCP Pub/Sub Load Balancer Logs (über Codeless Connector Framework).

Unterstützt von:Microsoft Corporation

Google Cloud Platform (GCP) Load Balancer-Protokolle bieten detaillierte Einblicke in den Netzwerkdatenverkehr und erfassen sowohl ein- als auch ausgehende Aktivitäten. Diese Protokolle werden verwendet, um Zugriffsmuster zu überwachen und potenzielle Sicherheitsbedrohungen für GCP-Ressourcen zu identifizieren. Darüber hinaus enthalten diese Protokolle auch WAF-Protokolle (GCP Web Application Firewall), wodurch die Möglichkeit zur effektiven Erkennung und Entschärfung von Risiken verbessert wird.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPLoadBalancerLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren Load Balancer Protokolle Navigieren Sie in Ihrem GCP-Konto zum Abschnitt Load Balancer. Hier können Sie [Back-End-Dienst] -> [Bearbeiten] ändern, sobald Sie sich im [Back-End-Dienst] im Abschnitt [Protokollierung] befinden, aktivieren Sie das Kontrollkästchen von [Protokolle aktivieren]. Nachdem Sie die Regel geöffnet haben, legen Sie die Umschaltfläche im Abschnitt Protokolle auf Ein fest, und speichern Sie die Änderungen.

Weitere Informationen finden Sie unter Link zur Dokumentation.

3. Neue Sammler verbinden Um GCP Load Balancer Logs für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

---

GCP Pub/Sub VPC Flow Logs (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit den GOOGLE Cloud Platform (GCP)-VPC-Flussprotokollen können Sie Netzwerkdatenverkehr auf VPC-Ebene erfassen, sodass Sie Zugriffsmuster überwachen, die Netzwerkleistung analysieren und potenzielle Bedrohungen für GCP-Ressourcen erkennen können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPVPCFlow	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren von VPC-Flussprotokollen Navigieren Sie in Ihrem GCP-Konto zum Abschnitt VPC-Netzwerk. Wählen Sie das Subnetz aus, das Sie überwachen möchten, und aktivieren Sie die Datenflussprotokolle im Abschnitt Protokollierung.

Weitere Informationen finden Sie in der Google Cloud-Dokumentation.

3. Neue Sammler verbinden Um GCP VPC Flow Logs für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

---

Gigamon AMX Connector

Unterstützt von:Gigamon

Der Gigamon-Connector bietet die Möglichkeit, Rohdaten von Gigamon in Microsoft Sentinel zu lesen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GigamonV2_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR). In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Dieser Connector liest Daten aus den Tabellen, die Gigamon CCF in einem Microsoft Analytics-Arbeitsbereich verwendet. Wenn die Datenweiterleitungsoption in Gigamon CCF aktiviert ist, werden Ereignisrohdaten an die Microsoft Sentinel Erfassungs-API gesendet.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung von Log Analytics-Tabellen und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Pushen Ihrer Protokolle in den Arbeitsbereich

Verwenden Sie die folgenden Parameter, um den Computer so zu konfigurieren, dass die Protokolle an den Arbeitsbereich gesendet werden.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Aktivität Stream Name: <Variablenwert, der zur Installationszeit angegeben wird>
• Threat Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

GitHub (mit Webhooks)

Unterstützt von:Microsoft Corporation

Der GitHub-Webhook-Datenconnector bietet die Möglichkeit, gitHub-abonnierte Ereignisse mithilfe von GitHub-Webhookereignissen in Microsoft Sentinel zu erfassen. Der Connector bietet die Möglichkeit, Ereignisse in Microsoft Sentinel zu integrieren, um potenzielle Sicherheitsrisiken zu untersuchen, die Verwendung der Zusammenarbeit durch Ihr Team zu analysieren, Konfigurationsprobleme zu diagnostizieren und vieles mehr.

Hinweis: Wenn Sie GitHub-Überwachungsprotokolle erfassen möchten, lesen Sie den GitHub Enterprise Audit Log Connector im Katalog "Datenconnectors".

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
githubscanaudit_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

Setupanweisungen:

HINWEIS: Dieser Connector wurde auf http-Triggern basierend Azure-Funktion erstellt. Außerdem wird ein Endpunkt bereitgestellt, mit dem GitHub über seine Webhookfunktion verbunden wird und die abonnierten Ereignisse in Microsoft Sentinel. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den GitHub Webhook-Connector bereitstellen, verwenden Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des GitHub-Datenconnectors mithilfe von ARM Tempate.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren und bereitstellen. 3. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den GitHub-Webhook-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): WorkspaceID WorkspaceKey logAnalyticsUri (optional): Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

Schritte nach der Bereitstellung

SCHRITT 1 : Abrufen der Azure Funktions-URL

1. Wechseln Sie Azure Funktionsübersichtsseite, und klicken Sie auf dem linken Blatt auf "Funktionen".
2. Klicken Sie auf die Funktion "GithubwebhookConnector".
3. Wechseln Sie zu "GetFunctionurl", und kopieren Sie die Funktions-URL.

SCHRITT 2: Konfigurieren des Webhooks für die GitHub-Organisation

1. Wechseln Sie zu GitHub , öffnen Sie Ihr Konto, und klicken Sie auf "Ihre Organisationen".
2. Klicken Sie auf Einstellungen.
3. Klicken Sie auf "Webhooks", und geben Sie die Funktions-App-URL ein, die aus schritt 1 unter das Textfeld nutzlast-URL kopiert wurde.
4. Wählen Sie den Inhaltstyp "application/json" aus.
5. Abonnieren Sie Ereignisse, und klicken Sie auf "Webhook hinzufügen".

Nun sind wir mit der GitHub-Webhookkonfiguration fertig. Sobald die GitHub-Ereignisse ausgelöst wurden und nach der Verzögerung von 20 bis 30 Minuten (da es einen Deal für LogAnalytics gibt, die Ressourcen zum ersten Mal zu starten), sollten Sie in der Lage sein, alle Transaktionsereignisse aus github in der LogAnalytics-Arbeitsbereichstabelle mit dem Namen "githubscanaudit_CL" anzuzeigen.

Weitere Informationen finden Sie hier.

---

GitHub Enterprise-Überwachungsprotokoll (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der GitHub-Überwachungsprotokollconnector bietet die Möglichkeit, GitHub-Protokolle in Microsoft Sentinel zu erfassen. Indem Sie GitHub-Überwachungsprotokolle mit Microsoft Sentinel verbinden, können Sie diese Daten in Arbeitsmappen anzeigen, sie verwenden, um benutzerdefinierte Warnungen zu erstellen und Ihren Untersuchungsprozess zu verbessern.

Hinweis: Wenn Sie gitHub-abonnierte Ereignisse in Microsoft Sentinel erfassen möchten, lesen Sie den GitHub-Connector (mit Webhooks) im Katalog "Datenconnectors".

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GitHubAuditLogsV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Persönliches GitHub-API-Zugriffstoken: Um das Abfragen für das Unternehmensüberwachungsprotokoll zu aktivieren, stellen Sie sicher, dass der authentifizierte Benutzer ein Unternehmensadministrator ist und über ein persönliches GitHub-Zugriffstoken (klassisch) mit dem read:audit_log Bereich verfügt.
• GitHub Enterprise-Typ: Dieser Connector funktioniert nur mit GitHub Enterprise Cloud. GitHub Enterprise Server wird nicht unterstützt.

Setupanweisungen:

Verbinden des GitHub-Überwachungsprotokolls auf Unternehmensebene mit Microsoft Sentinel

Aktivieren Sie GitHub-Überwachungsprotokolle. Befolgen Sie diese Anleitung , um Ihr persönliches Zugriffstoken zu erstellen oder zu finden.

• Datenconnectors Grid (im Portal konfigurieren)

---

Google ApigeeX (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google ApigeeX-Datenconnector bietet die Möglichkeit, Überwachungsprotokolle mithilfe der Google Apigee-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur Google Apigee-API .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPApigee	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

**Verbinden von Google ApigeeX mit Microsoft Sentinel **

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren von ApigeeX-Protokollen Aktivieren Sie in der Google Cloud Console die Apigee-API( sofern nicht zuvor aktiviert), und speichern Sie die Änderungen.

3. Neue Sammler verbinden Um ApigeeX-Protokolle für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen in das Popupfenster ein, und klicken Sie auf Verbinden.

---

Google Cloud Platform CDN (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Platform CDN-Datenconnector bietet die Möglichkeit, Cloud CDN-Überwachungsprotokolle und Cloud CDN-Datenverkehrsprotokolle mithilfe der Compute-Engine-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie im Dokument zur Produktübersicht .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPCDN	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

**Verbinden von GCP CDN mit Microsoft Sentinel **

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren von CDN-Protokollen Aktivieren Sie in der Google Cloud Console die Cloudprotokollierung, falls sie noch nicht aktiviert ist, und speichern Sie die Änderungen. Navigieren Sie zum Abschnitt Cloud CDN, und klicken Sie auf Ursprung hinzufügen, um Back-Ends zu erstellen, wie unten angegeben.

Referenzlink: Link zur Dokumentation

3. Neue Sammler verbinden Um GCP Cloud CDN Logs für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie im Popupfenster die erforderlichen Informationen ein, und klicken Sie auf Verbinden.

---

Google Cloud Platform Cloud IDS (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Platform IDS-Datenconnector bietet die Möglichkeit, Cloud IDS-Datenverkehrsprotokolle, Bedrohungsprotokolle und Überwachungsprotokolle mithilfe der Google Cloud IDS-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur Cloud IDS-API .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPIDS	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

**Verbinden von GCP Cloud IDS mit Microsoft Sentinel **

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren von IDS-Protokollen Aktivieren Sie in der Google Cloud Console die Cloud-IDS-API, falls sie nicht zuvor aktiviert wurde. Erstellen Sie einen IDS-Endpunkt, und speichern Sie die Änderungen.

Weitere Informationen zum Erstellen und Konfigurieren eines IDS-Endpunkts finden Sie unter Link zur Dokumentation.

3. Neue Sammler verbinden Um GCP IDS-Protokolle für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen in das Popupfenster ein, und klicken Sie auf Verbinden.

---

Google Cloud Platform Cloud Monitoring (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Platform Cloud Monitoring-Datenconnector erfasst Überwachungsprotokolle aus Google Cloud mithilfe der Google Cloud Monitoring-API in Microsoft Sentinel. Weitere Informationen finden Sie in der Dokumentation zur Cloudüberwachungs-API .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPMonitoring	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden von Google Cloud Platform Cloud Monitoring mit Microsoft Sentinel

1. Einrichten der GCP-Überwachungsintegration Zum Abrufen von Protokollen von GCP Cloud Monitoring in Sentinel Projekt-ID der Google-Cloud erforderlich ist.

2. Wählen Sie den Metriktyp Aus, um Protokolle von Google Cloud Monitoring zu sammeln, geben Sie den erforderlichen Metriktyp an.

Weitere Informationen finden Sie unter Google Cloud Metrics.

3. OAuth-Anmeldeinformationen zum Abrufen der Oauth-Client-ID und des geheimen Clientschlüssels finden Sie in dieser Dokumentation.

4. Verbindung mit Sentinel Klicken Sie auf Verbinden, um mit dem Pullen von Überwachungsprotokollen aus Google Cloud in Microsoft Sentinel zu beginnen.

• GCP-Projekt-ID:
• Metriktyp:
• Datenconnectors Grid (im Portal konfigurieren)

---

Google Cloud Platform Compute Engine (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Platform Compute Engine-Datenconnector bietet die Möglichkeit, Compute Engine-Überwachungsprotokolle mithilfe der Google Cloud Compute Engine-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur Cloud Compute Engine-API .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPComputeEngine	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

**Verbinden der GCP-Compute-Engine mit Microsoft Sentinel **

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren von Compute-Engine-Protokollen Aktivieren Sie in der Google Cloud-Konsole die Compute-Engine-API, falls sie noch nicht aktiviert ist, und speichern Sie die Änderungen.

3. Neue Sammler verbinden Um Compute-Engine-Protokolle für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen in das Popupfenster ein, und klicken Sie auf Verbinden.

---

Google Cloud Platform DNS (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der GOOGLE Cloud Platform DNS-Datenconnector bietet die Möglichkeit, Cloud-DNS-Abfrageprotokolle und Cloud-DNS-Überwachungsprotokolle mithilfe der Google Cloud DNS-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur Cloud-DNS-API .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPDNS	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

**Verbinden von GCP DNS mit Microsoft Sentinel **

HINWEIS: Wenn Azure-Funktion und der CCF-Connector gleichzeitig ausgeführt werden, werden doppelte Daten in den Tabellen aufgefüllt.

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren von DNS-Protokollen Navigieren Sie in der Google Cloud Console zum Abschnitt Cloud-DNS. Aktivieren Sie die Cloudprotokollierung, falls sie noch nicht aktiviert ist, und speichern Sie die Änderungen. Hier können Sie die vorhandenen Zonen verwalten oder eine neue Zone erstellen und Richtlinien für die Zone erstellen, die Sie überwachen möchten.

Weitere Informationen finden Sie unter Link zur Dokumentation.

3. Neue Sammler verbinden Um GCP DNS-Protokolle für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen in das Popupfenster ein, und klicken Sie auf Verbinden.

---

Google Cloud Platform IAM (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der IAM-Datenconnector von Google Cloud Platform bietet die Möglichkeit, die Überwachungsprotokolle im Zusammenhang mit IAM-Aktivitäten (Identity and Access Management) in Google Cloud mithilfe der Google IAM-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur GCP IAM-API .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPIAM	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden von GCP IAM mit Microsoft Sentinel

HINWEIS: Wenn Azure-Funktion und der CCF-Connector parallel ausgeführt werden, werden doppelte Daten in den Tabellen aufgefüllt.

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Um IAM-Protokolle in Ihrem GCP-Konto zu aktivieren, navigieren Sie zum Abschnitt IAM. Von dort aus können Sie entweder einen neuen Benutzer erstellen oder die Rolle eines vorhandenen Benutzers ändern, den Sie überwachen möchten. Achten Sie darauf, ihre Änderungen zu speichern.

Weitere Informationen finden Sie unter Link zur Dokumentation.

3. Neue Sammler verbinden Um GCPIAM-Protokolle für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

---

Google Cloud Platform NAT (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Platform NAT-Datenconnector bietet die Möglichkeit, Cloud NAT-Überwachungsprotokolle und Cloud NAT-Datenverkehrsprotokolle mithilfe der Compute-Engine-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie im Dokument zur Produktübersicht .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPNATAudit	Ja	Ja
GCPNAT	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

**Verbinden von GCP NAT mit Microsoft Sentinel **

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren von NAT-Protokollen Aktivieren Sie in der Google Cloud Console die Cloudprotokollierung, falls sie noch nicht aktiviert ist, und speichern Sie die Änderungen. Navigieren Sie zum Abschnitt Cloud NAT, und klicken Sie auf Ursprung hinzufügen, um Back-Ends wie unten angegebenen Link zu erstellen.

Referenzlink: Link zur Dokumentation

3. Neue Sammler verbinden Um GCP Cloud NAT Logs für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie im Popupfenster die erforderlichen Informationen ein, und klicken Sie auf Verbinden.

---

Google Cloud Platform Resource Manager (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Platform Resource Manager-Datenconnector bietet die Möglichkeit, Resource Manager Admin Aktivitäts- und Datenzugriffsüberwachungsprotokolle mithilfe der Cloud Resource Manager-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie im Dokument zur Produktübersicht .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GCPResourceManager	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

**Verbinden von GCP-Resource Manager mit Microsoft Sentinel **

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren sie Resource Manager Protokolle Aktivieren Sie in der Google Cloud Console die Cloud Resource Manager-API, falls sie nicht zuvor aktiviert wurde, und speichern Sie die Änderungen. Stellen Sie sicher, dass Sie über iam-Berechtigungen auf organization Ebene für Ihr Konto verfügen, damit alle Protokolle in der Ressourcenhierarchie angezeigt werden. Sie können die Dokumentlinks für verschiedene IAM-Berechtigungen für die Zugriffssteuerung mit IAM auf jeder Ebene, die in diesem Link bereitgestellt werden, finden Sie.

3. Neue Sammler verbinden Um GCP Resource Manager Logs für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie im Popupfenster die erforderlichen Informationen ein, und klicken Sie auf Verbinden.

---

Google Kubernetes Engine (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit den Google Kubernetes Engine-Protokollen (GKE) können Sie Clusteraktivität, Workloadverhalten und Sicherheitsereignisse erfassen, sodass Sie Kubernetes-Workloads überwachen, die Leistung analysieren und potenzielle Bedrohungen in GKE-Clustern erkennen können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GKEAudit	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Aktivieren der Kubernetes-Engine-Protokollierung Navigieren Sie in Ihrem GCP-Konto zum Abschnitt Kubernetes-Engine. Aktivieren Sie die Cloudprotokollierung für Ihre Cluster. Stellen Sie in der Cloudprotokollierung sicher, dass die spezifischen Protokolle, die Sie erfassen möchten – z. B. API-Server, Scheduler, Controller-Manager, HPA-Entscheidungs- und Anwendungsprotokolle – für eine effektive Überwachung und Sicherheitsanalyse aktiviert sind.

3. Neue Sammler verbinden Um GKE-Protokolle für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

---

Google Security Command Center

Unterstützt von:Microsoft Corporation

Das Google Cloud Platform (GCP) Security Command Center ist eine umfassende Sicherheits- und Risikomanagementplattform für Google Cloud, die über den Connector von Sentinel erfasst wird. Es bietet Features wie Bestand und Ermittlung von Ressourcen, Erkennung von Sicherheitsrisiken und Bedrohungen sowie Risikominderung und -behebung, um Ihnen einen Einblick in die Sicherheits- und Datenangriffsfläche Ihres organization zu geben. Diese Integration ermöglicht es Ihnen, Aufgaben im Zusammenhang mit Ergebnissen und Ressourcen effektiver auszuführen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GoogleCloudSCC	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

1. Einrichten Ihrer GCP-Umgebung Sie müssen die folgenden GCP-Ressourcen definiert und konfiguriert haben: Thema, Abonnement für das Thema, Workloadidentitätspool, Workloadidentitätsanbieter und Dienstkonto mit Berechtigungen zum Abrufen und Nutzen aus dem Abonnement. Terraform stellt eine API für das IAM bereit, mit dem die Ressourcen erstellt werden. Link zu Terraform-Skripts.

• Mandanten-ID: Ein eindeutiger Bezeichner, der als Eingabe in der Terraform-Konfiguration innerhalb einer GCP-Umgebung verwendet wird.: <Variablenwert, der zur Installationszeit bereitgestellt wird>

2. Neue Sammler verbinden Um GCP SCC für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche Neuen Collector hinzufügen, geben Sie die erforderlichen Informationen im Kontextbereich ein, und klicken Sie auf Verbinden.

---

Google Workspace-Aktivitäten (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Datenconnector für Google Workspace-Aktivitäten bietet die Möglichkeit, Aktivitätsereignisse aus der Google Workspace-API in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GoogleWorkspaceReports	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Zugriff auf die Google Workspace-API: Zugriff auf die Google Workspace-Aktivitäten-API über Oauth ist erforderlich.

Setupanweisungen:

Stellen Sie eine Verbindung mit Google Workspace her, um mit dem Sammeln von Benutzeraktivitätsprotokollen in Microsoft Sentinel

Konfigurationsschritte für die Google Reports-API

1. Melden Sie sich mit Ihrem Arbeitsbereich Admin Anmeldeinformationen bei der Google Cloud-Konsole anhttps://console.cloud.google.com.
2. Suchen Sie mithilfe der Suchoption (in der oberen Mitte verfügbar) nach APIs & Services.
3. Aktivieren Sie über APIs & Services ->Enabled APIs & Services Admin SDK-API für dieses Projekt.
4. Wechseln Sie zu APIs & Dienste ->OAuth-Zustimmungsbildschirm. Falls noch nicht konfiguriert, erstellen Sie einen OAuth-Zustimmungsbildschirm mit den folgenden Schritten:
   1. Geben Sie den App-Namen und andere obligatorische Informationen an.
   2. Wählen Sie Extern als Benutzertyp für die Zielgruppe aus.
5. Wechseln Sie zu APIs & Services ->Anmeldeinformationen , und erstellen Sie die OAuth 2.0-Client-ID.
   1. Klicken Sie oben auf Anmeldeinformationen erstellen, und wählen Sie Oauth-Client-ID aus.
   2. Wählen Sie in der Dropdownliste Anwendungstyp die Option Webanwendung aus.
   3. Geben Sie einen geeigneten Namen für die Web-App an, und fügen Sie den Umleitungs-URI im folgenden Formular als autorisierte Umleitungs-URIs hinzu.
   4. Nachdem Sie auf Erstellen geklickt haben, erhalten Sie die Client-ID und den geheimen Clientschlüssel. Kopieren Sie diese Werte, und verwenden Sie sie in den folgenden Konfigurationsschritten.
6. Wechseln Sie zu Google Auth Platform –>Datenzugriff: Hinzufügen Admin SDK-API-Bereich

Konfigurieren Sie die Schritte für den Oauth-Zugriff der Google Reports-API. Geben Sie dann unten die erforderlichen Informationen ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

GravityZone-Datenconnector

Unterstützt von:Bitdefender SRL

Dieser Connector ermöglicht die Integration zwischen Bitdefender GravityZone und Microsoft Sentinel über die Event Push Service-API. Nach der Konfiguration werden alle GravityZone-Ereignistypen direkt in Ihren Microsoft Sentinel Arbeitsbereich gestreamt, wo sie als Protokolle in der GzSecurityEvents_CL Tabelle gespeichert werden.

Wichtige Ereigniskategorien wie EDR, XDR, Ransomware-Entschärfung, Netzwerksandkasten und Exchange-Schadsoftwareereignisse können automatisch korreliert werden und Incidents über die Analyseregel NRT GravityZone Incident Alerts generieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GzSecurityEvents_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Azure-App-Registrierung: Microsoft Entra App-Registrierung mit den folgenden Details: Verzeichnis-ID (Mandant), Anwendungs-ID (Client-ID), Objekt-ID des verwalteten Dienstprinzipals (aus dem Eintrag Unternehmensanwendungen der App), Geheimer Clientschlüssel (generiert unter Zertifikate & Geheimnisse).
• GravityZone-Cloudkonto: Ein GravityZone Cloud-Konto mit einem generierten API-Schlüssel für den Event Push Service-Endpunkt.
• Lesen Sie unseren Leitfaden: Befolgen Sie diesen Schritt-für-Schritt-Artikel, um die Integration einzurichten. Kunden | Partner

Setupanweisungen:

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen, und geben Sie die erforderlichen Parameter ein.

aka.ms

2. Erfassen der Protokollerfassungs-URL vom gz-sentinel-dceDatensammlungsendpunkt

3. Sammeln der unveränderlichen ID aus der gz-sentinel-dcrDatensammlungsregel

4. Navigieren Sie zu Ihrem GravityZone Cloud-Konto, und navigieren Sie zu Mein Konto. Erstellen Sie einen API-Schlüssel mit Berechtigungen des Ereignispushdiensts .

5. Konfigurieren Sie Ihre Einstellungen für den Ereignispushdienst mithilfe dieses Artikels. Kunden | Partner. Beachten Sie, dass das System nach der erfolgreichen Bereitstellung des Datenconnectors & erfolgreichen Einrichtung des Event Push Service von GravityZone Aktivitätsprotokolldaten nahezu in Echtzeit empfängt. Zwischen der Datenübertragung und ihrer Darstellung im Abschnitt Microsoft Sentinel Logs kann eine kurze Verzögerung auftreten.

---

GreyNoise Threat Intelligence

Unterstützt von:GreyNoise

Dieser Datenconnector installiert eine Azure Funktions-App, um GreyNoise-Indikatoren einmal pro Tag herunterzuladen, und fügt sie in die Tabelle ThreatIntelIndicators in Microsoft Sentinel ein.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelIndicators	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• GreyNoise-API-Schlüssel: Rufen Sie hier Ihren GreyNoise-API-Schlüssel ab.

Setupanweisungen:

**Sie können GreyNoise Threat Intelligence mit Microsoft Sentinel verbinden, indem Sie die folgenden Schritte ausführen: **

Mit den folgenden Schritten wird eine Azure AAD-Anwendung erstellt, ein GreyNoise-API-Schlüssel abgerufen und die Werte in einem Azure Function-App Configuration gespeichert.

1. Rufen Sie Ihren API-Schlüssel aus der GreyNoise-Schnellansicht ab.

Generieren eines API-Schlüssels aus der GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie mandanten-ID und Client-ID ab. Rufen Sie außerdem die Log Analytics-Arbeitsbereichs-ID ab, die Ihrem Microsoft Sentinel instance zugeordnet ist (sie sollte unten angezeigt werden).

Befolgen Sie die Anweisungen hier, um Ihre Azure AAD-App zu erstellen und Ihre Client-ID und Mandanten-ID zu speichern: /azure/sentinel/connect-threat-intelligence-upload-api#instructions HINWEIS: Warten Sie bis Schritt 5, um Ihren geheimen Clientschlüssel zu generieren.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Befolgen Sie die Anweisungen hier, um die rolle "mitwirkender Microsoft Sentinel" hinzuzufügen: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

4. Geben Sie die AAD-Berechtigungen an, um MS Graph-API Zugriff auf die upload-indicators-API zu ermöglichen.

Befolgen Sie diesen Abschnitt hier, um der AAD-App die Berechtigung "ThreatIndicators.ReadWrite.OwnedBy" hinzuzufügen: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Stellen Sie in Ihrer AAD-App sicher, dass Sie die Administratoreinwilligung für die soeben hinzugefügten Berechtigungen erteilen. Generieren Sie abschließend im Abschnitt "Token und APIs" einen geheimen Clientschlüssel, und speichern Sie ihn. Sie benötigen es in Schritt 6.

5. Bereitstellen der Threat Intelligence-Lösung (neu) (v3.0.14 oder höher), die die Api für den Threat Intelligence-Upload von Indikatoren (Vorschau) enthält

Weitere Informationen finden Sie unter Microsoft Sentinel Content Hub für diese Lösung, und installieren Sie sie im Microsoft Sentinel instance. Beachten Sie, dass Sie in diesem Schritt keine Konfiguration vornehmen müssen.

6. Bereitstellen der Azure-Funktion

Klicken Sie auf die Schaltfläche Bereitstellen in Azure.

aka.ms

Geben Sie die entsprechenden Werte für jeden Parameter ein. Beachten Sie, dass die einzigen gültigen Werte für den GREYNOISE_CLASSIFICATIONS Parameter gutartig, böswillig und/oder unbekannt sind und durch Trennzeichen getrennt werden müssen.

7. Senden von Indikatoren an Sentinel

Die in Schritt 6 installierte Funktions-App fragt die GreyNoise GNQL-API einmal täglich ab und übermittelt jeden Indikator im STIX 2.1-Format an die Microsoft Upload Threat Intelligence Indicators-API. Jeder Indikator läuft in ca. 24 Stunden nach der Erstellung ab, sofern er nicht in der Abfrage des nächsten Tages gefunden wird. In diesem Fall wird die Gültigkeitsdauer des TI-Indikators um weitere 24 Stunden verlängert, wodurch er in Microsoft Sentinel aktiv bleibt.

Weitere Informationen zur GreyNoise-API und zur GreyNoise Query Language (GNQL) finden Sie hier.

---

Halcyon-Connector

Unterstützt von:Halcyon

Der Halcyon-Connector bietet die Möglichkeit, Daten von Halcyon an Microsoft Sentinel zu senden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
HalcyonEvents_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra Berechtigungen erstellen: Berechtigungen zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Rollenzuweisungsberechtigungen: Schreibberechtigungen sind erforderlich, um der Datensammlungsregel (Data Collection Rule, DCR) die Rolle "Herausgeber von Überwachungsmetriken" zuzuweisen. In der Regel ist die Rolle "Besitzer" oder "Benutzerzugriffsadministrator" auf Ressourcengruppenebene erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Dieser Connector liest Daten aus den Tabellen, die Halcyon in einem Microsoft Analytics-Arbeitsbereich verwendet, wenn die Daten weitergeleitet werden.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung von Log Analytics-Tabellen und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Konfigurieren Ihrer Integration in die Halcyon-Plattform

Verwenden Sie die folgenden Parameter, um Ihre Integration in halcyon Platform zu konfigurieren.

• Verzeichnis-ID (Mandanten-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra Anwendungs-ID der App-Registrierung (Client-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis (Anmeldeinformationsgeheimnis) (DIESES GEHEIMNIS IST NACH DEM VERLASSEN DIESER SEITE NICHT SICHTBAR): <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt (URL):< Variablenwert, der zur Installationszeit angegeben wird>
• Datensammlungsregel-ID (Regel-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Holm Security Asset Data (mit Azure Functions)

Unterstützt von:Holm Security

Der Connector bietet die Möglichkeit, Daten aus Holm Security Center in Microsoft Sentinel abzufragen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
net_assets_CL	Nein	Nein
web_assets_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Holm Sicherheits-API Token: Holm Sicherheits-API Token ist erforderlich. Holm Sicherheits-API Token

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einem Holm Security Assets herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Holm-Sicherheits-API

Befolgen Sie diese Anweisungen , um ein API-Authentifizierungstoken zu erstellen.

SCHRITT 2: Verwenden Sie die folgende Bereitstellungsoption, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Holm Security-Connector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichsprimärschlüssel (können aus dem folgenden Beispiel kopiert werden) sowie das Autorisierungstoken Holm Sicherheits-API, das sofort verfügbar ist.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Bereitstellung von Azure Resource Manager -Vorlagen (ARM)

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Holm Security-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den API-Benutzernamen, das API-Kennwort, "und/oder andere erforderliche Felder" ein.

Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

---

IIS-Protokolle von Microsoft Exchange-Servern

Unterstützt von:Community

[Option 5] – Verwenden von Azure Monitor-Agent: Sie können alle IIS-Protokolle von den Windows-Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Mit dieser Verbindung können Sie benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
W3CIISLog	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure Log Analytics veraltet ist, wird zum Sammeln von Daten von nicht Azure VMs Azure Arc empfohlen. Weitere Informationen
• Ausführliche Dokumentation: >HINWEIS: Ausführliche Dokumentation zu Installationsverfahren und Verwendung finden Sie hier.

Setupanweisungen:

HINWEIS: Diese Lösung basiert auf Optionen. Auf diese Weise können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen eine sehr große Menge an Daten generieren können. Je nachdem, was Sie erfassen, in Ihren Arbeitsmappen, Analyseregeln und Huntingfunktionen nachverfolgen möchten, wählen Sie die Optionen aus, die Sie bereitstellen möchten. Jede Option ist für eine von der anderen unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki "Microsoft Exchange-Sicherheit".

Dieser Datenconnector ist die Option 5 des Wikis.

1. Herunterladen und Installieren der Agents, die zum Sammeln von Protokollen für Microsoft Sentinel

Der Servertyp (Exchange-Server, mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.

Bereitstellen von Monitor-Agents

Dieser Schritt ist nur erforderlich, wenn Sie ihre Exchange-Server/Domänencontroller zum ersten Mal integrieren. Bereitstellen des Azure Arc-Agents Weitere Informationen

[Option 5] IIS-Protokolle von Exchange-Servern

Auswählen, wie IIS-Protokolle von Exchange-Servern gestreamt werden sollen

Aktivieren der Datensammlungsregel

IIS-Protokolle werden nur von Windows-Agents gesammelt.

Option 1: arm-Vorlage (Azure Resource Manager) (bevorzugte Methode)

Verwenden Sie diese Methode für die automatisierte Bereitstellung von DCE und DCR.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Sie können den vorgeschlagenen Namen des DCE ändern.

4. Klicken Sie zum Bereitstellen auf Erstellen .

B. Bereitstellen einer Datenverbindungsregel

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsendpunkt.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, und geben Sie dem DCE einen Namen.
4. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

B. DcR erstellen, IIS-Protokoll eingeben

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, wählen Sie Windows als Plattformtyp aus, und geben Sie der DCR einen Namen. Wählen Sie die erstellte DCE aus.
4. Geben Sie auf der Registerkarte Ressourcen Ihre Exchange-Server ein.
5. Fügen Sie unter "Sammeln und übermitteln" den Datenquellentyp "IIS-Protokolle" hinzu (Geben Sie keinen Pfad ein, wenn der Iis-Protokollpfad standardmäßig konfiguriert ist). Klicken Sie auf "Datenquelle hinzufügen".
6. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

---

Illumio Insights

Unterstützt von:Illumio

Der Illumio Insights-Datenconnector ermöglicht das Erfassen von Protokollen aus der Illumio-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die Illumio-API zum Abrufen von Protokollen und unterstützt DCR-basierte Erfassungszeittransformationen, die die empfangenen Sicherheitsdaten in einer benutzerdefinierten Tabelle analysiert, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
IlumioInsights	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Konfigurationsschritte für die Illumio Insights-API

Voraussetzungen

• Registrieren und Anmelden bei der Illumio-Konsole mit gültigen Anmeldeinformationen
• Clientanmeldeinformationen müssen in Microsoft Sentinel Konto für den Mandanten gespeichert werden.

Schritt 1: Registrieren des Dienstkontos

1. Wechseln Sie zu Illumio Console → Access → Service Accounts
2. Erstellen eines Dienstkontos für den Mandanten
3. Nachdem Sie ein Dienstkonto erstellt haben, erhalten Sie die Clientanmeldeinformationen.
4. Kopieren Sie den Benutzernamen (API-Schlüssel) und den geheimen Schritt 2: Hinzufügen von Clientanmeldeinformationen zu Sentinel Konto.

• Hinzufügen des API-Schlüssels und des Geheimnisses zu Sentinel Konto für die Mandantenauthentifizierung
• Diese Anmeldeinformationen werden verwendet, um Aufrufe der Illumio SaaS-API zu authentifizieren.

Schritt 3: API-Nutzung Der Connector verwendet diese Anmeldeinformationen, um die Illumio SaaS-API aufzurufen:

• Endpunkt: GET https://gw.console.illum.io/api/v1/resource-insights
• Erforderliche Header:
  • x-illumio-tenant-id: Ihre Illumio-Mandanten-ID
  • x-auth-key: Der API-Schlüssel, der aus Schritt 1 abgerufen wurde
  • x-auth-X-api-secret: Der geheime Schlüssel, der aus Schritt 1 abgerufen wurde

Authentifizierungsüberprüfung Illumio überprüft die Anforderung anhand von:

• Signatur für die öffentlichen Schlüssel Entra ID
• Zielgruppe (aud) entspricht dem App-ID-URI Ihrer API
• Ausstellerüberprüfung

Füllen Sie die unten aufgeführten erforderlichen Felder mit den Anmeldeinformationen aus, die Sie von der Illumio-Konsole erhalten haben:

• Illumio Insights-API-Schlüssel: (api_XXXXXX)
• API-Geheimnis: (API-Geheimnis)
• Illumio-Mandanten-ID: ({illumioTenantId})
• Verbindung aktivieren/deaktivieren

---

Zusammenfassung zu Illumio-Erkenntnissen

Unterstützt von:Illumio

Der Illumio Insights Summary-Datenconnector bietet die Möglichkeit, Illumio-Sicherheitserkenntnisse und Bedrohungsanalyseberichte über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur Illumio-API . Der Connector bietet die Möglichkeit, tägliche und wöchentliche Zusammenfassungsberichte von Illumio abzurufen und in Microsoft Sentinel zu visualisieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
IllumioInsightsSummary_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Zugriff auf die Illumio-API: Für die Illumio Insights-Zusammenfassungs-API ist der Zugriff auf die Illumio-API erforderlich.

Setupanweisungen:

1. Konfiguration

Konfigurieren Sie den Illumio Insights Summary-Connector.

[! HINWEIS] Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, die als Teil der Lösung bereitgestellt wird.

• Illumio Insights-API-Schlüssel: (api_XXXXXX)
• API-Geheimnis: (API-Geheimnis)
• Illumio-Mandanten-ID: ({illumioTenantId})

2. Verbinden

Aktivieren Sie den Illumio Insights Summary-Connector.

• Verbindung aktivieren/deaktivieren

---

Illumio SaaS (mit Azure Functions)

Unterstützt von:Illumio

Der Illumio-Connector bietet die Möglichkeit, Ereignisse in Microsoft Sentinel zu erfassen. Der Connector bietet die Möglichkeit, überprüfbare Ereignisse und Flussereignisse aus dem AWS S3-Bucket zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Illumio_Auditable_Events_CL	Ja	Ja
Illumio_Flow_Events_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Anmeldeinformationen/Berechtigungen für SQS- und AWS S3-Konten: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL erforderlich. Wenn Sie den von Illumio bereitgestellten s3-Bucket verwenden, wenden Sie sich an den Illumio-Support. Auf Ihre Anfrage erhalten Sie den AWS S3-Bucketnamen, die AWS SQS-URL und AWS-Anmeldeinformationen, um darauf zuzugreifen.
• Illumio-API-Schlüssel und -Geheimnis: ILLUMIO_API_KEY ist ILLUMIO_API_SECRET erforderlich, damit eine Arbeitsmappe eine Verbindung mit SaaS PCE herstellen und API-Antworten abrufen kann.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit AWS SQS/S3 herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von API-Autorisierungsschlüsseln oder -Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Voraussetzungen

1. Stellen Sie sicher, dass AWS SQS für den s3-Bucket konfiguriert ist, aus dem Flow- und überprüfbare Ereignisprotokolle per Pull abgerufen werden. Falls Illumio Buckets bereitstellt, wenden Sie sich an den Illumio-Support für sqs URL, s3 Bucketname und aws-Anmeldeinformationen.
2. Registrieren einer AAD-Anwendung: Damit DCR (Datensammlungsregel) authentifiziert werden kann, um Daten in Log Analytics zu erfassen, müssen Sie Entra Anwendung verwenden. 1. Befolgen Sie die Anweisungen hier (Schritte 1 bis 5), um die AAD-Mandanten-ID, die AAD-Client-ID und den geheimen AAD-Clientschlüssel abzurufen.
3. Stellen Sie sicher, dass Sie einen Log Analytics-Arbeitsbereich erstellt haben. Notieren Sie sich den Namen und die Region, in der sie bereitgestellt wurde.

Bereitstellung

Wählen Sie einen der Ansätze aus den folgenden Optionen aus. Verwenden Sie entweder die folgende ARM-Vorlage, um Azure-Ressourcen bereitzustellen, oder stellen Sie die Funktions-App manuell bereit.

1. ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung von Azure Ressourcen mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Geben Sie die erforderlichen Details wie Microsoft Sentinel Arbeitsbereich, AWS-Anmeldeinformationen, Azure AD-Anwendungsdetails und Erfassungskonfigurationen an.

HINWEIS: Es wird empfohlen, eine neue Ressourcengruppe für die Bereitstellung der Funktions-App und der zugehörigen Ressourcen zu erstellen. 3. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 4. Klicken Sie zum Bereitstellen auf Kaufen .

2. Bereitstellen zusätzlicher Funktions-Apps für die Skalierung

Verwenden Sie diese Methode für die automatisierte Bereitstellung zusätzlicher Funktions-Apps mit arm tempate.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

3. Manuelle Bereitstellung von Azure Functions

Bereitstellung über Visual Studio Code.

1. Bereitstellen einer Funktions-App

2. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.

4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

5. Konfigurieren der Funktions-App

6. Folgen Sie dem Link> zum Einfügen der Dokumentation<, um alle erforderlichen Umgebungsvariablen einzurichten, und klicken Sie auf Speichern. Stellen Sie sicher, dass Sie die Funktions-App neu starten, nachdem die Einstellungen gespeichert wurden.

---

Imperva Cloud WAF (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Imperva Cloud WAF-Datenconnector bietet die Möglichkeit, Web Application Firewall Ereignisse über die REST-API in Microsoft Sentinel zu integrieren und zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur Protokollintegration. Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ImpervaWAFCloud_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Für die API sind ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI erforderlich. Weitere Informationen finden Sie unter Einrichten der Protokollintegration. Überprüfen Sie alle Anforderungen, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen. Beachten Sie, dass dieser Connector das CEF-Protokollereignisformat verwendet. Weitere Informationen zum Protokollformat.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Imperva Cloud-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Functions-App zu verwenden.

**HINWEIS:**Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet impervaWAFCloud zu funktionieren, die mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1: Konfigurationsschritte für die Protokollintegration

Befolgen Sie die Anweisungen , um die Anmeldeinformationen abzurufen.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordneten Azure Functions

WICHTIG: Geben Sie vor der Bereitstellung des Arbeitsbereichsdatenconnectors die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel an (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Imperva Cloud WAF-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI ein, und stellen Sie sie bereit. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden schrittweisen Anweisungen, um den Imperva Cloud WAF-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für die Entwicklung Azure Funktionen vorbereiten.

1. Laden Sie die Azure Functions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. ImpervaCloudXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

3. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Imperva Cloud WAF (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Imperva WAF Cloud-Datenconnector bietet die Möglichkeit, Protokolle mithilfe der Imperva-Protokollintegration über AWS S3 mit SQS-Benachrichtigungen in Microsoft Sentinel zu erfassen. Der Connector analysiert CEF-formatierte WAF-Ereignisse, einschließlich Zugriffsprotokollen und Sicherheitswarnungen für die Bedrohungserkennung und -untersuchung. Weitere Informationen finden Sie unter Imperva WAF Cloud Log Integration .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ImpervaWAFCloud	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

**Verbinden von Imperva WAF Cloud mit Microsoft Sentinel

**

HINWEIS: Dieser Connector ruft die Imperva Cloud WAF-Protokolle aus dem AWS S3-Bucket ab.

Zum Sammeln von Daten aus Imperva müssen Sie die folgenden Ressourcen konfigurieren:

1. AWS Role ARN Zum Sammeln von Daten von Imperva benötigen Sie aws Role ARN.

2. AWS SQS-Warteschlangen-URL Zum Sammeln von Daten aus Imperva benötigen Sie die URL der AWS SQS-Warteschlange.

Ausführliche Schritte zum Abrufen des AWS-Rollen-ARN und der SQS-Warteschlangen-URL und zum Konfigurieren der Imperva-Protokollweiterleitung an den Amazon S3-Bucket finden Sie im Connector-Setuphandbuch.

• Datenconnectors Grid (im Portal konfigurieren)

---

Infoblox Cloud Data Connector über AMA

Unterstützt von:Infoblox

Mit dem Infoblox Cloud Data Connector können Sie Ihre Infoblox-Daten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie & Korrelation, Warnungen und Threat Intelligence-Anreicherung für jedes Protokoll nutzen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommonSecurityLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

WICHTIG: Dieser Microsoft Sentinel Datenconnector setzt voraus, dass bereits ein Infoblox Data Connector-Host im Infoblox Cloud Services Portal (CSP) erstellt und konfiguriert wurde. Da der Infoblox-Datenconnector ein Feature von Threat Defense ist, ist Zugriff auf ein entsprechendes Threat Defense-Abonnement erforderlich. Weitere Informationen und Lizenzierungsanforderungen finden Sie in diesem Schnellstarthandbuch .

1. Konfiguration des syslog-Agents Linux

Installieren und konfigurieren Sie den Linux-Agent, um Ihre CEF-Syslog-Nachrichten (Common Event Format) zu sammeln und an Microsoft Sentinel weiterzuleiten.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.

1.1 Auswählen oder Erstellen eines Linux Computers

Wählen Oder erstellen Sie einen Linux Computer, der Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel sich dieser Computer in Ihrer lokalen Umgebung, Azure oder anderen Clouds befinden kann.

1.2 Installieren des CEF-Collectors auf dem Linux Computer

Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux Computer, und konfigurieren Sie den Computer so, dass er den erforderlichen Port überwacht und Nachrichten an Ihren Microsoft Sentinel Arbeitsbereich weiterleitt. Der CEF-Collector sammelt CEF-Nachrichten an Port 514 TCP.

1. Stellen Sie sicher, dass Python auf Ihrem Computer installiert ist, indem Sie den folgenden Befehl verwenden: python -version.

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um den zum Zeitpunkt der Installation angegebenen CEF-Collector zu installieren und anzuwenden:<>

2. Konfigurieren Von Infoblox zum Senden von Syslog-Daten an den Infoblox Cloud Data Connector zur Weiterleitung an den Syslog-Agent

Führen Sie die folgenden Schritte aus, um infoblox CDC so zu konfigurieren, dass Daten über den Linux Syslog-Agent an Microsoft Sentinel gesendet werden.

1. Navigieren Sie zu Datenconnector verwalten>.
2. Klicken Sie oben auf die Registerkarte Zielkonfiguration .
3. Klicken Sie auf Syslog erstellen>.

• Name: Geben Sie dem neuen Ziel einen aussagekräftigen Namen, z. B. Microsoft-Sentinel-Destination.
• Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung.
• Status: Legen Sie den Status auf Aktiviert fest.
• Format: Legen Sie das Format auf CEF fest.
• FQDN/IP: Geben Sie die IP-Adresse des Linux Geräts ein, auf dem der Linux-Agent installiert ist.
• Port: Übernehmen Sie die Portnummer 514.
• Protokoll: Wählen Sie ggf. das gewünschte Protokoll und zertifizierungsstellenzertifikat aus.
• Klicken Sie auf Speichern und schließen.

4. Klicken Sie oben auf die Registerkarte Datenverkehrsflusskonfiguration .
5. Klicken Sie auf Erstellen.

• Name: Geben Sie dem neuen Datenverkehrsfluss einen aussagekräftigen Namen, z. B. Microsoft-Sentinel-Flow.
• Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung.
• Status: Legen Sie den Status auf Aktiviert fest.
• Erweitern Sie den Abschnitt Dienstinstanz .
• Dienstinstanz: Wählen Sie die gewünschte Dienstinstanz aus, für die der Datenconnector-Dienst aktiviert ist.
• Erweitern Sie den Abschnitt Quellkonfiguration .
• Quelle: Wählen Sie BloxOne-Cloudquelle aus.
• Wählen Sie alle gewünschten Protokolltypen aus , die Sie erfassen möchten. Derzeit werden folgende Protokolltypen unterstützt:
• Threat Defense-Abfrage-/Antwortprotokoll
• Threat Defense-Bedrohungsfeeds trefferprotokoll
• DDI-Abfrage-/Antwortprotokoll
• DDI DHCP-Leaseprotokoll
• Erweitern Sie den Abschnitt Zielkonfiguration .
• Wählen Sie das soeben erstellte Ziel aus.
• Klicken Sie auf Speichern und schließen.

6. Lassen Sie die Konfiguration einige Zeit für die Aktivierung ein.

3. Überprüfen der Verbindung

Befolgen Sie die Anweisungen, um Ihre Konnektivität zu überprüfen:

Öffnen Sie Log Analytics, um zu überprüfen, ob die Protokolle mithilfe des CommonSecurityLog-Schemas empfangen werden.

Es kann etwa 20 Minuten dauern, bis die Verbindung Daten an Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Verbindungsüberprüfungsskript aus:

1. Stellen Sie mit dem folgenden Befehl sicher, dass Python auf Ihrem Computer installiert ist: python -version

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:: <Variablenwert, der zur Installationszeit angegeben wurde>

**4. Schützen Ihres Computers **

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihres organization konfigurieren.

Weitere Informationen >

---

Infoblox-Datenconnector über DIE REST-API

Unterstützt von:Infoblox

Mit dem Infoblox Data Connector können Sie Ihre Infoblox TIDE-Daten und Dossierdaten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Daten mit Microsoft Sentinel verbinden, können Sie & Korrelation, Warnungen und Threat Intelligence-Anreicherung für jedes Protokoll nutzen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Failed_Range_To_Ingest_CL	Nein	Nein
Infoblox_Failed_Indicators_CL	Nein	Nein
dossier_whois_CL	Nein	Nein
dossier_whitelist_CL	Nein	Nein
dossier_tld_risk_CL	Nein	Nein
dossier_threat_actor_CL	Nein	Nein
dossier_rpz_feeds_records_CL	Nein	Nein
dossier_rpz_feeds_CL	Nein	Nein
dossier_nameserver_matches_CL	Nein	Nein
dossier_nameserver_CL	Nein	Nein
dossier_malware_analysis_v3_CL	Nein	Nein
dossier_inforank_CL	Nein	Nein
dossier_infoblox_web_cat_CL	Nein	Nein
dossier_geo_CL	Nein	Nein
dossier_dns_CL	Nein	Nein
dossier_atp_threat_CL	Nein	Nein
dossier_atp_CL	Nein	Nein
dossier_ptr_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Infoblox-API-Schlüssel ist erforderlich. Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Infoblox-API herzustellen, um Bedrohungsindikatoren für TIDE zu erstellen und Dossierdaten in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 2: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung des TriggersSync-Playbooks erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 3: Zuweisen der Rolle "Mitwirkender" zur Anwendung in Microsoft Entra ID

Führen Sie die Schritte in diesem Abschnitt aus, um die Rolle zuzuweisen:

1. Wechseln Sie im Azure-Portal zu Ressourcengruppe, und wählen Sie Ihre Ressourcengruppe aus.
2. Wechseln Sie im linken Bereich zur Zugriffssteuerung (IAM).
3. Klicken Sie auf Hinzufügen, und wählen Sie dann Rollenzuweisung hinzufügen aus.
4. Wählen Sie Mitwirkender als Rolle aus, und klicken Sie auf Weiter.
5. Wählen Sie unter Zugriff zuweisen zu die Option aus User, group, or service principal.
6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den Namen Ihrer App ein, die Sie erstellt haben, und wählen Sie ihn aus.
7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink:/azure/role-based-access-control/role-assignments-portal

SCHRITT 4: Schritte zum Generieren der Infoblox-API-Anmeldeinformationen

Befolgen Sie diese Anweisungen, um den Infoblox-API-Schlüssel zu generieren. Generieren Sie im Infoblox Cloud Services Portal einen API-Schlüssel, und kopieren Sie ihn an einen sicheren Ort, um ihn im nächsten Schritt verwenden zu können. Anweisungen zum Erstellen von API-Schlüsseln finden Sie hier.

SCHRITT 5: Schritte zum Bereitstellen des Connectors und der zugehörigen Azure-Funktion

WICHTIG: Stellen Sie vor der Bereitstellung des Infoblox-Datenconnectors die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können von folgendem kopiert werden können) sowie die Anmeldeinformationen für die Infoblox-API-Autorisierung bereit.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

arm-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Infoblox Data-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Informationen ein: Azure Mandanten-ID Azure Client-ID Azure Geheimer Clientschlüssel Infoblox-API-Token Infoblox-Basis-URL Arbeitsbereichs-ID Arbeitsbereichsschlüssel Protokollebene (Standard: INFO) Konfidenz Bedrohungsstufe App Insights Arbeitsbereich Ressourcen-ID

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

---

Infoblox SOC Insight Data Connector über AMA

Unterstützt von:Infoblox

Mit dem Infoblox SOC Insight Data Connector können Sie Ihre Infoblox BloxOne SOC Insight-Daten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie & Korrelation, Warnungen und Threat Intelligence-Anreicherung für jedes Protokoll nutzen.

Dieser Datenconnector erfasst Infoblox SOC Insight CDC-Protokolle in Ihrem Log Analytics-Arbeitsbereich mithilfe des neuen Azure Monitor-Agents. Weitere Informationen zur Erfassung mit dem neuen Azure Monitor-Agent finden Sie hier. Microsoft empfiehlt die Verwendung dieses Datenconnectors.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommonSecurityLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Um Daten von nicht Azure VMs zu sammeln, muss Azure Arc installiert und aktiviert sein. Weitere Informationen
• Common Event Format (CEF) über AMA und Syslog über AMA-Datenconnectors müssen installiert sein. Weitere Informationen

Setupanweisungen:

Arbeitsbereichsschlüssel

Um die Playbooks als Teil dieser Lösung zu verwenden, suchen Sie unten Ihre Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel .

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Arbeitsbereichsschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Parser

Dieser Datenconnector basiert auf einem Parser, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, InfobloxCDC_SOCInsights die mit der Microsoft Sentinel Solution bereitgestellt wird.

SOC Insights

Bei diesem Datenconnector wird davon ausgegangen, dass Sie Zugriff auf Infoblox BloxOne Threat Defense SOC Insights haben. Weitere Informationen zu SOC Insights finden Sie hier.

Infoblox Cloud Data Connector

Dieser Datenconnector geht davon aus, dass bereits ein Infoblox Data Connector-Host im Infoblox Cloud Services Portal (CSP) erstellt und konfiguriert wurde. Da der Infoblox-Datenconnector ein Feature von BloxOne Threat Defense ist, ist Der Zugriff auf ein entsprechendes BloxOne Threat Defense-Abonnement erforderlich. Weitere Informationen und Lizenzierungsanforderungen finden Sie in diesem Schnellstarthandbuch .

Führen Sie die folgenden Schritte aus, um diesen Datenconnector zu konfigurieren.

A. Konfigurieren des Common Event Format (CEF) über den AMA-Datenconnector

Hinweis: CEF-Protokolle werden nur von Linux-Agents gesammelt.

1. Navigieren Sie zu Ihrem Microsoft Sentinel Arbeitsbereich > Blatt Datenconnectors.

2. Suchen Sie über den AMA-Datenconnector nach dem Common Event Format (CEF), und öffnen Sie es.

3. Stellen Sie sicher, dass kein vorhandener DCR konfiguriert ist, um die erforderlichen Protokolle zu sammeln, da dies zu Protokollduplizierung führen kann. Erstellen Sie eine neue DCR (Datensammlungsregel).

   Hinweis: Es wird empfohlen, mindestens den AMA-Agent v1.27 zu installieren. Erfahren Sie mehr , und stellen Sie sicher, dass keine doppelten DCR vorhanden sind, da dies zu Protokollduplizierung führen kann.

4. Führen Sie den Befehl aus, der auf der Seite Common Event Format (CEF) über den AMA-Datenconnector bereitgestellt wird, um den CEF-Collector auf dem Computer zu konfigurieren.

B. Konfigurieren Sie im Infoblox Cloud Services Portal Infoblox BloxOne so, dass CEF-Syslog-Daten an den Infoblox Cloud Data Connector gesendet werden, um sie an den Syslog-Agent weiterzuleiten.

Führen Sie die folgenden Schritte aus, um infoblox CDC so zu konfigurieren, dass BloxOne-Daten über den Linux Syslog-Agent an Microsoft Sentinel gesendet werden.

1. Navigieren Sie zu Datenconnector verwalten>.
2. Klicken Sie oben auf die Registerkarte Zielkonfiguration .
3. Klicken Sie auf Syslog erstellen>.

• Name: Geben Sie dem neuen Ziel einen aussagekräftigen Namen, z. B. Microsoft-Sentinel-Destination.
• Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung.
• Status: Legen Sie den Status auf Aktiviert fest.
• Format: Legen Sie das Format auf CEF fest.
• FQDN/IP: Geben Sie die IP-Adresse des Linux Geräts ein, auf dem der Linux-Agent installiert ist.
• Port: Übernehmen Sie die Portnummer 514.
• Protokoll: Wählen Sie ggf. das gewünschte Protokoll und zertifizierungsstellenzertifikat aus.
• Klicken Sie auf Speichern und schließen.

4. Klicken Sie oben auf die Registerkarte Datenverkehrsflusskonfiguration .
5. Klicken Sie auf Erstellen.

• Name: Geben Sie dem neuen Datenverkehrsfluss einen aussagekräftigen Namen, z. B. Microsoft-Sentinel-Flow.
• Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung.
• Status: Legen Sie den Status auf Aktiviert fest.
• Erweitern Sie den Abschnitt Dienstinstanz .
• Dienstinstanz: Wählen Sie die gewünschte Dienstinstanz aus, für die der Datenconnector-Dienst aktiviert ist.
• Erweitern Sie den Abschnitt Quellkonfiguration .
• Quelle: Wählen Sie BloxOne-Cloudquelle aus.
• Wählen Sie den Protokolltyp Interne Benachrichtigungen aus.
• Erweitern Sie den Abschnitt Zielkonfiguration .
• Wählen Sie das soeben erstellte Ziel aus.
• Klicken Sie auf Speichern und schließen.

6. Lassen Sie die Konfiguration einige Zeit für die Aktivierung ein.

C. Überprüfen der Verbindung

Befolgen Sie die Anweisungen, um Ihre Konnektivität zu überprüfen:

Öffnen Sie Log Analytics, um zu überprüfen, ob die Protokolle mithilfe des CommonSecurityLog-Schemas empfangen werden.

Es kann etwa 20 Minuten dauern, bis die Verbindung Daten an Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Verbindungsüberprüfungsskript aus:

1. Stellen Sie mit dem folgenden Befehl sicher, dass Python auf Ihrem Computer installiert ist: python -version

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:: <Variablenwert, der zur Installationszeit angegeben wurde>

**2. Schützen Ihres Computers **

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihres organization konfigurieren.

Weitere Informationen >

---

Infoblox SOC Insight Data Connector über REST-API

Unterstützt von:Infoblox

Mit dem Infoblox SOC Insight Data Connector können Sie Ihre Infoblox BloxOne SOC Insight-Daten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie & Korrelation, Warnungen und Threat Intelligence-Anreicherung für jedes Protokoll nutzen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
InfobloxInsight_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Arbeitsbereichsschlüssel

Um die Playbooks als Teil dieser Lösung zu verwenden, suchen Sie unten Ihre Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel .

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Arbeitsbereichsschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Parser

Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, genannt InfobloxInsight, die mit der Microsoft Sentinel Solution bereitgestellt wird.

SOC Insights

Bei diesem Datenconnector wird davon ausgegangen, dass Sie Zugriff auf Infoblox BloxOne Threat Defense SOC Insights haben. Weitere Informationen zu SOC Insights finden Sie hier.

Führen Sie die folgenden Schritte aus, um diesen Datenconnector zu konfigurieren.

1. Generieren sie einen Infoblox-API-Schlüssel, und kopieren Sie ihn an einen sicheren Ort.

Generieren Sie im Infoblox Cloud Services Portal einen API-Schlüssel, und kopieren Sie ihn an einen sicheren Ort, um ihn im nächsten Schritt verwenden zu können. Anweisungen zum Erstellen von API-Schlüsseln finden Sie hier.

2. Konfigurieren des Infoblox-SOC-Get-Open-Insights-API-Playbooks

Erstellen und konfigurieren Sie das Playbook Infoblox-SOC-Get-Open-Insights-API , das mit dieser Lösung bereitgestellt wird. Geben Sie Ihren Infoblox-API-Schlüssel in den entsprechenden Parameter ein, wenn Sie dazu aufgefordert werden.

---

InfoSecGlobal Data Connector

Unterstützt von:InfoSecGlobal

Verwenden Sie diesen Datenconnector für die Integration in InfoSec Crypto Analytics und das Abrufen von Daten, die direkt an Microsoft Sentinel gesendet werden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
InfoSecAnalytics_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

InfoSecGlobal Crypto Analytics Data Connector

1. Daten werden über Logstash an Microsoft Sentinel gesendet.
2. Die erforderliche Logstash-Konfiguration ist in der Crypto Analytics-Installation enthalten.
3. In der Dokumentation der Crypto Analytics-Installation wird erläutert, wie Sie das Senden von Daten an Microsoft Sentinel

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

IONIX-Sicherheitsprotokolle (über Codeless Connector Framework)

Unterstützt von:IONIX

Mit dem IONIX-Connector können Sie Aktionselemente von Ihrer IONIX Attack Surface Management-Plattform mithilfe des Codeless Connector Framework (CCF) in Microsoft Sentinel erfassen. Aktionselemente stellen Sicherheitsergebnisse und Sicherheitsrisiken dar, die behoben werden müssen.

Dieser Connector fragt automatisch die IONIX-API ab und schreibt Daten in die CyberpionActionItems_CL Tabelle.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyberpionActionItems_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• IONIX-API-Token: Ein API-Token aus dem IONIX-Portal ist erforderlich. Erstellen Sie eine in der Einstellungs-API > in Ihrem IONIX-Portal.

Setupanweisungen:

Verbinden von IONIX mit Microsoft Sentinel

Dieser Connector verwendet die IONIX-API, um Aktionselemente automatisch abzufragen und in Microsoft Sentinel zu erfassen. Sie benötigen ein API-Token aus Ihrem IONIX-Portal.

• IONIX-API-Token: (Geben Sie Ihr JWT-API-Token aus der IONIX-Einstellungs-API > ein)
• IONIX-Kontoname: (Cyberpion)
• Verbindung aktivieren/deaktivieren

---

IPinfo Abuse Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um standard_abuse Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_Abuse_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo ASN-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um standard_ASN Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_ASN_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Carrier Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um standard_carrier Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_Carrier_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Company Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um standard_company Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_Company_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Core Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um Core-Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_CORE_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Country ASN Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um country_asn Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_Country_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Domain Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um standard_domain Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_Domain_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Iplocation Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um standard_location Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_Location_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Iplocation Extended Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um standard_location_extended Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_Location_extended_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Plus-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um Plus-Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_PLUS_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Privacy Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um standard_privacy Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_Privacy_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo Privacy Extended Data Connector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um standard_privacy Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_Privacy_extended_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo ResProxy-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um ResProxy-Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_RESIDENTIAL_PROXY_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo RIRWHOIS-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um RIRWHOIS-Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_RIRWHOIS_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo RWHOIS-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Function-App, um RWHOIS-Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_RWHOIS_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo WHOIS ASN-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um WHOIS_ASN Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_WHOIS_ASN_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo WHOIS MNT-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um WHOIS_MNT Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_WHOIS_MNT_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo WHOIS NET-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um WHOIS_NET Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_WHOIS_NET_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo WHOIS ORG-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um WHOIS_ORG Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_WHOIS_ORG_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

IPinfo WHOIS POC-Datenconnector

Unterstützt von:IPinfo

Dieser IPinfo-Datenconnector installiert eine Azure Funktions-App, um WHOIS_POC Datasets herunterzuladen und in eine benutzerdefinierte Protokolltabelle in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ipinfo_WHOIS_POC_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• IPinfo-API-Token: Rufen Sie hier Ihr IPinfo-API-Token ab.

Setupanweisungen:

1. Abrufen des API-Tokens

Rufen Sie hier Ihr IPinfo-API-Token ab.

2. Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD).

Erstellen Sie in Ihrem Azure AD-Mandanten eine Azure Active Directory-Anwendung (AAD), und rufen Sie Mandanten-ID, Client-ID und geheimer Clientschlüssel ab: Verwenden Sie diesen Link.

3. Weisen Sie der AAD-Anwendung die Rolle "mitwirkender Microsoft Sentinel" zu.

Weisen Sie die soeben erstellte AAD-Anwendung den Rollen Mitwirkender (Privilegierter Administrator) und Herausgeber von Überwachungsmetriken (Rollen der Auftragsfunktion) in derselben "Ressourcengruppe" zu, die Sie für "Log Analytics-Arbeitsbereich" verwenden, für die "Microsoft Sentinel" hinzugefügt wird: Verwenden Sie diesen Link.

4. Abrufen der Arbeitsbereichsressourcen-ID

Verwenden Sie das Blatt Log Analytics-Arbeitsbereich –> Eigenschaften mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".

5. Bereitstellen der Azure-Funktion

Verwenden Sie dies für die automatisierte Bereitstellung des IPinfo-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET ein.

Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den IPinfo-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer Azure Funktions-App.
2. Erstellen Sie eine Funktions-App mit Hostingfunktionen Premium oder App Service-Plan mithilfe der erweiterten Option mithilfe von VSCode.
3. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
4. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Einstellungen –> Konfiguration oder Umgebungsvariablen aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Island Enterprise Browser V2

Unterstützt von:Island

Mit dem Island Enterprise Browser V2-Datenconnector können Sie Benutzerereignisse, Administratorereignisse und Systemereignisse in einem einzelnen Connector erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Island_UserEvents_V2_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Insel-API-Schlüssel: Ein Insel-API-Schlüssel ist erforderlich. Generieren Sie den API-Schlüssel über die Island Management Console. Weitere Anweisungen finden Sie in der offiziellen Inseldokumentation.

Setupanweisungen:

Verbinden von Island mit Microsoft Sentinel

DIE API-URL und der API-Schlüssel sind über die Island Management Console verfügbar. Weitere Anweisungen finden Sie in der offiziellen Inseldokumentation.

• API-URL: (API-URL)
• API-Schlüssel: (Schlüssel)
• Verbindung aktivieren/deaktivieren

---

Jamf Protect Push Connector

Unterstützt von:Jamf Software, LLC

Der Jamf Protect-Connector bietet die Möglichkeit, Ereignisrohdaten aus Jamf Protect in Microsoft Sentinel zu lesen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
jamfprotecttelemetryv2_CL	Ja	Ja
jamfprotectunifiedlogs_CL	Ja	Ja
jamfprotectalerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR). In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Dieser Connector liest Daten aus den Tabellen, die Jamf Protect in einem Microsoft Analytics-Arbeitsbereich verwendet. Wenn die Datenweiterleitungsoption in Jamf Protect aktiviert ist, werden Ereignisrohdaten an die Microsoft Sentinel Erfassungs-API gesendet.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung von Log Analytics-Tabellen und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Pushen Ihrer Protokolle in den Arbeitsbereich

Verwenden Sie die folgenden Parameter, um den Computer so zu konfigurieren, dass die Protokolle an den Arbeitsbereich gesendet werden.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Unified Logs Stream Name: <Variablenwert, der zur Installationszeit angegeben wird>
• Telemetrie Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Warnungen Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

JoeSandboxThreatIntelligence (mit Azure Functions)

Unterstützt von:Stefan Bühlmann

Der JoeSandboxThreatIntelligence-Connector generiert automatisch Threat Intelligence für alle Übermittlungen an JoeSandbox und verbessert so die Bedrohungserkennung und Die Reaktion auf Vorfälle in Sentinel. Diese nahtlose Integration ermöglicht es Teams, proaktiv auf neue Bedrohungen zu reagieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in azure active directory() zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: JoeSandbox-API-Schlüssel ist erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der JoeSandbox-API herzustellen, um JoeSandbox Threat IOCs in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Blob Storage Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: arm-Vorlage (Azure Resource Manager) für flexen Verbrauchsplan

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie anwendungs-ID, Mandanten-ID, Geheimer Clientschlüssel, JoeSandbox-API-Schlüssel, JoeSandbox Initial Fetch Date, TimeInterval und deploy ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: arm-Vorlage (Azure Resource Manager) für Premium-Plan

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie anwendungs-ID, Mandanten-ID, Geheimer Clientschlüssel, JoeSandbox-API-Schlüssel, JoeSandbox Initial Fetch Date, TimeInterval und deploy ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

---

Keeper Security Push Connector

Unterstützt von:Keeper Security

Der Keeper Security-Connector bietet die Möglichkeit, Ereignisrohdaten aus Keeper Security in Microsoft Sentinel zu lesen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
KeeperSecurityEventNewLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR). In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Dieser Connector liest Daten aus den Tabellen, die Keeper Security in einem Microsoft Analytics-Arbeitsbereich verwendet. Wenn die Datenweiterleitungsoption in Keeper Security aktiviert ist, werden Ereignisrohdaten an die Microsoft Sentinel Erfassungs-API gesendet.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung von Log Analytics-Tabellen und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Pushen Ihrer Protokolle in den Arbeitsbereich

Verwenden Sie die folgenden Parameter, um den Computer so zu konfigurieren, dass die Protokolle an den Arbeitsbereich gesendet werden.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Ereignisprotokolle Stream Name: <Variablenwert, der zur Installationszeit angegeben wird>

3. Aktualisieren von Keeper Admin Console

Konfigurieren Sie die Keeper Admin Console mit den Azure Verbindungsdetails, um die Datenweiterleitung an Microsoft Sentinel zu ermöglichen.

Konfigurieren von Azure-Überwachungsprotokollen in Keeper Admin Console

Melden Sie sich in der Keeper Admin Console als Keeper-Administrator an. Wechseln Sie dann zu Berichterstellung & Warnungen, und wählen Sie Azure Überwachungsprotokolle aus.

Geben Sie in der Admin Console die folgenden Informationen aus Schritt 2 an:

• Azure Mandanten-ID: Sie finden diese im Bereich "Abonnements" von Azure.
• Anwendungs-ID (Client): Diese befindet sich im Übersichtsbildschirm "App-Registrierung (KeeperLogging)"
• Wert des geheimen Clientschlüssels: Dies ist der Wert des geheimen Clientschlüssels aus den Geheimen Schlüsseln der App-Registrierung.
• Endpunkt-URL: Dies ist eine URL, die im folgenden bestimmten Format erstellt wird: https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01

So stellen Sie die Endpunkt-URL zusammen:

• <Sammlungs-URL> Dies stammt aus Schritt 2 oben
• < >DCR_ID Kopieren Sie aus der Datensammlerregel den Wert "Unveränderliche ID", z. B.dcr-xxxxxxx
• Dies ist der von Azure erstellte Tabellenname, z. B.Custom-KeeperSecurityEventNewLogs

  Beispiel: https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01

  
  
  

  ---

  LastPass Enterprise – Berichterstellung (CCF abrufen)

  Unterstützt von:The Collective Consulting

  Der LastPass Enterprise-Connector bietet die Möglichkeit, LastPass-Berichte (Überwachung) in Microsoft Sentinel zu melden. Der Connector bietet Einblick in Anmeldungen und Aktivitäten in LastPass (z. B. Lesen und Entfernen von Kennwörtern).

  Log Analytics-Tabellen:

  Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
  LastPassNativePoller_CL	Ja	Ja

  Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

  Voraussetzungen:

  • LastPass-API-Schlüssel und CID: Ein LastPass-API-Schlüssel und eine CID sind erforderlich. Weitere Informationen finden Sie unter LastPass-API.

  Setupanweisungen:

  Verbinden von LastPass Enterprise mit Microsoft Sentinel

  Geben Sie den LastPass-BEREITSTELLUNGs-API-Schlüssel an.

  
  
  

---

Lookout Mobile Threat Detection Connector (über Codeless Connector Framework) (Vorschau)

Unterstützt von:Lookout

Der Lookout Mobile Threat Detection-Datenconnector bietet die Möglichkeit, Ereignisse im Zusammenhang mit mobilen Sicherheitsrisiken über die mobile Risiko-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Mit diesem Connector können Sie potenzielle Sicherheitsrisiken untersuchen, die auf mobilen Geräten erkannt werden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
LookoutMtdV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden des Lookout Mobile Threat Defense-Connectors mit Microsoft Sentinel

Stellen Sie vor dem Herstellen einer Verbindung mit Lookout sicher, dass die folgenden Voraussetzungen erfüllt sind.

1. ApiKey ist für die Mobile Threat Detection-API erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation . Überprüfen Sie alle Anforderungen, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

• API-Schlüssel: (Geben Sie Ihren API-Schlüssel ein)
• Verbindung aktivieren/deaktivieren

---

Luminar-IOCs und kompromittierte Anmeldeinformationen (mit Azure Functions)

Unterstützt von:Cognyte Luminar

Der Luminar IOCs- und Leaked Credentials-Connector ermöglicht die Integration von intelligence-basierten IOC-Daten und kundenbezogenen kompromittierten Datensätzen, die von Luminar identifiziert wurden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in azure active directory() zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Luminar-Client-ID, Luminar-Clientgeheimnis und Luminar-Konto-ID sind erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Cognyte Luminar-API herzustellen, um Luminar-IOCs und kompromittierte Anmeldeinformationen in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Blob Storage Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie anwendungs-ID, Mandanten-ID, Geheimer Clientschlüssel, Luminar-API-Client-ID, Luminar-API-Konto-ID, Luminar-API-Clientgeheimnis, Limit, TimeInterval und Deploy ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Cognyte Luminar-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS:Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. CognyteLuminarXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): Anwendungs-ID Mandanten-ID Clientgeheimnis Luminar-API-Client-ID Luminar API Konto-ID Luminar API Limit TimeInterval – Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an:https://<CustomerId>.ods.opinsights.azure.us

12. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

MailGuard 365

Unterstützt von:MailGuard 365

MailGuard 365 Enhanced Email Security für Microsoft 365. MailGuard 365 ist exklusiv im Microsoft Marketplace in Microsoft 365 Security (inkl. Defender) integriert, um den Schutz vor erweiterten E-Mail-Bedrohungen wie Phishing, Ransomware und komplexen BEC-Angriffen zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
MailGuard365_Threats_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Konfigurieren und Verbinden von MailGuard 365

1. Klicken Sie in der MailGuard 365-Konsole auf der Navigationsleiste auf Einstellungen .
2. Klicken Sie auf die Registerkarte Integrationen .
3. Klicken Sie auf die Microsoft Sentinel Aktivieren.
4. Geben Sie Ihre Arbeitsbereichs-ID und den Primärschlüssel aus den folgenden Feldern ein, und klicken Sie auf Fertig stellen.
5. Weitere Anweisungen erhalten Sie vom MailGuard 365-Support.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

MailRisk von Secure Practice

Unterstützt von:Secure Practice

Mit dem MailRisk by Secure Practice-Connector können Sie Threat Intelligence-Daten von E-Mails aus der MailRisk-API in Microsoft Sentinel erfassen. Dieser Connector bietet Einblick in gemeldete E-Mails, Risikobewertungen und Sicherheitsereignisse im Zusammenhang mit E-Mail-Bedrohungen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
MailRiskEventEmails_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• API-Anmeldeinformationen: Ihr Schlüsselpaar für die SICHERE PRAXIS-API wird ebenfalls benötigt, das in den Einstellungen im Verwaltungsportal erstellt wird. Generieren Sie ein neues Schlüsselpaar mit der Beschreibung Microsoft Sentinel.

Setupanweisungen:

1. Abrufen von Anmeldeinformationen für die SICHERE PRAXIS-API

Melden Sie sich bei Ihrem Secure Practice-Konto an, und generieren Sie einen API-Schlüssel und ein API-Geheimnis, sofern noch nicht geschehen.

2. Herstellen einer Verbindung mit der MailRisk-API

Geben Sie unten Ihre Anmeldeinformationen für die Secure Practice-API ein. Die Anmeldeinformationen werden sicher gespeichert und zum Authentifizieren von API-Anforderungen verwendet.

• API-Schlüssel: (Geben Sie Ihren API-Schlüssel für sichere Praxis ein)
• API-Geheimnis: (Geben Sie Ihr API-Geheimnis für die sichere Praxis ein)
• Verbindung aktivieren/deaktivieren

---

meshStack-Ereignisprotokolle

Unterstützt von:meshcloud GmbH

Der meshStack Event Logs-Connector bietet die Möglichkeit, meshStack-Plattformereignisse in Microsoft Sentinel zu erfassen. Indem Sie meshStack-Ereignisprotokolle mit Microsoft Sentinel verbinden, können Sie diese Daten in Arbeitsmappen anzeigen, sie zum Erstellen benutzerdefinierter Warnungen verwenden und Ihren Untersuchungsprozess für Governance, Überwachung und Compliance der Cloudplattform verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
meshStackEventLogs_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• meshStack OAuth2-API-Schlüssel: Ein gültiger meshStack-API-Schlüssel mit der Berechtigung "Admin: Ereignisprotokolle in einem beliebigen Arbeitsbereich auflisten" ist erforderlich. Erstellen Sie den API-Schlüssel im meshStack Admin Panel unter Access Control > API-Schlüssel. Der API-Schlüssel stellt OAuth2-Anmeldeinformationen (Schlüssel-ID als client_id und Schlüsselgeheimnis als client_secret) für die Authentifizierung bereit. Hinweis: Der API-Schlüssel ist an einen Arbeitsbereich gebunden, kann aber von allen Arbeitsbereichen aus auf Ereignisse zugreifen.
• meshStack-Instanz: Zugriff auf eine meshStack-instance mit aktivierter Ereignis-API.

Setupanweisungen:

Verbinden von meshStack-Ereignisprotokollen mit Microsoft Sentinel

Geben Sie Ihre meshStack-instance API-URL und OAuth2-Anmeldeinformationen aus dem API-Schlüssel ein. Das API-URL-Format sollte wie folgt sein: https://your-meshstack-instance.io. Erstellen Sie einen API-Schlüssel in meshStack (Admin Panel > Access Control > API-Schlüssel) mit der Berechtigung "Admin: Ereignisprotokolle in einem beliebigen Arbeitsbereich auflisten". Der API-Schlüssel stellt eine Schlüssel-ID (client_id) und ein Schlüsselgeheimnis (client_secret) für die OAuth2-Authentifizierung bereit.

• meshStack-API-URL: (https://your-meshstack-instance.io)
• Client-ID (Schlüssel-ID): (Schlüssel-ID aus API-Schlüssel eingeben)
• Geheimer Clientschlüssel (Schlüsselgeheimnis): (Schlüsselgeheimnis aus API-Schlüssel eingeben)
• Verbindung aktivieren/deaktivieren

---

Microsoft 365 (früher Office 365)

Unterstützt von:Microsoft Corporation

Der Microsoft 365-Aktivitätsprotokollconnector (früher Office 365) bietet Einblicke in laufende Benutzeraktivitäten. Sie erhalten Details zu Vorgängen wie Dateidownloads, gesendeten Zugriffsanforderungen, Änderungen an Gruppenereignissen, set-mailbox und Details des Benutzers, der die Aktionen ausgeführt hat. Durch das Verbinden von Microsoft 365-Protokollen mit Microsoft Sentinel können Sie diese Daten verwenden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Ihren Untersuchungsprozess zu verbessern. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OfficeActivity	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft 365 Insider-Risikomanagement

Unterstützt von:Microsoft Corporation

Microsoft 365 Insider Risk Management ist eine Compliance-Lösung in Microsoft 365, die interne Risiken minimiert, indem Sie böswillige und unbeabsichtigte Aktivitäten in Ihrem organization erkennen, untersuchen und darauf reagieren können. Risikoanalysten in Ihrer Organisation können schnell geeignete Maßnahmen ergreifen, um sicherzustellen, dass Benutzer mit den Compliance-Standards Ihrer Organisation konform sind.

Insider-Risikorichtlinien ermöglichen Folgendes:

• Definieren Sie die Arten von Risiken, die Sie in Ihrem organization identifizieren und erkennen möchten.
• entscheiden, welche Maßnahmen als Reaktion zu ergreifen sind, einschließlich eskalierender Fälle an Microsoft Advanced eDiscovery bei Bedarf.

Diese Lösung erzeugt Warnungen, die Office-Kunden in der Insider-Risikomanagement-Lösung im Microsoft 365 Compliance Center sehen können. Erfahren Sie mehr über Insider-Risikomanagement.

Diese Warnungen können mit diesem Connector in Microsoft Sentinel importiert werden, sodass Sie sie in einem breiteren Bedrohungskontext der Organisation anzeigen, untersuchen und darauf reagieren können. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityAlert	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Sicherheitsereignisprotokolle für Microsoft Active-Directory-Domänencontroller

Unterstützt von:Community

[Option 3 & 4] – Verwenden von Azure Monitor-Agent – Sie können einen Teil oder alle Sicherheitsereignisprotokolle von Domänencontrollern von den Windows-Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Mit dieser Verbindung können Sie benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityEvent	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure Log Analytics veraltet ist, wird zum Sammeln von Daten von nicht Azure VMs Azure Arc empfohlen. Weitere Informationen
• Ausführliche Dokumentation: >HINWEIS: Ausführliche Dokumentation zu Installationsverfahren und Verwendung finden Sie hier.

Setupanweisungen:

HINWEIS: Diese Lösung basiert auf Optionen. Auf diese Weise können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen eine sehr große Menge an Daten generieren können. Je nachdem, was Sie erfassen, in Ihren Arbeitsmappen, Analyseregeln und Huntingfunktionen nachverfolgen möchten, wählen Sie die Optionen aus, die Sie bereitstellen möchten. Jede Option ist für eine von der anderen unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki "Microsoft Exchange-Sicherheit".

Dieser Datenconnector ist die Option 3 und 4 des Wikis.

1. Herunterladen und Installieren der Agents, die zum Sammeln von Protokollen für Microsoft Sentinel

Der Servertyp (Exchange-Server, mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.

Bereitstellen von Monitor-Agents

Dieser Schritt ist nur erforderlich, wenn Sie ihre Exchange-Server/Domänencontroller zum ersten Mal integrieren. Bereitstellen des Azure Arc-Agents Weitere Informationen

Sicherheitsprotokolle von Domänencontrollern

Wählen Sie aus, wie Sicherheitsprotokolle von Domänencontrollern gestreamt werden sollen. Wenn Sie Option 3 implementieren möchten, müssen Sie nur dc am gleichen Standort wie Exchange-Server auswählen. Wenn Sie Option 4 implementieren möchten, können Sie alle DOmänencontroller Ihrer Gesamtstruktur auswählen.

[Option 3] Nur Domänencontroller am gleichen Standort wie Exchange-Server für den nächsten Schritt auflisten

Dies schränkt die Menge der dateninjizierten Daten ein, aber einige Incidents können nicht erkannt werden.

[Option 4] Auflisten aller Domänencontroller Ihrer Active-Directory-Gesamtstruktur für den nächsten Schritt

Dies ermöglicht das Erfassen aller Sicherheitsereignisse.

Sammlung von Sicherheitsereignisprotokollen

Datensammlungsregeln – Sicherheitsereignisprotokolle

Aktivieren der Datensammlungsregel für Sicherheitsprotokolle Sicherheitsereignisseprotokolle werden nur von Windows-Agents gesammelt.

1. Ausgewählte DOmänencontroller auf der Registerkarte "Ressourcen " hinzufügen.
2. Wählen Sie Sicherheitsprotokollebene aus.

Die allgemeine Ebene ist die erforderliche Mindeststufe. Wählen Sie "Allgemein" oder "Alle Sicherheitsereignisse" für die DCR-Definition aus.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Microsoft Copilot

Unterstützt von:Microsoft

Der connector für Microsoft Copilot-Protokolle in Microsoft Sentinel ermöglicht die nahtlose Erfassung von von Copilot generierten Aktivitätsprotokollen aus M365 Copilot und Security Copilot in Microsoft Sentinel für erweiterte Bedrohungserkennung, -untersuchung und -reaktion. Es erfasst Telemetriedaten von Microsoft Copilot Diensten, z. B. Nutzungsdaten und Systemantworten und Erfassungen in Microsoft Sentinel, sodass Sicherheitsteams auf Missbrauch überwachen, Anomalien erkennen und die Einhaltung von Organisationsrichtlinien gewährleisten können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CopilotActivity	Nein	Ja

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Mandantenberechtigungen: "Sicherheitsadministrator" oder "Globaler Administrator" für den Mandanten des Arbeitsbereichs.

Setupanweisungen:

Verbinden Microsoft Copilot Überwachungsprotokolle mit Microsoft Sentinel

Dieser Connector verwendet die Office Management-API, um Ihre Microsoft Copilot Überwachungsprotokolle abzurufen. Die Protokolle werden in Ihrem vorhandenen Microsoft Sentinel Arbeitsbereich gespeichert und verarbeitet. Sie finden die Daten in der Tabelle CopilotActivity .

• Verbindung aktivieren/deaktivieren

---

Microsoft Dataverse

Unterstützt von:Microsoft Corporation

Microsoft Dataverse ist eine skalierbare und sichere Datenplattform, mit der Organisationen Daten speichern und verwalten können, die von Geschäftsanwendungen verwendet werden. Der Microsoft Dataverse-Datenconnector bietet die Möglichkeit, Dataverse- und Dynamics 365 CRM-Aktivitätsprotokolle aus dem Microsoft Purview Audit anmeldung bei Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
DataverseActivity	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Mandantenberechtigungen: "Sicherheitsadministrator" oder "Globaler Administrator" für den Mandanten des Arbeitsbereichs.
• Micorosft Purview Audit: Microsoft Purview Audit (Standard oder Premium) muss aktiviert sein.
• Produktionsdatenverse: Die Aktivitätsprotokollierung ist nur für Produktionsumgebungen verfügbar. Andere Typen, z. B. Sandbox, unterstützen keine Aktivitätsprotokollierung.
• Dataverse-Überwachungseinstellungen: Überwachungseinstellungen müssen sowohl global als auch auf Entitäts-/Tabellenebene konfiguriert werden. Weitere Informationen finden Sie unter Dataverse-Überwachungseinstellungen.

Setupanweisungen:

Verbinden von Microsoft Dataverse-Überwachungsprotokollen mit Microsoft Sentinel

Dieser Connector verwendet die Office Management-API, um Ihre Dataverse-Überwachungsprotokolle abzurufen. Die Protokolle werden in Ihrem vorhandenen Microsoft Sentinel Arbeitsbereich gespeichert und verarbeitet. Sie finden die Daten in der DataverseActivity-Tabelle .

• Verbindung aktivieren/deaktivieren

---

Microsoft Defender for Cloud Apps

Unterstützt von:Microsoft Corporation

Durch die Verbindung mit Microsoft Defender for Cloud Apps erhalten Sie Einblick in Ihre Cloud-Apps, erhalten komplexe Analysen, um Cyberbedrohungen zu identifizieren und zu bekämpfen und zu steuern, wie Ihre Daten übertragen werden.

• Identifizieren Sie Schatten-IT-Cloud-Apps in Ihrem Netzwerk.
• Steuern und beschränken Sie den Zugriff basierend auf Bedingungen und Sitzungskontext.
• Verwenden Sie integrierte oder benutzerdefinierte Richtlinien für die Datenfreigabe und die Verhinderung von Datenverlust.
• Identifizieren Sie die Verwendung mit hohem Risiko, und erhalten Sie Warnungen für ungewöhnliche Benutzeraktivitäten mit Microsoft-Funktionen zur Verhaltensanalyse und Anomalieerkennung, einschließlich Ransomware-Aktivitäten, unmöglichem Reisen, verdächtigen E-Mail-Weiterleitungsregeln und massenhaftem Herunterladen von Dateien.
• Massendownload von Dateien

Jetzt bereitstellen >

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityAlert​	Nein	Nein
McasShadowItReporting​	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

Microsoft Defender for Endpoint

Unterstützt von:Microsoft Corporation

Microsoft Defender for Endpoint ist eine Sicherheitsplattform, die entwickelt wurde, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Die Plattform erstellt Warnungen, wenn verdächtige Sicherheitsereignisse in einer organization angezeigt werden. Rufen Sie in Microsoft Defender for Endpoint generierte Warnungen in Microsoft Sentinel ab, damit Sie Sicherheitsereignisse effektiv analysieren können. Sie können Regeln erstellen, Dashboards erstellen und Playbooks für sofortige Reaktionen erstellen. Weitere Informationen finden Sie in der Microsoft Sentinel Dokumentation >.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityAlert	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Defender for Identity

Unterstützt von:Microsoft Corporation

Verbinden Sie Microsoft Defender for Identity, um Einblick in die Ereignisse und Benutzeranalysen zu erhalten. Microsoft Defender for Identity erkennt, erkennt und unterstützt Sie bei der Untersuchung erweiterter Bedrohungen, kompromittierter Identitäten und böswilliger Insideraktionen, die gegen Ihre organization gerichtet sind. Microsoft Defender for Identity ermöglicht Es SecOp-Analysten und Sicherheitsexperten, die Schwierigkeiten haben, erweiterte Angriffe in Hybridumgebungen zu erkennen, um:

• Überwachen von Benutzern, Entitätsverhalten und Aktivitäten mit lernbasierten Analysen
• Schützt Benutzeridentitäten und Anmeldeinformationen, die in Active Directory gespeichert sind.
• Identifizieren und untersuchen Sie verdächtige Benutzeraktivitäten und fortgeschrittene Angriffe in der gesamten Abwehrkette.
• Bereitstellen klarer Vorfallinformationen auf einer einfachen Zeitachse für eine schnelle Sichtung.

Jetzt testen >

Jetzt bereitstellen >

Weitere Informationen finden Sie in der Microsoft Sentinel Dokumentation >.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityAlert	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Defender für IoT

Unterstützt von:Microsoft Corporation

Gewinnen Sie Einblicke in Ihre IoT-Sicherheit, indem Sie Microsoft Defender für IoT-Warnungen mit Microsoft Sentinel verbinden. Sie können sofort einsatzbereite Warnungsmetriken und -daten abrufen, einschließlich Warnungstrends, wichtigste Warnungen und Aufschlüsselung von Warnungen nach Schweregrad. Sie können auch Informationen zu den Empfehlungen erhalten, die für Ihre IoT Hubs bereitgestellt werden, einschließlich der wichtigsten Empfehlungen und Empfehlungen nach Schweregrad. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityAlert	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Defender für Office 365 (Vorschau)

Unterstützt von:Microsoft Corporation

Microsoft Defender für Office 365 schützt Ihre organization vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Indem Sie Microsoft Defender für Office 365 Warnungen in Microsoft Sentinel erfassen, können Sie Informationen zu E-Mail- und URL-basierten Bedrohungen in Ihre umfassendere Risikoanalyse integrieren und entsprechende Reaktionsszenarien erstellen.

Die folgenden Arten von Warnungen werden importiert:

• Ein potenziell schädlicher URL-Klick wurde erkannt.
• E-Mail-Nachrichten mit Schadsoftware wurden nach der Zustellung entfernt
• E-Mail-Nachrichten mit Phishing-URLs wurden nach der Zustellung entfernt
• Vom Benutzer als Schadsoftware oder Phishing-Mail gemeldete E-Mails
• Verdächtige E-Mail-Sendemuster erkannt
• Benutzer, der auf das Senden von E-Mails beschränkt ist

Diese Warnungen werden von Office-Kunden im ** Office Security and Compliance Center** angezeigt.

Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityAlert	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Defender Threat Intelligence

Unterstützt von:Microsoft Corporation

Microsoft Sentinel bietet Ihnen die Möglichkeit, von Microsoft generierte Threat Intelligence zu importieren, um Überwachung, Warnungen und Hunting zu ermöglichen. Verwenden Sie diesen Datenconnector, um Gefährdungsindikatoren (Indicators of Compromise, IOCs) aus Microsoft Defender Threat Intelligence (MDTI) in Microsoft Sentinel zu importieren. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs und Dateihashes usw. enthalten.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Defender XDR

Unterstützt von:Microsoft Corporation

Microsoft Defender XDR ist eine einheitliche, nativ integrierte Sicherheitssuite für Unternehmen vor und nach der Verletzung, die Endpunkte, Identitäten, E-Mails und Anwendungen schützt und Ihnen hilft, komplexe Bedrohungen zu erkennen, zu verhindern, zu untersuchen und automatisch darauf zu reagieren.

Microsoft Defender XDR Suite umfasst:

• Microsoft Defender für Endpunkt
• Microsoft Defender for Identity
• Microsoft Defender für Office 365
• Threat & Vulnerability Management
• Microsoft Defender for Cloud Apps

Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityIncident	Ja	Ja
SecurityAlert	Ja	Ja
DeviceEvents	Ja	Ja
EmailEvents	Ja	Ja
IdentityLogonEvents	Ja	Ja
CloudAppEvents	Ja	Ja
AlertEvidence	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Entra ID

Unterstützt von:Microsoft Corporation

Gewinnen Sie Einblicke in Microsoft Entra ID, indem Sie Überwachungs- und Anmeldeprotokolle mit Microsoft Sentinel verbinden, um Einblicke in Microsoft Entra ID Szenarien zu gewinnen. In unseren Anmeldeprotokollen erfahren Sie mehr über die App-Nutzung, Richtlinien für bedingten Zugriff und Details zur Legacyauthentifizierungsverknüpfung. Informationen zur Verwendung der Self-Service-Kennwortzurücksetzung (Self Service Password Reset, SSPR) Microsoft Entra ID Verwaltungsaktivitäten wie Benutzer-, Gruppen-, Rollen- und App-Verwaltung finden Sie in unserer Tabelle Überwachungsprotokolle. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SigninLogs	Ja	Ja
AuditLogs	Ja	Ja
AADNonInteractiveUserSignInLogs	Ja	Ja
AADServicePrincipalSignInLogs	Ja	Ja
AADManagedIdentitySignInLogs	Ja	Ja
AADProvisioningLogs	Ja	Ja
ADFSSignInLogs	Ja	Ja
AADUserRiskEvents	Ja	Ja
AADRiskyUsers	Ja	Ja
NetworkAccessTraffic	Ja	Ja
AADRiskyServicePrincipals	Ja	Ja
AADServicePrincipalRiskEvents	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Entra ID Assets

Unterstützt von:Microsoft Corporation

Entra-Datenconnector für ID-Ressourcen bietet umfassendere Einblicke in Aktivitätsdaten, indem details durch Ressourceninformationen ergänzt werden. Daten aus diesem Connector werden zum Erstellen von Datenrisikodiagrammen in Purview verwendet. Wenn Sie diese Diagramme aktiviert haben, wird durch das Deaktivieren dieses Connectors verhindert, dass die Graphen erstellt werden. Erfahren Sie mehr über das Datenrisikodiagramm.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

---

Microsoft Entra ID Protection

Unterstützt von:Microsoft Corporation

Microsoft Entra ID Protection bietet eine konsolidierte Ansicht bei Risikobenutzern, Risikoereignissen und Sicherheitsrisiken mit der Möglichkeit, Risiken sofort zu beheben und Richtlinien zur automatischen Behebung zukünftiger Ereignisse festzulegen. Der Dienst basiert auf der Erfahrung von Microsoft zum Schutz von Consumeridentitäten und erhält eine enorme Genauigkeit aus dem Signal von mehr als 13 Milliarden Anmeldungen pro Tag. Integrieren Sie Microsoft Microsoft Entra ID Protection-Warnungen in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Weitere Informationen finden Sie in der Microsoft Sentinel Dokumentation .

Abrufen Microsoft Entra ID Premium P1/P2

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityAlert	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Exchange Admin Überwachungsprotokolle nach Ereignisprotokollen

Unterstützt von:Community

[Option 1] – Verwenden des Azure Monitor-Agents– Sie können alle Exchange-Überwachungsereignisse von den Windows-Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Mit dieser Verbindung können Sie Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Dies wird von Microsoft Exchange-Sicherheitsarbeitsmappen verwendet, um Sicherheitserkenntnisse ihrer lokalen Exchange-Umgebung bereitzustellen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Event	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure Log Analytics veraltet ist, wird zum Sammeln von Daten von nicht Azure VMs Azure Arc empfohlen. Weitere Informationen
• Ausführliche Dokumentation: >HINWEIS: Ausführliche Dokumentation zu Installationsverfahren und Verwendung finden Sie hier.

Setupanweisungen:

HINWEIS: Diese Lösung basiert auf Optionen. Auf diese Weise können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen eine sehr große Menge an Daten generieren können. Je nachdem, was Sie erfassen, in Ihren Arbeitsmappen, Analyseregeln und Huntingfunktionen nachverfolgen möchten, wählen Sie die Optionen aus, die Sie bereitstellen möchten. Jede Option ist für eine von der anderen unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki "Microsoft Exchange-Sicherheit".

Dieser Datenconnector ist die Option 1 des Wikis.

1. Herunterladen und Installieren der Agents, die zum Sammeln von Protokollen für Microsoft Sentinel

Der Servertyp (Exchange-Server, mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.

Bereitstellen von Monitor-Agents

Dieser Schritt ist nur erforderlich, wenn Sie ihre Exchange-Server/Domänencontroller zum ersten Mal integrieren. Bereitstellen des Azure Arc-Agents Weitere Informationen

2. [Option 1] MS Exchange-Verwaltungsprotokollsammlung – MS Exchange Admin Überwachungsereignisprotokolle nach Datensammlungsregeln

Die MS Exchange Admin Audit-Ereignisprotokolle werden mithilfe von Datensammlungsregeln (Data Collection Rules, DCR) gesammelt und ermöglichen das Speichern aller administrativen Cmdlets, die in einer Exchange-Umgebung ausgeführt werden.

DCR

Bereitstellung von Datensammlungsregeln

Aktivieren der Datensammlungsregel Microsoft Exchange Admin Protokolle von Überwachungsereignissen werden nur von Windows-Agents gesammelt.

Option 1: arm-Vorlage (Azure Resource Manager) (bevorzugt)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des DCR.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie den Arbeitsbereichsnamen "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

A. Erstellen von DCR, Typ Ereignisprotokoll

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, wählen Sie Windows als Plattformtyp aus, und geben Sie der DCR einen Namen.
4. Geben Sie auf der Registerkarte Ressourcen Ihre Exchange-Server ein.
5. Fügen Sie unter "Sammeln und übermitteln" den Datenquellentyp "Windows-Ereignisprotokolle" hinzu, und wählen Sie die Option "Benutzerdefiniert" aus, geben Sie "MSExchange-Verwaltung" als Ausdruck ein, und fügen Sie ihn hinzu.
6. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren. Parser werden automatisch mit der Lösung bereitgestellt. Führen Sie die Schritte zum Erstellen des Kusto Functions-Alias aus: ExchangeAdminAuditLogs

Parser werden während der Bereitstellung der Lösung automatisch bereitgestellt. Wenn Sie die Bereitstellung manuell durchführen möchten, führen Sie die folgenden Schritte aus.

Manuelle Parserbereitstellung

1. Herunterladen der Parserdatei

Die neueste Version der Datei ExchangeAdminAuditLogs

2. Erstellen der Parserfunktion ExchangeAdminAuditLogs

Kopieren Sie im Protokollanalyse-Explorer Ihrer Microsoft Sentinel den Inhalt der Datei in den Protokoll-Explorer.

3. Speichern des Parsers ExchangeAdminAuditLogs-Funktion

Klicken Sie auf die Schaltfläche Speichern. Für diesen Parser ist kein Parameter erforderlich. Klicken Sie erneut auf Speichern.

---

Microsoft Exchange HTTP-Proxyprotokolle

Unterstützt von:Community

[Option 7] – Verwenden von Azure Monitor-Agent: Sie können HTTP-Proxyprotokolle und Sicherheitsereignisprotokolle von den Windows-Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Mit dieser Verbindung können Sie benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Weitere Informationen

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ExchangeHttpProxy_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure Log Analytics wird veraltet sein: Azure Log Analytics veraltet ist, wird zum Sammeln von Daten von nicht Azure VMs Azure Arc empfohlen. Weitere Informationen
• Ausführliche Dokumentation: >HINWEIS: Ausführliche Dokumentation zu Installationsverfahren und Verwendung finden Sie hier.

Setupanweisungen:

HINWEIS: Diese Lösung basiert auf Optionen. Auf diese Weise können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen eine sehr große Menge an Daten generieren können. Je nachdem, was Sie erfassen, in Ihren Arbeitsmappen, Analyseregeln und Huntingfunktionen nachverfolgen möchten, wählen Sie die Optionen aus, die Sie bereitstellen möchten. Jede Option ist für eine von der anderen unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki "Microsoft Exchange-Sicherheit".

Dieser Datenconnector ist die Option 7 des Wikis.

1. Herunterladen und Installieren der Agents, die zum Sammeln von Protokollen für Microsoft Sentinel

Der Servertyp (Exchange-Server, mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.

Bereitstellen von Monitor-Agents

Dieser Schritt ist nur erforderlich, wenn Sie ihre Exchange-Server/Domänencontroller zum ersten Mal integrieren. Bereitstellen des Azure Arc-Agents Weitere Informationen

2. [Option 7] HTTP-Proxy von Exchange-Servern

Auswählen des Streamens des HTTP-Proxys von Exchange-Servern

Datensammlungsregeln: Wenn Azure Monitor-Agent verwendet wird

Aktivieren der Datensammlungsregel Nachrichtennachverfolgung werden nur von Windows-Agents gesammelt.

Option 1: Azure Resource Manager (ARM)-Vorlage (bevorzugte Methode)

Verwenden Sie diese Methode für die automatisierte Bereitstellung von DCE und DCR.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Sie können den vorgeschlagenen Namen des DCE ändern.

4. Klicken Sie zum Bereitstellen auf Erstellen .

B. Bereitstellen einer Datenverbindungsregel

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

Erstellen einer benutzerdefinierten Tabelle: Erläuterung

Die benutzerdefinierte Tabelle kann nicht über das Azure-Portal erstellt werden. Sie müssen eine ARM-Vorlage, ein PowerShell-Skript oder eine andere hier beschriebene Methode verwenden.

Erstellen einer benutzerdefinierten Tabelle mithilfe einer ARM-Vorlage

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe, den Standort und den Namen des Analysearbeitsbereichs aus.

3. Klicken Sie zum Bereitstellen auf Erstellen .

Erstellen einer benutzerdefinierten Tabelle mithilfe von PowerShell in Cloud Shell

1. Öffnen Sie im Azure-Portal eine Cloud Shell.
2. Kopieren Sie das folgende Skript, und führen Sie es im Cloud Shell aus, um die Tabelle zu erstellen. $tableParams = @' { "properties": { "schema": { "name": "ExchangeHttpProxy_CL", "columns": [ { "name": "AccountForestLatencyBreakup", "type": "string" }, { "name": "ActivityContextLifeTime", "type": "string" }, { "name": "ADLatency", "type": "string" }, { "name": "AnchorMailbox", "type": "string" }, { "name": "AuthenticatedUser", "type": "string" }, { "name": "AuthenticationType", "type": "string" }, { "name": "AuthModulePerfContext", "type": "string" }, { "name": "BackEndCookie", "type": "string" }, { "name": "BackEndGenericInfo", "type": "string" }, { "name": "BackendProcessingLatency", "type": "string" }, { "name": "BackendReqInitLatency", "type": "string" }, { "name": "BackendReqStreamLatency", "type": "string" }, { "name": "BackendRespInitLatency", "type": "string" }, { "name": "BackendRespStreamLatency", "type": "string" }, { "name": "BackEndStatus", "type": "string" }, { "name": "BuildVersion", "type": "string" }, { "name": "CalculateTargetBackEndLatency", "type": "string" }, { "name": "ClientIpAddress", "type": "string" }, { "name": "ClientReqStreamLatency", "type": "string" }, { "name": "ClientRequestId", "type": "string" }, { "name": "ClientRespStreamLatency", "type": "string" }, { "name": "CoreLatency", "type": "string" }, { "name": "DatabaseGuid", "type": "string" }, { "name": "EdgeTraceId", "type": "string" }, { "name": "ErrorCode", "type": "string" }, { "name": "GenericErrors", "type": "string" }, { "name": "GenericInfo", "type": "string" }, { "name": "GlsLatencyBreakup", "type": "string" }, { "name": "HandlerCompletionLatency", "type": "string" }, { "name": "HandlerToModuleSwitchingLatency", "type": "string" }, { "name": "HttpPipelineLatency", "type": "string" }, { "name": "HttpProxyOverhead", "type": "string" }, { "name": "HttpStatus", "type": "string" }, { "name": "IsAuthenticated", "type": "string" }, { "name": "KerberosAuthHeaderLatency", "type": "string" }, { "name": "MajorVersion", "type": "string" }, { "name": "Method", "type": "string" }, { "name": "MinorVersion", "type": "string" }, { "name": "ModuleToHandlerSwitchingLatency", "type": "string" }, { "name": "Organization", "type": "string" }, { "name": "PartitionEndpointLookupLatency", "type": "string" }, { "name": "Protocol", "type": "string" }, { "name": "ProtocolAction", "type": "string" }, { "name": "ProxyAction", "type": "string" }, { "name": "ProxyTime", "type": "string" }, { "name": "RequestBytes", "type": "string" }, { "name": "RequestHandlerLatency", "type": "string" }, { "name": "RequestId", "type": "string" }, { "name": "ResourceForestLatencyBreakup", "type": "string" }, { "name": "ResponseBytes", "type": "string" }, { "name": "RevisionVersion", "type": "string" }, { "name": "RouteRefresherLatency", "type": "string" }, { "name": "RoutingHint", "type": "string" }, { "name": "RoutingLatency", "type": "string" }, { "name": "RoutingStatus", "type": "string" }, { "name": "RoutingType", "type": "string" }, { "name": "ServerHostName", "type": "string" }, { "name": "ServerLocatorHost", "type": "string" }, { "name": "ServerLocatorLatency", "type": "string" }, { "name": "SharedCacheLatencyBreakup", "type": "string" }, { "name": "TargetOutstandingRequests", "type": "string" }, { "name": "TargetServer", "type": "string" }, { "name": "TargetServerVersion", "type": "string" }, { "name": "TotalAccountForestLatency", "type": "string" }, { "name": "TotalGlsLatency", "type": "string" }, { "name": "TotalRequestTime", "type": "string" }, { "name": "TotalResourceForestLatency", "type": "string" }, { "name": "TotalSharedCacheLatency", "type": "string" }, { "name": "UrlHost", "type": "string" }, { "name": "UrlQuery", "type": "string" }, { "name": "UrlStem", "type": "string" }, { "name": "UserADObjectGuid", "type": "string" }, { "name": "UserAgent", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "FilePath", "type": "string" } } } } @
3. Kopieren, Ersetzen, Einfügen und Ausführen der folgenden Parameter mit Ihren eigenen Werten: $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
4. Führen Sie das folgende Cmdlet aus, um die Tabelle zu erstellen: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsendpunkt.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, und geben Sie dem DCE einen Namen.
4. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

B. Erstellen eines DCR, Geben Sie benutzerdefiniertes Protokoll ein.

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Klicken Sie auf die Schaltfläche "Erstellen".
3. Geben Sie auf der Registerkarte "Grundlagen" den Regelnamen wie DCR-Option7-HTTPProxyLogs ein, wählen Sie den "Datensammlungsendpunkt" mit dem zuvor erstellten Endpunkt aus, und geben Sie weitere Parameter ein.
4. Fügen Sie auf der Registerkarte Ressourcen Ihre Exchange-Server hinzu.
5. Fügen Sie unter Sammeln und Übermitteln den Datenquellentyp "Benutzerdefinierte Textprotokolle" hinzu, und geben Sie das folgende Dateimuster ein: 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
6. Fügen Sie "ExchangeHttpProxy_CL" in Tabellenname ein.
7. Geben Sie im Feld Transform die folgende KQL-Anforderung ein: quelle | extend d = split(RawData;',') | extend DateTime=todatetime(d[0]),RequestId=tostring(d[1]) ,MajorVersion=tostring(d[2]) ,MinorVersion=tostring(d[3]) ,BuildVersion=tostring(d[4]) ,RevisionVersion=tostring(d[5]) ,ClientRequestId=tostring(d[6]) ,Protocol=tostring(d[7]) ,UrlHost=tostring(d[8]) ,UrlStem=tostring(d[9]) ,ProtocolAction=tostring(d[10]) ,AuthenticationType=tostring(d[11]) ,IsAuthenticated=tostring(d[12]) ,AuthenticatedUser=tostring(d[13]) , Organization=tostring(d[14]) ,AnchorMailbox=tostring(d[15]) ,UserAgent=tostring(d[16]) ,ClientIpAddress=tostring(d[17]) ,ServerHostName=tostring(d[18]) ,HttpStatus=tostring(d[19]) ,BackEndStatus=tostring(d[20]) ,ErrorCode=tostring(d[21]) ,Method=tostring(d[22]) ,ProxyAction=tostring(d[23]) ,TargetServer=tostring(d[24]) ,TargetServerVersion=tostring(d[25]) ,RoutingType=tostring(d[26]) ,RoutingHint=tostring(d[27]) , BackEndCookie=tostring(d[28]) ,ServerLocatorHost=tostring(d[29]) ,ServerLocatorLatency=tostring(d[30]) ,RequestBytes=tostring(d[31]) ,ResponseBytes=tostring(d[32]) ,TargetOutstandingRequests=tostring(d[33]) ,AuthModulePerfCon text=tostring(d[34]) ,HttpPipelineLatency=tostring(d[35]) ,CalculateTargetBackEndLatency=tostring(d[36]) ,GlsLatencyBreakup=tostring(d[37]) ,TotalGlsLatency=tostring(d[38]) ,AccountForestLatencyBreakup=tostring(d[39]) , TotalAccountForestLatency=tostring(d[40]) ,ResourceForestLatencyBreakup=tostring(d[41]) ,TotalResourceForestLatency=tostring(d[42]) ,ADLatency=tostring(d[43]) ,SharedCacheLatencyBreakup=tostring(d[44]) ,TotalSharedCacheLatency=tostring(d)[45]) ,ActivityContextLifeTime=tostring(d[46]) ,ModuleToHandlerSwitchingLatency=tostring(d[47]) ,ClientReqStreamLatency=tostring(d[48]) ,BackendReqInitLatency=tostring(d[49]) ,BackendReqStreamLatency=tostring(d[50]) , BackendProcessingLatency=tostring(d[51]) ,BackendRespInitLatency=tostring(d[52]) ,BackendRespStreamLatency=tostring(d[53]) ,ClientRespStreamLatency=tostring(d[54]) ,KerberosAuthHeaderLatency=tostring(d[55]) ,HandlerCompletionLatency=tostring(d[55]) 56]) ,RequestHandlerLatency=tostring(d[57]) ,HandlerToModuleSwitchingLatency=tostring(d[58]) ,ProxyTime=tostring(d[59]) ,CoreLatency=tostring(d[60]) ,RoutingLatency=tostring(d[61]) ,HttpProxyOverhead=tostring(d[62]) , TotalRequestTime=tostring(d[63]) ,RouteRefresherLatency=tostring(d[64]) ,UrlQuery=tostring(d[65]) ,BackEndGenericInfo=tostring(d[66]) ,GenericInfo=tostring(d[67]) ,GenericErrors=tostring(d[67]) 68]) ,EdgeTraceId=tostring(d[69]) ,DatabaseGuid=tostring(d[70]) ,UserADObjectGuid=tostring(d[71]) ,PartitionEndpointLookupLatency=tostring(d[72]) ,RoutingStatus=tostring(d[73]) | Extend TimeGenerated = DateTime | project-away d,RawData,DateTime | project-away d,RawData,DateTime und klicken Sie auf 'Ziel'.
8. Fügen Sie in "Ziel" ein Ziel hinzu, und wählen Sie den Arbeitsbereich aus, in dem Sie zuvor die benutzerdefinierte Tabelle erstellt haben.
9. Klicken Sie auf "Datenquelle hinzufügen".
10. Füllen Sie andere erforderliche Parameter und Tags aus, und erstellen Sie den DCR.

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

---

Microsoft Exchange-Protokolle und -Ereignisse

Unterstützt von:Community

[Option 2] – Verwenden von Azure Monitor-Agent: Sie können alle Exchange Security & Application Event-Protokolle von den Windows-Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Mit dieser Verbindung können Sie benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Event	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure Log Analytics wird veraltet sein: Azure Log Analytics veraltet ist, wird zum Sammeln von Daten von nicht Azure VMs Azure Arc empfohlen. Weitere Informationen
• Ausführliche Dokumentation: >HINWEIS: Ausführliche Dokumentation zu Installationsverfahren und Verwendung finden Sie hier.

Setupanweisungen:

HINWEIS: Diese Lösung basiert auf Optionen. Auf diese Weise können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen eine sehr große Menge an Daten generieren können. Je nachdem, was Sie erfassen, in Ihren Arbeitsmappen, Analyseregeln und Huntingfunktionen nachverfolgen möchten, wählen Sie die Optionen aus, die Sie bereitstellen möchten. Jede Option ist für eine von der anderen unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki "Microsoft Exchange-Sicherheit".

Dieser Datenconnector ist die Option 2 des Wikis.

1. Herunterladen und Installieren der Agents, die zum Sammeln von Protokollen für Microsoft Sentinel

Der Servertyp (Exchange-Server, mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.

Bereitstellen von Monitor-Agents

Dieser Schritt ist nur erforderlich, wenn Sie ihre Exchange-Server/Domänencontroller zum ersten Mal integrieren. Bereitstellen des Azure Arc-Agents Weitere Informationen

2. [Option 2] Sicherheits-/Anwendungs-/Systemprotokolle von Exchange-Servern

Die Sicherheits-, Anwendungs-/Systemprotokolle von Exchange-Servern werden mithilfe von Datensammlungsregeln (Data Collection Rules, DCR) gesammelt.

Sammlung von Sicherheitsereignisprotokollen

Datensammlungsregeln – Sicherheitsereignisprotokolle

Aktivieren der Datensammlungsregel für Sicherheitsprotokolle Sicherheitsereignisseprotokolle werden nur von Windows-Agents gesammelt.

1. Hinzufügen von Exchange-Servern auf der Registerkarte "Ressourcen ".
2. Wählen Sie Sicherheitsprotokollebene aus.

Die allgemeine Ebene ist die erforderliche Mindeststufe. Wählen Sie "Allgemein" oder "Alle Sicherheitsereignisse" für die DCR-Definition aus.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Sammlung von Anwendungs- und Systemereignisprotokollen

Aktivieren der Datensammlungsregel

Anwendungs- und Systemereignisprotokolle werden nur von Windows-Agents gesammelt.

Option 1: arm-Vorlage (Azure Resource Manager) (Bevorzugte Methode)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des DCR.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie den Arbeitsbereichsnamen "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

A. Erstellen von DCR, Typ Ereignisprotokoll

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, wählen Sie Windows als Plattformtyp aus, und geben Sie der DCR einen Namen.
4. Geben Sie auf der Registerkarte Ressourcen Ihre Exchange-Server ein.
5. Fügen Sie unter "Sammeln und übermitteln" den Datenquellentyp "Windows-Ereignisprotokolle" hinzu, und wählen Sie die Option "Basic" aus.
6. Wählen Sie unter Anwendung die Optionen "Kritisch", "Fehler" und "Warnung" aus. Wählen Sie unter System die Option Kritisch/Fehler/Warnung/Informationen aus.
7. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

---

Microsoft Exchange-Nachrichtenverfolgungsprotokolle

Unterstützt von:Community

[Option 6] – Mit Azure Monitor-Agent: Sie können die gesamte Exchange-Nachrichtennachverfolgung von den Windows-Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Diese Protokolle können verwendet werden, um den Nachrichtenfluss in Ihrer Exchange-Umgebung nachzuverfolgen. Dieser Datenconnector basiert auf der Option 6 des Microsoft Exchange-Sicherheits-Wikis.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
MessageTrackingLog_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure Log Analytics wird veraltet sein: Azure Log Analytics veraltet ist, wird zum Sammeln von Daten von nicht Azure VMs Azure Arc empfohlen. Weitere Informationen
• Ausführliche Dokumentation: >HINWEIS: Ausführliche Dokumentation zu Installationsverfahren und Verwendung finden Sie hier.

Setupanweisungen:

HINWEIS: Diese Lösung basiert auf Optionen. Auf diese Weise können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen eine sehr große Menge an Daten generieren können. Je nachdem, was Sie erfassen, in Ihren Arbeitsmappen, Analyseregeln und Huntingfunktionen nachverfolgen möchten, wählen Sie die Optionen aus, die Sie bereitstellen möchten. Jede Option ist für eine von der anderen unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki "Microsoft Exchange-Sicherheit".

Dieser Datenconnector ist die Option 6 des Wikis.

1. Herunterladen und Installieren der Agents, die zum Sammeln von Protokollen für Microsoft Sentinel

Der Servertyp (Exchange-Server, mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.

Bereitstellen von Monitor-Agents

Dieser Schritt ist nur erforderlich, wenn Sie ihre Exchange-Server/Domänencontroller zum ersten Mal integrieren. Bereitstellen des Azure Arc-Agents Weitere Informationen

2. Nachrichtennachverfolgung von Exchange-Servern

Auswählen des Streamens der Nachrichtennachverfolgung von Exchange-Servern

Datensammlungsregeln: Wenn Azure Monitor-Agent verwendet wird

Aktivieren der Datensammlungsregel Nachrichtennachverfolgung werden nur von Windows-Agents gesammelt.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung von DCE und DCR.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Sie können den vorgeschlagenen Namen des DCE ändern.

4. Klicken Sie zum Bereitstellen auf Erstellen .

B. Bereitstellen einer Datenverbindungsregel und einer benutzerdefinierten Tabelle

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

Erstellen einer benutzerdefinierten Tabelle: Erläuterung

Die benutzerdefinierte Tabelle kann nicht über das Azure-Portal erstellt werden. Sie müssen eine ARM-Vorlage, ein PowerShell-Skript oder eine andere hier beschriebene Methode verwenden.

Erstellen einer benutzerdefinierten Tabelle mithilfe einer ARM-Vorlage

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe, den Standort und den Namen des Analysearbeitsbereichs aus.

3. Klicken Sie zum Bereitstellen auf Erstellen .

Erstellen einer benutzerdefinierten Tabelle mithilfe von PowerShell in Cloud Shell

1. Öffnen Sie im Azure-Portal eine Cloud Shell.
2. Kopieren Sie das folgende Skript, und führen Sie es im Cloud Shell aus, um die Tabelle zu erstellen. $tableParams = @' { "properties": { "schema": { "name": "MessageTrackingLog_CL", "columns": [ { "name": "directionality", "type": "string" }, { "name": "reference", "type": "string" }, { "name": "source", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "clientHostname", "type": "string" }, { "name": "clientIP", "type": "string" }, { "name": "connectorId", "type": "string" }, { "name": "customData", "type": "string" }, { "name": "eventId", "type": "string" }, { "name": "internalMessageId", "type": "string" }, { "name": "logId", "type": "string" }, { "name": "messageId", "type": "string" }, { "name": "messageInfo", "type": "string" }, { "name": "messageSubject", "type": "string" }, { "name": "networkMessageId", "type": "string" }, { "name": "originalClientIp", "type": "string" }, { "name": "originalServerIp", "type": "string" }, { "name": "recipientAddress", "type": "string" }, { "name": "recipientCount", "type": "string" }, { "name": "recipientStatus", "type": "string" }, { "name": "relatedRecipientAddress", "type": "string" }, { "name": "returnPath", "type": "string" }, { "name": "senderAddress", "type": "string" }, { "name": "senderHostname", "type": "string" }, { "name": "serverIp", "type": "string" }, { "name": "sourceContext", "type": "string" }, { "name": "schemaVersion", "type": "string" }, { "name": "messageTrackingTenantId", "type": "string" }, { "name": "totalBytes", "type": "string" }, { "name": "transportTrafficType", "type": "string" }, { "name": "FilePath", "type": "string" } } } ' @
3. Kopieren, Ersetzen, Einfügen und Ausführen der folgenden Parameter mit Ihren eigenen Werten: $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
4. Führen Sie das folgende Cmdlet aus, um die Tabelle zu erstellen: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsendpunkt.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, und geben Sie dem DCE einen Namen wie ESI-ExchangeServers.
4. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

B. Erstellen eines DCR, Geben Sie benutzerdefiniertes Protokoll ein.

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Klicken Sie auf die Schaltfläche "Erstellen".
3. Geben Sie auf der Registerkarte "Grundlagen" den Regelnamen ein, z. B. DCR-Option6-MessageTrackingLogs, wählen Sie den "Datensammlungsendpunkt" mit dem zuvor erstellten Endpunkt aus, und geben Sie weitere Parameter ein.
4. Fügen Sie auf der Registerkarte Ressourcen Ihre Exchange-Server hinzu.
5. Fügen Sie unter Sammeln und Übermitteln den Datenquellentyp "Benutzerdefinierte Textprotokolle" hinzu, und geben Sie "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" im Dateimuster "MessageTrackingLog_CL" in Tabellenname ein. 6.in Feld Transformieren geben Sie die folgende KQL-Anforderung ein: quelle | extend d = split(RawData;',') | extend TimeGenerated =todatetime(d[0]) ,clientIP =tostring(d[1]) ,clientHostname =tostring(d[2]) ,serverIp=tostring(d[3]) ,senderHostname=tostring(d[4]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) ,source=tostring(d[7]) ,eventId =tostring(d[8]) ,internalMessageId =tostring(d[9]) ,messageId =tostring(d[10]) ,networkMessageId =tostring(d[11]) ,recipientAddress=tostring(d[12]) ,recipientStatus=tostring(d[13]) , totalBytes=tostring(d[14]) ,recipientCount=tostring(d[15]) ,relatedRecipientAddress=tostring(d[16]) ,reference=tostring(d[17]) ,messageSubject =tostring(d[18]) ,senderAddress=tostring(d[19]) ,returnPath=tostring(d[20]) ,messageInfo =tostring(d[21]) ,directionality=tostring(d[22]) ,messageTrackingTenantId =tostring(d[23]) ,originalClientIp =tostring(d[24]) ,originalServerIp =tostring(d[25]) ,customData=tostring(d[26]) ,transportTrafficType =tostring(d[27]) , logId =tostring(d[28]) ,schemaVersion=tostring(d[29]) | projekt-away d, RawData und klicken Sie auf "Ziel".
6. Fügen Sie in "Ziel" ein Ziel hinzu, und wählen Sie den Arbeitsbereich aus, in dem Sie zuvor die benutzerdefinierte Tabelle erstellt haben.
7. Klicken Sie auf "Datenquelle hinzufügen".
8. Füllen Sie andere erforderliche Parameter und Tags aus, und erstellen Sie den DCR.

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

---

Microsoft Power Automate

Unterstützt von:Microsoft Corporation

Power Automate ist ein Microsoft-Dienst, mit dem Benutzer automatisierte Workflows zwischen Apps und Diensten erstellen können, um Dateien zu synchronisieren, Benachrichtigungen zu erhalten, Daten zu sammeln und vieles mehr. Es vereinfacht die Aufgabenautomatisierung, erhöht die Effizienz durch Reduzierung manueller und sich wiederholender Aufgaben und Steigerung der Produktivität. Der Power Automate-Datenconnector bietet die Möglichkeit, Power Automate-Aktivitätsprotokolle aus der Microsoft Purview Audit Anmeldung bei Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
PowerAutomateActivity	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Mandantenberechtigungen: "Sicherheitsadministrator" oder "Globaler Administrator" für den Mandanten des Arbeitsbereichs.
• Micorosft Purview Audit: Microsoft Purview Audit (Standard oder Premium) muss aktiviert sein.

Setupanweisungen:

Verbinden Microsoft Power Automate Überwachungsprotokolle mit Microsoft Sentinel

Dieser Connector verwendet die Office Management-API, um Ihre Power Automate-Überwachungsprotokolle abzurufen. Die Protokolle werden in Ihrem vorhandenen Microsoft Sentinel Arbeitsbereich gespeichert und verarbeitet. Sie finden die Daten in der PowerAutomateActivity-Tabelle .

• Verbindung aktivieren/deaktivieren

---

Microsoft Power Platform Admin-Aktivität

Unterstützt von:Microsoft Corporation

Microsoft Power Platform ist eine Low-Code/No-Code-Suite, die es Sowohl Citizen- als auch Pro-Entwicklern ermöglicht, Geschäftsprozesse zu optimieren, indem sie die Erstellung benutzerdefinierter Apps, die Automatisierung von Workflows und Datenanalysen mit minimaler Codierung ermöglicht. Der Power Platform Admin-Datenconnector bietet die Möglichkeit, Power Platform-Administratoraktivitätsprotokolle aus dem Microsoft Purview Audit sich bei Microsoft Sentinel anzumelden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
PowerPlatformAdminActivity	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Mandantenberechtigungen: "Sicherheitsadministrator" oder "Globaler Administrator" für den Mandanten des Arbeitsbereichs.
• Micorosft Purview Audit: Microsoft Purview Audit (Standard oder Premium) muss aktiviert sein.

Setupanweisungen:

Verbinden von Microsoft Power Platform Admin Aktivitätsüberwachungsprotokollen mit Microsoft Sentinel

Dieser Connector verwendet die Office Management-API, um Überwachungsprotokolle ihres Power Platform-Administrators abzurufen. Die Protokolle werden in Ihrem vorhandenen Microsoft Sentinel Arbeitsbereich gespeichert und verarbeitet. Sie finden die Daten in der Tabelle PowerPlatformAdminActivity .

• Verbindung aktivieren/deaktivieren

---

Microsoft PowerBI

Unterstützt von:Microsoft Corporation

Microsoft PowerBI ist eine Sammlung von Softwarediensten, Apps und Connectors, die zusammenarbeiten, um Ihre nicht verknüpften Datenquellen in kohärente, visuell immersive und interaktive Einblicke zu verwandeln. Ihre Daten können ein Excel-Arbeitsblatt, eine Sammlung von cloudbasierten und lokalen Hybrid Data Warehouses oder ein Datenspeicher eines anderen Typs sein. Mit diesem Connector können Sie PowerBI-Überwachungsprotokolle in Microsoft Sentinel streamen, sodass Sie Benutzeraktivitäten in Ihrer PowerBI-Umgebung nachverfolgen können. Sie können die Überwachungsdaten nach Datumsbereich, Benutzer, Dashboard, Bericht, Dataset und Aktivitätstyp filtern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
PowerBIActivity	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Project

Unterstützt von:Microsoft

Microsoft Project (MSP) ist eine Projektmanagement-Softwarelösung. Abhängig von Ihrem Plan können Sie mit Microsoft Project Projekte planen, Aufgaben zuweisen, Ressourcen verwalten, Berichte erstellen und vieles mehr. Mit diesem Connector können Sie Ihre Azure Project-Überwachungsprotokolle in Microsoft Sentinel streamen, um Ihre Projektaktivitäten nachzuverfolgen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ProjectActivity	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Microsoft Purview

Unterstützt von:Microsoft Corporation

Stellen Sie eine Verbindung mit Microsoft Purview her, um die Datensensitivitätsanreicherung von Microsoft Sentinel zu aktivieren. Datenklassifizierungs- und Vertraulichkeitsbezeichnungsprotokolle aus Microsoft Purview-Scans können über Arbeitsmappen, Analyseregeln und vieles mehr erfasst und visualisiert werden. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
PurviewDataSensitivityLogs	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden von Microsoft Purview mit Microsoft Sentinel

Navigieren Sie im Azure-Portal zu Ihrer Purview-Ressource:

1. Suchen Sie in der Suchleiste nach Purview-Konten.
2. Wählen Sie das konto aus, das Mit Sentinel eingerichtet werden soll.

In Ihrer Microsoft Purview-Ressource: 3. Wählen Sie Diagnoseeinstellungen aus. 4. Wählen Sie + Diagnoseeinstellung hinzufügen aus. 5. Gehen Sie auf dem Blatt Diagnoseeinstellung wie folgt vor:

• Wählen Sie die Protokollkategorie als DataSensitivityLogEvent aus.
• Wählen Sie An Log Analytics senden aus.
• Wählen Sie den Protokollzielarbeitsbereich aus. Dies sollte derselbe Arbeitsbereich sein, der von Microsoft Sentinel verwendet wird.
• Klicken Sie auf Speichern.

---

Microsoft Purview Information Protection

Unterstützt von:Microsoft Corporation

Microsoft Purview Information Protection hilft Ihnen, vertrauliche Informationen überall dort zu entdecken, zu klassifizieren, zu schützen und zu verwalten, wo sie sich befinden oder reisen. Mithilfe dieser Funktionen können Sie Ihre Daten kennen, sensible Elemente identifizieren und Einblick in deren Verwendung erhalten, um Ihre Daten besser zu schützen. Vertraulichkeitsbezeichnungen sind die grundlegende Funktion, die Schutzaktionen bereitstellen, Verschlüsselung, Zugriffsbeschränkungen und visuelle Markierungen anwenden. Integrieren Sie Microsoft Purview Information Protection Protokolle in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
MicrosoftPurviewInformationProtection	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Mimecast-Überwachung

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Audit bietet Kunden den Einblick in Sicherheitsereignisse im Zusammenhang mit Überwachungs- und Authentifizierungsereignissen in Microsoft Sentinel. Der Datenconnector bietet vorab erstellte Dashboards, mit denen Analysten Einblicke in die Benutzeraktivität anzeigen, die Korrelation von Vorfällen unterstützen und die Untersuchungsantwortzeiten in Verbindung mit benutzerdefinierten Warnungsfunktionen reduzieren können.
Die mimecast-Produkte, die im Connector enthalten sind, sind: Audit

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Audit_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Mimecast-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> Neuer geheimer Clientschlüssel, und erstellen Sie ein neues Geheimnis (speichern Sie den Wert sofort an einem sicheren Ort, da Sie ihn später nicht mehr in der Vorschau anzeigen können).

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Bevor Sie den Mimecast-API-Connector bereitstellen, sollten Sie die Mimecast-API-Autorisierungsschlüssel oder das Token sofort verfügbar machen.

SCHRITT 3: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von TenableVM Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 4: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von TenableVM Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von TenableVM Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 5: Abrufen der Objekt-ID Ihrer Anwendung in Microsoft Entra ID

Führen Sie nach dem Erstellen Ihrer App-Registrierung die Schritte in diesem Abschnitt aus, um die Objekt-ID abzurufen:

1. Wechseln Sie zu Microsoft Entra ID.
2. Wählen Sie im linken Menü Unternehmensanwendungen aus.
3. Suchen Sie ihre neu erstellte Anwendung in der Liste (Sie können nach dem von Ihnen angegebenen Namen suchen).
4. Klicken Sie auf die Anwendung.
5. Kopieren Sie auf der Übersichtsseite die Objekt-ID. Dies ist die AzureEntraObjectId, die für Ihre ARM-Vorlagenrollenzuweisung erforderlich ist.

Stellen Sie den Mimecast Audit Data Connector bereit:

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Mimecast Audit Data-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

3. Geben Sie die folgenden Informationen ein:

   a. Standort: Der Speicherort, an dem die Datensammlungsregeln und Datensammlungsendpunkte bereitgestellt werden sollen.

   b. WorkspaceName: Geben Sie Microsoft Sentinel Arbeitsbereichsnamen des Log Analytics-Arbeitsbereichs ein.

   c. AzureClientID: Geben Sie Azure Client-ID ein, die Sie während der App-Registrierung erstellt haben.

   d. AzureClientSecret: Geben Sie Azure geheimen Clientschlüssel ein, den Sie beim Erstellen des geheimen Clientschlüssels erstellt haben.

   e. AzureTenantID: Geben Sie Azure Mandanten-ID Ihres Azure Active Directory ein.

   f. AzureEntraObjectID: Geben Sie die Objekt-ID Ihrer Microsoft Entra-App ein.

   g. MimecastBaseURL: Geben Sie die Basis-URL der Mimecast-API 2.0 ein (z. B. https://api.services.mimecast.com)

   h. MimecastClientID: Geben Sie die Mimecast-Client-ID für die Authentifizierung ein.

   i. MimecastClientSecret: Geben Sie den geheimen Mimecast-Clientschlüssel für die Authentifizierung ein.

   j. MimecastAuditTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von Überwachungsdaten verwendet wird. Der Standardwert ist "Audit".

   k. StartDate: Geben Sie das Startdatum im Format "yyyy-mm-tt" ein. Wenn Sie kein Datum angeben, werden daten der letzten 60 Tage automatisch abgerufen. Stellen Sie sicher, dass das Datum in der Vergangenheit liegt und ordnungsgemäß formatiert ist.

   L. Zeitplan: Geben Sie einen gültigen Quarz-Cron-Ausdruck ein. (Beispiel: 0 0 */1 * * *) Lassen Sie den Wert nicht leer, der Mindestwert beträgt 10 Minuten.

   M. LogLevel: Fügen Sie den Protokollgrad oder den Protokollschweregrad hinzu. Standardmäßig ist sie auf INFO festgelegt.

   N. AppInsightsWorkspaceResourceId: Migrieren sie klassische Application Insights zum Log Analytics-Arbeitsbereich, der am 29. Februar 2024 eingestellt wird. Verwenden Sie das Blatt "Log Analytics Workspace--Properties>" mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

---

Mimecast Audit & Authentication (mit Azure Functions)

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Audit & Authentication bietet Kunden einblick in Sicherheitsereignisse im Zusammenhang mit Überwachungs- und Authentifizierungsereignissen in Microsoft Sentinel. Der Datenconnector bietet vorab erstellte Dashboards, mit denen Analysten Einblicke in die Benutzeraktivität anzeigen, die Korrelation von Vorfällen unterstützen und die Untersuchungsantwortzeiten in Verbindung mit benutzerdefinierten Warnungsfunktionen reduzieren können.
Die mimecast-Produkte, die im Connector enthalten sind, sind: Audit & Authentication

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
MimecastAudit_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Mimecast-API-Anmeldeinformationen: Sie benötigen die folgenden Informationen, um die Integration zu konfigurieren:
• mimecastEmail: Email Adresse eines dedizierten Mimecast-Administratorbenutzers
• mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
• mimecastAppId: API-Anwendungs-ID der mimecast Microsoft Sentinel App, die bei Mimecast registriert ist
• mimecastAppKey: API-Anwendungsschlüssel der Mimecast-Microsoft Sentinel-App, die bei Mimecast registriert ist
• mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Administratorbenutzer
• mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
• mimecastBaseURL: Basis-URL der regionalen Mimecast-API

Die Mimecast-Anwendungs-ID, der Anwendungsschlüssel sowie die Zugriffs- und Geheimnisschlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole abgerufen werden: Verwaltung | Dienstleistungen | API- und Plattformintegrationen.

Die Mimecast-API-Basis-URL für jede Region ist hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Ressourcengruppe: Sie müssen eine Ressourcengruppe mit einem Abonnement erstellen, das Sie verwenden möchten.
• Functions-App: Sie müssen eine Azure-App registriert haben, damit dieser Connector verwenden kann.

1. Anwendungs-ID
2. Mandanten-ID
3. Client-ID
4. Client Secret

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Mimecast-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> Neuer geheimer Clientschlüssel, und erstellen Sie ein neues Geheimnis (speichern Sie den Wert sofort an einem sicheren Ort, da Sie ihn später nicht mehr in der Vorschau anzeigen können).

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Bevor Sie den Mimecast-API-Connector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus dem folgenden Beispiel kopiert werden) sowie die Mimecast-API-Autorisierungsschlüssel oder das Token, die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Stellen Sie den Mimecast Audit & Authentication Data Connector bereit:

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Felder ein:

• appName: Eindeutige Zeichenfolge, die als ID für die App in Azure Plattform verwendet wird
• objectId: Azure-Portal ---> Azure Active Directory ---> weitere Informationen ---> Profile -----> Object ID
• appInsightsLocation(default): westeurope
• mimecastEmail: Email Adresse des dedizierten Benutzers für diese Integration
• mimecastPassword: Kennwort für dedizierte Benutzer
• mimecastAppId: Anwendungs-ID der bei Mimecast registrierten Microsoft Sentinel-App
• mimecastAppKey: Anwendungsschlüssel aus der bei Mimecast registrierten Microsoft Sentinel-App
• mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Benutzer
• mimecastSecretKey: Geheimer Schlüssel für dedizierte Mimecast-Benutzer
• mimecastBaseURL: Basis-URL der regionalen Mimecast-API
• activeDirectoryAppId: Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Anwendungs-ID
• activeDirectoryAppSecret: Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> [your_app_secret]
• workspaceId: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Arbeitsbereichs-ID (oder Sie können workspaceId von oben kopieren)
• workspaceKey: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Primärschlüssel (oder Sie können workspaceKey von oben kopieren)
• AppInsightsWorkspaceResourceID: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Eigenschaften ---> Ressourcen-ID

Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

6. Wechseln Sie zu Azure-Portal ---> Ressourcengruppen ---> [your_resource_group] ---> [appName](Typ: Speicherkonto) ---> Storage-Explorer ---> BLOBCONTAINER> --- Prüfpunkte überwachen ---> Hochladen und Erstellen einer leeren Datei mit dem Namen checkpoint.txt und Auswählen der Datei für den Upload (dies geschieht, damit date_range für SIEM-Protokolle im konsistenten Zustand gespeichert wird)

---

Mimecast Awareness Training

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Awareness Training bietet Kunden einblick in Sicherheitsereignisse im Zusammenhang mit den Targeted Threat Protection-Inspektionstechnologien in Microsoft Sentinel. Der Datenconnector stellt vorab erstellte Dashboards bereit, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen, die Korrelation von Vorfällen unterstützen und die Untersuchungsantwortzeiten in Verbindung mit benutzerdefinierten Warnungsfunktionen reduzieren können.
Die mimecast-Produkte, die im Connector enthalten sind, sind:

• Leistungsdetails
• Details zur Sicherheitsbewertung
• Benutzerdaten
• Watchlistdetails

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Awareness_Performance_Details_CL	Ja	Ja
Awareness_SafeScore_Details_CL	Ja	Ja
Awareness_User_Data_CL	Ja	Ja
Awareness_Watchlist_Details_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Setupanweisungen:

Ressourcengruppe

Sie müssen eine Ressourcengruppe mit einem Abonnement erstellen, das Sie verwenden werden.

Funktions-App

Sie müssen eine Azure-App registriert haben, damit dieser Connector verwenden kann.

1. Anwendungs-ID
2. Mandanten-ID
3. Client-ID
4. Client Secret
5. Entra-Objekt-ID

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Mimecast-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von Mimecast Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 2: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von Mimecast Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von Mimecast Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 3: Abrufen der Objekt-ID Ihrer Anwendung in Microsoft Entra ID

Führen Sie nach dem Erstellen Ihrer App-Registrierung die Schritte in diesem Abschnitt aus, um die Objekt-ID abzurufen:

1. Wechseln Sie zu Microsoft Entra ID.
2. Wählen Sie im linken Menü Unternehmensanwendungen aus.
3. Suchen Sie ihre neu erstellte Anwendung in der Liste (Sie können nach dem von Ihnen angegebenen Namen suchen).
4. Klicken Sie auf die Anwendung.
5. Kopieren Sie auf der Übersichtsseite die Objekt-ID. Dies ist die AzureEntraObjectId, die für Ihre ARM-Vorlagenrollenzuweisung erforderlich ist.

SCHRITT 4: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Bevor Sie den Mimecast-API-Connector bereitstellen, sollten Sie die Mimecast-API-Autorisierungsschlüssel oder das Token sofort verfügbar machen.

arm-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Mimecast Awareness Training Data-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

3. Geben Sie die folgenden Informationen ein:

   a. Standort: Der Speicherort, an dem die Datensammlungsregeln und Datensammlungsendpunkte bereitgestellt werden sollen.

   b. WorkspaceName: Geben Sie Microsoft Sentinel Arbeitsbereichsnamen des Log Analytics-Arbeitsbereichs ein.

   c. AzureClientID: Geben Sie Azure Client-ID ein, die Sie während der App-Registrierung erstellt haben.

   d. AzureClientSecret: Geben Sie Azure geheimen Clientschlüssel ein, den Sie beim Erstellen des geheimen Clientschlüssels erstellt haben.

   e. AzureTenantID: Geben Sie Azure Mandanten-ID Ihres Azure Active Directory ein.

   f. AzureEntraObjectID: Geben Sie die Objekt-ID Ihrer Microsoft Entra-App ein.

   g. MimecastBaseURL: Geben Sie die Basis-URL der Mimecast-API 2.0 ein (z. B. https://api.services.mimecast.com)

   h. MimecastClientID: Geben Sie die Mimecast-Client-ID für die Authentifizierung ein.

   i. MimecastClientSecret: Geben Sie den geheimen Mimecast-Clientschlüssel für die Authentifizierung ein.

   j. MimecastAwarenessPerformanceDetailsTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von Awareness Performance Details-Daten verwendet wird. Der Standardwert ist "Awareness_Performance_Details"

   k. MimecastAwarenessUserDataTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von Awareness-Benutzerdaten verwendet wird. Der Standardwert ist "Awareness_User_Data".

   L. MimecastAwarenessWatchlistDetailsTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von Awareness Watchlist Details-Daten verwendet wird. Der Standardwert ist "Awareness_Watchlist_Details"

   M. MimecastAwarenessSafeScoreDetailsTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von Awareness SafeScore Details-Daten verwendet wird. Der Standardwert ist "Awareness_SafeScore_Details"

   N. StartDate: Geben Sie das Startdatum im Format "yyyy-mm-tt" ein. Wenn Sie kein Datum angeben, werden daten der letzten 60 Tage automatisch abgerufen. Stellen Sie sicher, dass das Datum in der Vergangenheit liegt und ordnungsgemäß formatiert ist.

   O. Zeitplan: Geben Sie einen gültigen Quarz-Cron-Ausdruck ein. (Beispiel: 0 0 */1 * * *) Lassen Sie den Wert nicht leer, der Mindestwert beträgt 10 Minuten.

   P. LogLevel: Fügen Sie den Protokollgrad oder den Protokollschweregrad hinzu. Standardmäßig ist sie auf INFO festgelegt.

   Q. AppInsightsWorkspaceResourceId: Migrieren sie klassische Application Insights zum Log Analytics-Arbeitsbereich, der am 29. Februar 2024 eingestellt wird. Verwenden Sie das Blatt "Log Analytics Workspace--Properties>" mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

---

Mimecast Cloud Integrated

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Cloud Integrated bietet Kunden einblick in Sicherheitsereignisse im Zusammenhang mit den in die Cloud integrierten Inspektionstechnologien in Microsoft Sentinel. Der Datenconnector stellt vorab erstellte Dashboards bereit, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen, die Korrelation von Vorfällen unterstützen und die Untersuchungsantwortzeiten in Verbindung mit benutzerdefinierten Warnungsfunktionen reduzieren können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Cloud_Integrated_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Setupanweisungen:

Ressourcengruppe

Sie müssen eine Ressourcengruppe mit einem Abonnement erstellen, das Sie verwenden werden.

Funktions-App

Sie müssen eine Azure-App registriert haben, damit dieser Connector verwenden kann.

1. Anwendungs-ID
2. Mandanten-ID
3. Client-ID
4. Client Secret

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Mimecast-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> Neuer geheimer Clientschlüssel, und erstellen Sie ein neues Geheimnis (speichern Sie den Wert sofort an einem sicheren Ort, da Sie ihn später nicht mehr in der Vorschau anzeigen können).

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Bevor Sie den Mimecast-API-Connector bereitstellen, sollten Sie die Mimecast-API-Autorisierungsschlüssel oder das Token sofort verfügbar machen.

SCHRITT 3: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von TenableVM Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 4: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von TenableVM Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von TenableVM Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 5: Abrufen der Objekt-ID Ihrer Anwendung in Microsoft Entra ID

Führen Sie nach dem Erstellen Ihrer App-Registrierung die Schritte in diesem Abschnitt aus, um die Objekt-ID abzurufen:

1. Wechseln Sie zu Microsoft Entra ID.
2. Wählen Sie im linken Menü Unternehmensanwendungen aus.
3. Suchen Sie ihre neu erstellte Anwendung in der Liste (Sie können nach dem von Ihnen angegebenen Namen suchen).
4. Klicken Sie auf die Anwendung.
5. Kopieren Sie auf der Übersichtsseite die Objekt-ID. Dies ist die AzureEntraObjectId, die für Ihre ARM-Vorlagenrollenzuweisung erforderlich ist.

arm-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Mimecast Cloud Integrated Data-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

3. Geben Sie die folgenden Informationen ein:

   a. Standort: Der Speicherort, an dem die Datensammlungsregeln und Datensammlungsendpunkte bereitgestellt werden sollen.

   b. WorkspaceName: Geben Sie Microsoft Sentinel Arbeitsbereichsnamen des Log Analytics-Arbeitsbereichs ein.

   c. AzureClientID: Geben Sie Azure Client-ID ein, die Sie während der App-Registrierung erstellt haben.

   d. AzureClientSecret: Geben Sie Azure geheimen Clientschlüssel ein, den Sie beim Erstellen des geheimen Clientschlüssels erstellt haben.

   e. AzureTenantID: Geben Sie Azure Mandanten-ID Ihres Azure Active Directory ein.

   f. AzureEntraObjectID: Geben Sie die Objekt-ID Ihrer Microsoft Entra-App ein.

   g. MimecastBaseURL: Geben Sie die Basis-URL der Mimecast-API 2.0 ein (z. B. https://api.services.mimecast.com)

   h. MimecastClientID: Geben Sie die Mimecast-Client-ID für die Authentifizierung ein.

   i. MimecastClientSecret: Geben Sie den geheimen Mimecast-Clientschlüssel für die Authentifizierung ein.

   j. MimecastCITableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von in die Cloud integrierten Daten verwendet wird. Der Standardwert ist "Cloud_Integrated"

   k. StartDate: Geben Sie das Startdatum im Format "yyyy-mm-tt" ein. Wenn Sie kein Datum angeben, werden daten der letzten 60 Tage automatisch abgerufen. Stellen Sie sicher, dass das Datum in der Vergangenheit liegt und ordnungsgemäß formatiert ist.

   L. Zeitplan: Geben Sie einen gültigen Quarz-Cron-Ausdruck ein. (Beispiel: 0 0 */1 * * *) Lassen Sie den Wert nicht leer, der Mindestwert beträgt 10 Minuten.

   M. LogLevel: Fügen Sie den Protokollgrad oder den Protokollschweregrad hinzu. Standardmäßig ist sie auf INFO festgelegt.

   N. AppInsightsWorkspaceResourceId: Migrieren sie klassische Application Insights zum Log Analytics-Arbeitsbereich, der am 29. Februar 2024 eingestellt wird. Verwenden Sie das Blatt "Log Analytics Workspace--Properties>" mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

---

Mimecast Intelligence für Microsoft – Microsoft Sentinel (mit Azure Functions)

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Intelligence für Microsoft bietet regionale Bedrohungsinformationen, die aus Mimecasts E-Mail-Inspektionstechnologien zusammengestellt wurden, mit vorab erstellten Dashboards, damit Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen, die Korrelation von Vorfällen unterstützen und die Reaktionszeiten für Untersuchungen verkürzen können.
Mimecast-Produkte und -Features erforderlich:

• Mimecast Secure Email Gateway
• Mimecast Threat Intelligence

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Mimecast-API-Anmeldeinformationen: Sie benötigen die folgenden Informationen, um die Integration zu konfigurieren:
• mimecastEmail: Email Adresse eines dedizierten Mimecast-Administratorbenutzers
• mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
• mimecastAppId: API-Anwendungs-ID der mimecast Microsoft Sentinel App, die bei Mimecast registriert ist
• mimecastAppKey: API-Anwendungsschlüssel der Mimecast-Microsoft Sentinel-App, die bei Mimecast registriert ist
• mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Administratorbenutzer
• mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
• mimecastBaseURL: Basis-URL der regionalen Mimecast-API

Die Mimecast-Anwendungs-ID, der Anwendungsschlüssel sowie die Zugriffs- und Geheimnisschlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole abgerufen werden: Verwaltung | Dienstleistungen | API- und Plattformintegrationen.

Die Mimecast-API-Basis-URL für jede Region ist hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Ressourcengruppe: Sie müssen eine Ressourcengruppe mit einem Abonnement erstellen, das Sie verwenden möchten.
• Functions-App: Sie müssen eine Azure-App registriert haben, damit dieser Connector verwenden kann.

1. Anwendungs-ID
2. Mandanten-ID
3. Client-ID
4. Client Secret

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Mimecast-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> Neuer geheimer Clientschlüssel, und erstellen Sie ein neues Geheimnis (speichern Sie den Wert sofort an einem sicheren Ort, da Sie ihn später nicht mehr in der Vorschau anzeigen können).

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Bevor Sie den Mimecast-API-Connector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus dem folgenden Beispiel kopiert werden) sowie die Mimecast-API-Autorisierungsschlüssel oder das Token, die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Aktivieren von Mimecast Intelligence für Microsoft – Microsoft Sentinel Connector:

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Felder ein:

• appName: Eindeutige Zeichenfolge, die als ID für die App in Azure Plattform verwendet wird
• objectId: Azure-Portal ---> Azure Active Directory ---> weitere Informationen ---> Profile -----> Object ID
• appInsightsLocation(default): westeurope
• mimecastEmail: Email Adresse des dedizierten Benutzers für diese Integration
• mimecastPassword: Kennwort für dedizierte Benutzer
• mimecastAppId: Anwendungs-ID der bei Mimecast registrierten Microsoft Sentinel-App
• mimecastAppKey: Anwendungsschlüssel aus der bei Mimecast registrierten Microsoft Sentinel-App
• mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Benutzer
• mimecastSecretKey: Geheimer Schlüssel für dedizierte Mimecast-Benutzer
• mimecastBaseURL: Basis-URL der regionalen Mimecast-API
• activeDirectoryAppId: Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Anwendungs-ID
• activeDirectoryAppSecret: Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> [your_app_secret]
• workspaceId: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Arbeitsbereichs-ID (oder Sie können workspaceId von oben kopieren)
• workspaceKey: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Primärschlüssel (oder Sie können workspaceKey von oben kopieren)
• AppInsightsWorkspaceResourceID: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Eigenschaften ---> Ressourcen-ID

Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

6. Wechseln Sie zu Azure-Portal ---> Ressourcengruppen ---> [your_resource_group] ---> [appName](Typ: Speicherkonto) ---> Storage-Explorer ---> BLOBCONTAINER ---> TIR-Prüfpunkten ---> Hochladen und Erstellen einer leeren Datei auf Ihrem Computer mit dem Namen checkpoint.txt, und wählen Sie sie für den Upload aus (dies geschieht, damit date_range für TIR-Protokolle in konsistentem Zustand gespeichert wird).

Zusätzliche Konfiguration:

Stellen Sie eine Verbindung mit einem Datenconnector für Threat Intelligence-Plattformen her. Befolgen Sie die Anweisungen auf der Connectorseite, und klicken Sie dann auf die Schaltfläche Verbinden.

---

Mimecast Secure Email Gateway

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Secure Email Gateway ermöglicht eine einfache Protokollsammlung aus dem Secure Email Gateway, um E-Mail-Erkenntnisse und Benutzeraktivitäten in Microsoft Sentinel anzuzeigen. Der Datenconnector stellt vorab erstellte Dashboards bereit, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen, die Korrelation von Vorfällen unterstützen und die Untersuchungsantwortzeiten in Verbindung mit benutzerdefinierten Warnungsfunktionen reduzieren können. Mimecast-Produkte und -Features erforderlich:

• Mimecast Cloud Gateway
• Mimecast Data Leak Prevention

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Seg_Cg_CL	Ja	Ja
Seg_Dlp_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Mimecast-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> Neuer geheimer Clientschlüssel, und erstellen Sie ein neues Geheimnis (speichern Sie den Wert sofort an einem sicheren Ort, da Sie ihn später nicht mehr in der Vorschau anzeigen können).

**SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Bevor Sie den Mimecast-API-Connector bereitstellen, sollten Sie die Mimecast-API-Autorisierungsschlüssel oder das Token sofort verfügbar machen.

SCHRITT 3: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von TenableVM Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 4: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von TenableVM Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von TenableVM Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 5: Abrufen der Objekt-ID Ihrer Anwendung in Microsoft Entra ID

Führen Sie nach dem Erstellen Ihrer App-Registrierung die Schritte in diesem Abschnitt aus, um die Objekt-ID abzurufen:

1. Wechseln Sie zu Microsoft Entra ID.
2. Wählen Sie im linken Menü Unternehmensanwendungen aus.
3. Suchen Sie ihre neu erstellte Anwendung in der Liste (Sie können nach dem von Ihnen angegebenen Namen suchen).
4. Klicken Sie auf die Anwendung.
5. Kopieren Sie auf der Übersichtsseite die Objekt-ID. Dies ist die AzureEntraObjectId, die für Ihre ARM-Vorlagenrollenzuweisung erforderlich ist.

Bereitstellen des Mimecast Secure Email Gateway-Datenconnectors:

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Mimecast Secure Email Gateway Data-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

3. Geben Sie die folgenden Informationen ein:

   a. Standort: Der Speicherort, an dem die Datensammlungsregeln und Datensammlungsendpunkte bereitgestellt werden sollen.

   b. WorkspaceName: Geben Sie Microsoft Sentinel Arbeitsbereichsnamen des Log Analytics-Arbeitsbereichs ein.

   c. AzureClientID: Geben Sie Azure Client-ID ein, die Sie während der App-Registrierung erstellt haben.

   d. AzureClientSecret: Geben Sie Azure geheimen Clientschlüssel ein, den Sie beim Erstellen des geheimen Clientschlüssels erstellt haben.

   e. AzureTenantID: Geben Sie Azure Mandanten-ID Ihres Azure Active Directory ein.

   f. AzureEntraObjectID: Geben Sie die Objekt-ID Ihrer Microsoft Entra-App ein.

   g. MimecastBaseURL: Geben Sie die Basis-URL der Mimecast-API 2.0 ein (z. B. https://api.services.mimecast.com)

   h. MimecastClientID: Geben Sie die Mimecast-Client-ID für die Authentifizierung ein.

   i. MimecastClientSecret: Geben Sie den geheimen Mimecast-Clientschlüssel für die Authentifizierung ein.

   j. MimecastCGTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von CG-Daten verwendet wird. Der Standardwert ist "Seg_Cg"

   k. MimecastDLPTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von DLP-Daten verwendet wird. Der Standardwert ist "Seg_Dlp"

   L. StartDate: Geben Sie das Startdatum im Format "yyyy-mm-tt" ein. Wenn Sie kein Datum angeben, werden daten der letzten 60 Tage automatisch abgerufen. Stellen Sie sicher, dass das Datum in der Vergangenheit liegt und ordnungsgemäß formatiert ist.

   M. Zeitplan: Geben Sie einen gültigen Quarz-Cron-Ausdruck ein. (Beispiel: 0 0 */1 * * *) Lassen Sie den Wert nicht leer, der Mindestwert beträgt 10 Minuten.

   N. LogLevel: Fügen Sie den Protokollgrad oder den Protokollschweregrad hinzu. Standardmäßig ist sie auf INFO festgelegt.

   O. AppInsightsWorkspaceResourceId: Migrieren sie klassische Application Insights zum Log Analytics-Arbeitsbereich, der am 29. Februar 2024 eingestellt wird. Verwenden Sie das Blatt "Log Analytics Workspace--Properties>" mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

---

Mimecast Secure Email Gateway (mit Azure Functions)

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Secure Email Gateway ermöglicht eine einfache Protokollsammlung aus dem Secure Email Gateway, um E-Mail-Erkenntnisse und Benutzeraktivitäten in Microsoft Sentinel anzuzeigen. Der Datenconnector stellt vorab erstellte Dashboards bereit, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen, die Korrelation von Vorfällen unterstützen und die Untersuchungsantwortzeiten in Verbindung mit benutzerdefinierten Warnungsfunktionen reduzieren können. Mimecast-Produkte und -Features erforderlich:

• Mimecast Secure Email Gateway
• Mimecast Data Leak Prevention

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
MimecastSIEM_CL	Nein	Nein
MimecastDLP_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Mimecast-API-Anmeldeinformationen: Sie benötigen die folgenden Informationen, um die Integration zu konfigurieren:
• mimecastEmail: Email Adresse eines dedizierten Mimecast-Administratorbenutzers
• mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
• mimecastAppId: API-Anwendungs-ID der mimecast Microsoft Sentinel App, die bei Mimecast registriert ist
• mimecastAppKey: API-Anwendungsschlüssel der Mimecast-Microsoft Sentinel-App, die bei Mimecast registriert ist
• mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Administratorbenutzer
• mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
• mimecastBaseURL: Basis-URL der regionalen Mimecast-API

Die Mimecast-Anwendungs-ID, der Anwendungsschlüssel sowie die Zugriffs- und Geheimnisschlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole abgerufen werden: Verwaltung | Dienstleistungen | API- und Plattformintegrationen.

Die Mimecast-API-Basis-URL für jede Region ist hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Ressourcengruppe: Sie müssen eine Ressourcengruppe mit einem Abonnement erstellen, das Sie verwenden möchten.
• Functions-App: Sie müssen eine Azure-App registriert haben, damit dieser Connector verwenden kann.

1. Anwendungs-ID
2. Mandanten-ID
3. Client-ID
4. Client Secret

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Mimecast-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> Neuer geheimer Clientschlüssel, und erstellen Sie ein neues Geheimnis (speichern Sie den Wert sofort an einem sicheren Ort, da Sie ihn später nicht mehr in der Vorschau anzeigen können).

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Bevor Sie den Mimecast-API-Connector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus dem folgenden Beispiel kopiert werden) sowie die Mimecast-API-Autorisierungsschlüssel oder das Token, die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Bereitstellen des Mimecast Secure Email Gateway-Datenconnectors:

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Felder ein:

• appName: Eindeutige Zeichenfolge, die als ID für die App in Azure Plattform verwendet wird
• objectId: Azure-Portal ---> Azure Active Directory ---> weitere Informationen ---> Profile -----> Object ID
• appInsightsLocation(default): westeurope
• mimecastEmail: Email Adresse des dedizierten Benutzers für diese Integration
• mimecastPassword: Kennwort für dedizierte Benutzer
• mimecastAppId: Anwendungs-ID der bei Mimecast registrierten Microsoft Sentinel-App
• mimecastAppKey: Anwendungsschlüssel aus der bei Mimecast registrierten Microsoft Sentinel-App
• mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Benutzer
• mimecastSecretKey: Geheimer Schlüssel für dedizierte Mimecast-Benutzer
• mimecastBaseURL: Basis-URL der regionalen Mimecast-API
• activeDirectoryAppId: Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Anwendungs-ID
• activeDirectoryAppSecret: Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> [your_app_secret]
• workspaceId: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Arbeitsbereichs-ID (oder Sie können workspaceId von oben kopieren)
• workspaceKey: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Primärschlüssel (oder Sie können workspaceKey von oben kopieren)
• AppInsightsWorkspaceResourceID: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Eigenschaften ---> Ressourcen-ID

Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

6. Wechseln Sie zu Azure-Portal ---> Ressourcengruppen ---> [your_resource_group] ---> [appName](Typ: Speicherkonto) ---> Storage-Explorer ---> BLOBCONTAINER ---> SIEM-Prüfpunkte ---> Hochladen und Erstellen einer leeren Datei auf Ihrem Computer mit dem Namen checkpoint.txt, dlp-checkpoint.txt und auswählen sie für den Upload (dies geschieht, damit date_range für SIEM-Protokolle in konsistentem Zustand gespeichert wird).

---

Mimecast Targeted Threat Protection

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Targeted Threat Protection bietet Kunden einblick in Sicherheitsereignisse im Zusammenhang mit den Targeted Threat Protection-Inspektionstechnologien in Microsoft Sentinel. Der Datenconnector stellt vorab erstellte Dashboards bereit, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen, die Korrelation von Vorfällen unterstützen und die Untersuchungsantwortzeiten in Verbindung mit benutzerdefinierten Warnungsfunktionen reduzieren können.
Die mimecast-Produkte, die im Connector enthalten sind, sind:

• URL Protect
• Identitätswechsel Protect
• Attachment Protect

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Ttp_Url_CL	Ja	Ja
Ttp_Attachment_CL	Ja	Ja
Ttp_Impersonation_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Setupanweisungen:

Ressourcengruppe

Sie müssen eine Ressourcengruppe mit einem Abonnement erstellen, das Sie verwenden werden.

Funktions-App

Sie müssen eine Azure-App registriert haben, damit dieser Connector verwenden kann.

1. Anwendungs-ID
2. Mandanten-ID
3. Client-ID
4. Client Secret

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Mimecast-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von Mimecast Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 2: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von Mimecast Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von Mimecast Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 3: Abrufen der Objekt-ID Ihrer Anwendung in Microsoft Entra ID

Führen Sie nach dem Erstellen Ihrer App-Registrierung die Schritte in diesem Abschnitt aus, um die Objekt-ID abzurufen:

1. Wechseln Sie zu Microsoft Entra ID.
2. Wählen Sie im linken Menü Unternehmensanwendungen aus.
3. Suchen Sie ihre neu erstellte Anwendung in der Liste (Sie können nach dem von Ihnen angegebenen Namen suchen).
4. Klicken Sie auf die Anwendung.
5. Kopieren Sie auf der Übersichtsseite die Objekt-ID. Dies ist die AzureEntraObjectId, die für Ihre ARM-Vorlagenrollenzuweisung erforderlich ist.

SCHRITT 4: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Bevor Sie den Mimecast-API-Connector bereitstellen, sollten Sie die Mimecast-API-Autorisierungsschlüssel oder das Token sofort verfügbar machen.

arm-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Mimecast Targeted Threat Protection Data-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

3. Geben Sie die folgenden Informationen ein:

   a. Standort: Der Speicherort, an dem die Datensammlungsregeln und Datensammlungsendpunkte bereitgestellt werden sollen.

   b. WorkspaceName: Geben Sie Microsoft Sentinel Arbeitsbereichsnamen des Log Analytics-Arbeitsbereichs ein.

   c. AzureClientID: Geben Sie Azure Client-ID ein, die Sie während der App-Registrierung erstellt haben.

   d. AzureClientSecret: Geben Sie Azure geheimen Clientschlüssel ein, den Sie beim Erstellen des geheimen Clientschlüssels erstellt haben.

   e. AzureTenantID: Geben Sie Azure Mandanten-ID Ihres Azure Active Directory ein.

   f. AzureEntraObjectID: Geben Sie die Objekt-ID Ihrer Microsoft Entra-App ein.

   g. MimecastBaseURL: Geben Sie die Basis-URL der Mimecast-API 2.0 ein (z. B. https://api.services.mimecast.com)

   h. MimecastClientID: Geben Sie die Mimecast-Client-ID für die Authentifizierung ein.

   i. MimecastClientSecret: Geben Sie den geheimen Mimecast-Clientschlüssel für die Authentifizierung ein.

   j. StartDate: Geben Sie das Startdatum im Format "yyyy-mm-tt" ein. Wenn Sie kein Datum angeben, werden daten der letzten 60 Tage automatisch abgerufen. Stellen Sie sicher, dass das Datum in der Vergangenheit liegt und ordnungsgemäß formatiert ist.

   k. MimecastTTPAttachmentTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von TTP-Anlagendaten verwendet wird. Der Standardwert ist "Ttp_Attachment"

   L. MimecastTTPImpersonationTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von TTP-Identitätswechseldaten verwendet wird. Der Standardwert ist "Ttp_Impersonation"

   M. MimecastTTPUrlTableName: Geben Sie den Namen der Tabelle ein, die zum Speichern von TTP-Anlagendaten verwendet wird. Der Standardwert ist "Ttp_Url"

   N. Zeitplan: Geben Sie einen gültigen Quarz-Cron-Ausdruck ein. (Beispiel: 0 0 */1 * * *) Lassen Sie den Wert nicht leer, der Mindestwert beträgt 10 Minuten.

   L. LogLevel: Fügen Sie den Protokollgrad oder den Protokollschweregrad hinzu. Standardmäßig ist sie auf INFO festgelegt.

   O. AppInsightsWorkspaceResourceId: Migrieren sie klassische Application Insights zum Log Analytics-Arbeitsbereich, der am 29. Februar 2024 eingestellt wird. Verwenden Sie das Blatt "Log Analytics Workspace--Properties>" mit dem Eigenschaftswert "Ressourcen-ID". Dies ist eine vollqualifizierte resourceId im Format "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

---

Mimecast Targeted Threat Protection (mit Azure Functions)

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Targeted Threat Protection bietet Kunden einblick in Sicherheitsereignisse im Zusammenhang mit den Targeted Threat Protection-Inspektionstechnologien in Microsoft Sentinel. Der Datenconnector stellt vorab erstellte Dashboards bereit, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen, die Korrelation von Vorfällen unterstützen und die Untersuchungsantwortzeiten in Verbindung mit benutzerdefinierten Warnungsfunktionen reduzieren können.
Die mimecast-Produkte, die im Connector enthalten sind, sind:

• URL Protect
• Identitätswechsel Protect
• Attachment Protect

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
MimecastTTPUrl_CL	Nein	Nein
MimecastTTPAttachment_CL	Nein	Nein
MimecastTTPImpersonation_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Sie benötigen die folgenden Informationen, um die Integration zu konfigurieren:
• mimecastEmail: Email Adresse eines dedizierten Mimecast-Administratorbenutzers
• mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
• mimecastAppId: API-Anwendungs-ID der mimecast Microsoft Sentinel App, die bei Mimecast registriert ist
• mimecastAppKey: API-Anwendungsschlüssel der Mimecast-Microsoft Sentinel-App, die bei Mimecast registriert ist
• mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Administratorbenutzer
• mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
• mimecastBaseURL: Basis-URL der regionalen Mimecast-API

Die Mimecast-Anwendungs-ID, der Anwendungsschlüssel sowie die Zugriffs- und Geheimnisschlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole abgerufen werden: Verwaltung | Dienstleistungen | API- und Plattformintegrationen.

Die Mimecast-API-Basis-URL für jede Region ist hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Setupanweisungen:

Ressourcengruppe

Sie müssen eine Ressourcengruppe mit einem Abonnement erstellen, das Sie verwenden werden.

Funktions-App

Sie müssen eine Azure-App registriert haben, damit dieser Connector verwenden kann.

1. Anwendungs-ID
2. Mandanten-ID
3. Client-ID
4. Client Secret

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit einer Mimecast-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> Neuer geheimer Clientschlüssel, und erstellen Sie ein neues Geheimnis (speichern Sie den Wert sofort an einem sicheren Ort, da Sie ihn später nicht mehr in der Vorschau anzeigen können).

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Bevor Sie den Mimecast-API-Connector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus dem folgenden Beispiel kopiert werden) sowie die Mimecast-API-Autorisierungsschlüssel oder das Token, die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Stellen Sie den Mimecast Targeted Threat Protection-Datenconnector bereit:

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Felder ein:

• appName: Eindeutige Zeichenfolge, die als ID für die App in Azure Plattform verwendet wird
• objectId: Azure-Portal ---> Azure Active Directory ---> weitere Informationen ---> Profile -----> Object ID
• appInsightsLocation(default): westeurope
• mimecastEmail: Email Adresse des dedizierten Benutzers für diese Integration
• mimecastPassword: Kennwort für dedizierte Benutzer
• mimecastAppId: Anwendungs-ID der bei Mimecast registrierten Microsoft Sentinel-App
• mimecastAppKey: Anwendungsschlüssel aus der bei Mimecast registrierten Microsoft Sentinel-App
• mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Benutzer
• mimecastSecretKey: Geheimer Schlüssel für dedizierte Mimecast-Benutzer
• mimecastBaseURL: Basis-URL der regionalen Mimecast-API
• activeDirectoryAppId: Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Anwendungs-ID
• activeDirectoryAppSecret: Azure-Portal ---> App-Registrierungen ---> [your_app] ---> Zertifikate & Geheimnisse ---> [your_app_secret]
• workspaceId: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Arbeitsbereichs-ID (oder Sie können workspaceId von oben kopieren)
• workspaceKey: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Primärschlüssel (oder Sie können workspaceKey von oben kopieren)
• AppInsightsWorkspaceResourceID: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Eigenschaften ---> Ressourcen-ID

Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

6. Wechseln Sie zu Azure-Portal ---> Ressourcengruppen ---> [your_resource_group] ---> [appName](Typ: Speicherkonto) ---> Storage-Explorer ---> BLOBCONTAINER ---> TTP-Prüfpunkte ---> Hochladen und Erstellen leerer Dateien mit dem Namen attachment-checkpoint.txt, impersonation-checkpoint.txt url-checkpoint.txt, und wählen Sie sie für den Upload aus (dies geschieht, damit date_range für TTP-Protokolle in konsistentem Zustand gespeichert werden).

---

MISP2Sentinel

Unterstützt von:Community

Diese Lösung installiert den MISP2Sentinel-Connector, mit dem Sie Bedrohungsindikatoren von MISP über die REST-API zum Hochladen von Indikatoren automatisch an Microsoft Sentinel pushen können. Nachdem Sie die Lösung installiert haben, konfigurieren und aktivieren Sie diesen Datenconnector, indem Sie die Anleitung unter Verwalten der Lösungsansicht befolgen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Installations- und Setupanweisungen

Verwenden Sie die Dokumentation aus diesem GitHub-Repository, um misp für Microsoft Sentinel Connector zu installieren und zu konfigurieren:

https://github.com/cudeso/misp2sentinel

---

MongoDB Atlas-Protokolle

Unterstützt von:MongoDB

Der MongoDBAtlas Logs-Connector bietet die Möglichkeit, MongoDB Atlas-Datenbankprotokolle über die MongoDB Atlas-Verwaltungs-API in Microsoft Sentinel hochzuladen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector bietet die Möglichkeit, einen Bereich von Datenbankprotokollmeldungen für die angegebenen Hosts und das angegebene Projekt abzurufen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
MDBALogTable_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Client-ID und geheimer Clientschlüssel des MongoDB Atlas-Dienstkontos sind erforderlich. Weitere Informationen finden Sie unter Erstellen eines Dienstkontos.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit "MongoDB Atlas" herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Stellen Sie sicher, dass der Arbeitsbereich Microsoft Sentinel hinzugefügt wird, bevor Sie den Connector bereitstellen.

SCHRITT 1: Konfigurationsschritte für die MongoDB Atlas-Verwaltungs-API

1. Befolgen Sie diese Anweisungen , um ein MongoDB Atlas-Dienstkonto zu erstellen.
2. Kopieren Sie die client-ID und den geheimen Clientschlüssel, die Sie erstellt haben, sowie die Gruppen-ID (Projekt) und jede Cluster-ID (Hostname), die für spätere Schritte erforderlich sind.
3. Weitere Informationen finden Sie in der Dokumentation zur MongoDB Atlas-API .
4. Der geheime Clientschlüssel kann über einen Azure Schlüsseltresor oder direkt an den Connector übergeben werden.
5. Wenn Sie die Schlüsseltresoroption verwenden möchten, erstellen Sie einen Schlüsseltresor mithilfe einer Tresorzugriffsrichtlinie mit einem Geheimnis namens mongodb-client-secret , und Ihr geheimer Clientschlüssel wird als Geheimniswert gespeichert.

SCHRITT 2: Bereitstellen des Connectors "MongoDB Atlas Logs" und der zugehörigen Azure-Funktion

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   portal.azure.com

SCHRITT 3: Festlegen der Connectorparameter

1. Wählen Sie das bevorzugte Abonnement und eine vorhandene Ressourcengruppe aus.
2. Geben Sie eine vorhandene Ressourcen-ID des Log Analytics-Arbeitsbereichs ein, die zur Ressourcengruppe gehört.
3. Klicken Sie auf Weiter.
4. Geben Sie die MongoDB-Gruppen-ID, eine Liste von bis zu 10 MongoDB-Cluster-IDs in einer separaten Zeile und die MongoDB-Client-ID ein.
5. Wählen Sie für Authentifizierungsmethode entweder Geheimer Clientschlüssel aus, und kopieren Sie den Wert Ihres geheimen Clientschlüssels oder Key Vault und kopieren Sie den Namen Ihres Schlüsseltresors. Klicken Sie auf Weiter.
6. Überprüfen Sie die MongoDB-Filter. Wählen Sie Protokolle aus mindestens einer Kategorie aus. Klicken Sie auf Weiter.
7. Überprüfen Sie den Zeitplan. Klicken Sie auf Weiter.
8. Überprüfen Sie die Einstellungen, und klicken Sie dann auf Erstellen.

---

MuleSoft Cloudhub (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der MuleSoft Cloudhub-Datenconnector bietet die Möglichkeit, Protokolle aus Cloudhub-Anwendungen mithilfe der Cloudhub-API und weitere Ereignisse in Microsoft Sentinel über die REST-API abzurufen. Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
MuleSoft_Cloudhub_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername und MuleSoftPassword sind für API-Aufrufe erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Azure Blob Storage-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Blob Storage Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und wie erwartet funktioniert MuleSoftCloudhub, der mit der Microsoft Sentinel Solution bereitgestellt wird.

Hinweis: Dieser Datenconnector ruft nur die Protokolle der CloudHub-Anwendung mithilfe der Plattform-API und nicht der CloudHub 2.0-Anwendung ab.

SCHRITT 1: Konfigurationsschritte für die MuleSoft CloudHub-API

Befolgen Sie die Anweisungen, um die Anmeldeinformationen abzurufen.

1. Rufen Sie muleSoftEnvId, MuleSoftAppName, MuleSoftUsername und MuleSoftPassword mithilfe der Dokumentation ab.
2. Speichern Sie Die Anmeldeinformationen für die Verwendung im Datenconnector.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den MuleSoft Cloudhub-Datenconnector bereitstellen, müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel verwenden (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des MuleSoft Cloudhub-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername und MuleSoftPassword ein, und stellen Sie sie bereit. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden schrittweisen Anweisungen, um den MuleSoft Cloudhub-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. MuleSoftXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

NC Protect

Unterstützt von:archTIS

NC Protect Data Connector (archtis.com) bietet die Möglichkeit, Benutzeraktivitätsprotokolle und -ereignisse in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in NC Protect-Benutzeraktivitätsprotokolle und -Ereignisse in Microsoft Sentinel, um die Überwachungs- und Untersuchungsfunktionen zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
NCProtectUAL_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• NC Protect: Sie müssen über eine ausgeführte instance von NC Protect für O365 verfügen. Bitte kontaktieren Sie uns.

Setupanweisungen:

1. Installieren von NC Protect in Ihrem Azure Mandanten
2. Melden Sie sich bei der NC Protect Administration-Website an.
3. Wählen Sie im linken Navigationsmenü Allgemein –> Überwachung der Benutzeraktivität aus.
4. Aktivieren Sie das Kontrollkästchen SIEM aktivieren, und klicken Sie auf die Schaltfläche Konfigurieren.
5. Wählen Sie Microsoft Sentinel als Anwendung aus, und schließen Sie die Konfiguration mithilfe der folgenden Informationen ab.
6. Klicken Sie auf Speichern, um die Verbindung zu aktivieren.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Netskope-Warnungen und -Ereignisse

Unterstützt von:Netskope

Netskope-Sicherheitswarnungen und -ereignisse

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
NetskopeAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Netskope-Organisations-URL: Der Netskope-Datenconnector erfordert, dass Sie die URL Ihrer Organisation angeben. Sie können die URL Ihrer Organisation finden, indem Sie sich beim Netskope-Portal anmelden.
• Netskope-API-Schlüssel: Der Netskope-Datenconnector erfordert, dass Sie einen gültigen API-Schlüssel angeben. Sie können eine erstellen, indem Sie die Netskope-Dokumentation befolgen.

Setupanweisungen:

SCHRITT 1: Erstellen eines Netskope-API-Schlüssels.

Anleitungen zu diesem Schritt finden Sie in der Netskope-Dokumentation .

SCHRITT 2 - Geben Sie ihre Netskope-Produktdetails ein

Geben Sie die URL Ihrer Netskope-Organisation & API-Token ein:

• Organisations-URL: (Geben Sie die URL Ihrer Organisation ein)
• API-Schlüssel: (Geben Sie Ihren API-Schlüssel ein) OPTIONAL: Geben Sie den index an, den die API verwendet.

Das Konfigurieren des Indexes ist optional und nur in erweiterten Szenarios erforderlich. Netskope verwendet einen Index zum Abrufen von Ereignissen. In einigen erweiterten Fällen (Nutzung des Ereignisses in mehreren Microsoft Sentinel Arbeitsbereichen oder Voraberwärmung des Indexes, um nur aktuelle Daten abzurufen) möchte ein Kunde möglicherweise die direkte Kontrolle über den Index haben.

• Index: (NetskopeCCF)

SCHRITT 3 : Klicken Sie auf Verbinden.

Vergewissern Sie sich, dass alle oben genannten Felder ordnungsgemäß ausgefüllt wurden. Drücken Sie Verbinden, um Netskope mit Microsoft Sentinel zu verbinden.

• Verbindung aktivieren/deaktivieren

---

Netskope Data Connector

Unterstützt von:Netskope

Der Netskope-Datenconnector bietet die folgenden Funktionen:

1. NetskopeToAzureStorage :

• Rufen Sie die Netskope-Warnungen und Ereignisdaten aus Netskope ab, und erfassen Sie sie in Azure Speicher. 2. StorageToSentinel :
• Rufen Sie die Netskope-Daten für Warnungen und Ereignisse aus Azure Speicher ab, und erfassen Sie sie in der benutzerdefinierten Protokolltabelle im Log Analytics-Arbeitsbereich. 3. WebTxMetrics :
• Rufen Sie die WebTxMetrics-Daten aus Netskope ab, und erfassen Sie sie in der benutzerdefinierten Protokolltabelle im Log Analytics-Arbeitsbereich.

Weitere Informationen zu REST-APIs finden Sie in den folgenden Dokumentationen:

1. Netskope-API-Dokumentation:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure Speicherdokumentation: /azure/storage/common/storage-introduction 3. Dokumentation zur Microsoft-Protokollanalyse: /azure/azure-monitor/logs/log-analytics-overview

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
alertscompromisedcredentialdata_CL	Nein	Nein
alertsctepdata_CL	Nein	Nein
alertsdlpdata_CL	Nein	Nein
alertsmalsitedata_CL	Nein	Nein
alertsmalwaredata_CL	Nein	Nein
alertspolicydata_CL	Nein	Nein
alertsquarantinedata_CL	Nein	Nein
alertsremediationdata_CL	Nein	Nein
alertssecurityassessmentdata_CL	Nein	Nein
alertsubadata_CL	Nein	Nein
eventsapplicationdata_CL	Nein	Nein
eventsauditdata_CL	Nein	Nein
eventsconnectiondata_CL	Nein	Nein
eventsincidentdata_CL	Nein	Nein
eventsnetworkdata_CL	Nein	Nein
eventspagedata_CL	Nein	Nein
Netskope_WebTx_metrics_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in azure active directory() zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Netskope-Mandant und Netskope-API-Token sind erforderlich. Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit den Netskope-APIs herzustellen, um seine Warnungs- und Ereignisdaten in eine benutzerdefinierte Protokolltabelle zu pullen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 2: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung des TriggersSync-Playbooks erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 3: Zuweisen der Rolle "Mitwirkender" zur Anwendung in Microsoft Entra ID

Führen Sie die Schritte in diesem Abschnitt aus, um die Rolle zuzuweisen:

1. Wechseln Sie im Azure-Portal zu Ressourcengruppe, und wählen Sie Ihre Ressourcengruppe aus.
2. Wechseln Sie im linken Bereich zur Zugriffssteuerung (IAM).
3. Klicken Sie auf Hinzufügen, und wählen Sie dann Rollenzuweisung hinzufügen aus.
4. Wählen Sie Mitwirkender als Rolle aus, und klicken Sie auf Weiter.
5. Wählen Sie unter Zugriff zuweisen zu die Option aus User, group, or service principal.
6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den Namen Ihrer App ein, die Sie erstellt haben, und wählen Sie ihn aus.
7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink:/azure/role-based-access-control/role-assignments-portal

SCHRITT 4: Schritte zum Erstellen/Abrufen von Anmeldeinformationen für das Netskope-Konto

Führen Sie die Schritte in diesem Abschnitt aus, um den Netskope-Hostnamen und das Netskope-API-Token zu erstellen/abzurufen:

1. Melden Sie sich bei Ihrem Netskope-Mandanten an, und wechseln Sie auf der linken Navigationsleiste zum Menü Einstellungen.
2. Klicken Sie auf Tools und dann auf REST-API v2.
3. Klicken Sie nun auf die Schaltfläche neues Token. Anschließend werden Tokenname, Ablaufdauer und Endpunkte, von denen Sie Daten abrufen möchten, angefordert.
4. Wenn Sie dies getan haben, klicken Sie auf die Schaltfläche Speichern, wird das Token generiert. Kopieren Sie das Token, und speichern Sie es zur weiteren Verwendung an einem sicheren Ort.

SCHRITT 5: Schritte zum Erstellen der Azure-Funktionen für netskope Alerts and Events Data Collection

WICHTIG: Stellen Sie vor dem Bereitstellen des Netskope-Datenconnectors die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus dem folgenden Beispiel kopiert werden können) sowie die Netskope-API-Autorisierungsschlüssel bereit.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Stellen Sie mithilfe der ARM-Vorlage die Funktions-Apps für die Erfassung von Netskope-Ereignissen und Warnungsdaten in Sentinel bereit.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Informationen ein: Netskope HostName Netskope API Token Wählen Sie ja in der Dropdownliste Warnungen und Ereignistypen für den Endpunkt aus, den Sie warnungen und Ereignisse abrufen möchten.

4. Klicken Sie auf Überprüfen+erstellen.

5. Klicken Sie nach der Überprüfung auf Erstellen , um die Bereitstellung durchzuführen.

---

Netskope Web Transaction Connector (über Blob Storage)

Unterstützt von:Netskope

Der Netskope Web Transaction-Connector erfasst Webtransaktionsprotokolle aus Netskope Log Streaming über Azure Blob Storage mithilfe des Codeless Connector Framework (CCF) in Microsoft Sentinel.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
NetskopeWebTransactions_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Abonnementberechtigungen: Sie benötigen Berechtigungen zum Erstellen der Datenflussressourcen:
• Speicherwarteschlangen (Benachrichtigungswarteschlange und Warteschlange für unzustellbare Nachrichten)
• Event Grid-Thema und -Abonnement (zum Senden von Benachrichtigungen zum "Blob-erstellten Ereignis" an die Benachrichtigungswarteschlange)
• Rollenzuweisungen (um zugriff für Microsoft Sentinel App auf den Blobcontainer und die Speicherwarteschlangen zu gewähren.)
• Netzwerkkonfiguration des Speicherkontos: Netzwerkeinschränkungen (Firewall-/IP-Regeln) für das Azure Blob Storage-Konto werden für diesen Connector aufgrund Azure Einschränkungen und Einschränkungen der Speicherfirewallnicht unterstützt:
• IP-Netzwerkregeln habenkeine Auswirkungenauf Anforderungen, die aus derselben Azure Region wie das Speicherkonto stammen.
• IP-Netzwerkregeln können den Zugriff auf Azure Dienste, die in derselben Region bereitgestellt werden,nicht einschränken, da diese Dienste private Azure IP-Adressen für die Kommunikation verwenden.
• VNET-Dienstendpunktregeln gelten nicht für Clients in einer gekoppelten Region.

Stellen Sie sicher, dass das Blatt Netzwerk des Speicherkontos auf Aktiviert aus allen Netzwerken festgelegt ist.

• Rollenzuweisungen für Speicherkonten: Die folgenden Azure RBAC-Rollen müssen dem Microsoft Sentinel Unternehmensanwendungsdienstprinzipal (siehe unten) für das Speicherkonto zugewiesen werden, das Ihren Blobcontainer enthält:
• Mitwirkender an Storage-Blobdaten – erforderlich zum Lesen von Blobdaten aus dem Container.
• Mitwirkender an Storage-Warteschlangendaten – erforderlich zum Verwalten von Benachrichtigungen und Warteschlangennachrichten für unzustellbare Nachrichten.

Um diese Rollen zuzuweisen: Navigieren Sie zum Speicherkonto → Access Control (IAM) → Rollenzuweisung hinzufügen, suchen Sie nach der unten gezeigten Dienstprinzipal-ID, und weisen Sie beide Rollen zu.

• Sammeln von Daten aus Netskope in Ihren Blobcontainer: Führen Sie die Schritte in der Netskope Log Streaming-Dokumentation aus, um Netskope so zu konfigurieren, dass Webtransaktionsprotokolle an Ihren Azure Blob Storage-Container gestreamt werden.

Setupanweisungen:

Verbinden von Netskope WebTx Logs mit Microsoft Sentinel

Um die Netskope WebTx-Protokolle für Microsoft Sentinel zu aktivieren, geben Sie unten die erforderlichen Informationen ein, und klicken Sie auf Verbinden.

• Die Blobcontainer-URL, aus der Sie Daten sammeln möchten:
• Der Name des Blobordners im Container. Optional.:
• Speicherort des Speicherkontos des Blobcontainers:
• Der Name der Speicherkontoressourcengruppe des Blobcontainers:
• Die Abonnement-ID des Speicherkontos des Blobcontainers:
• Der Event Grid-Themenname des Speicherkontos des Blobcontainers( sofern vorhanden). andernfalls leer lassen.:
• Verbindung aktivieren/deaktivieren

---

Netskope Web Transactions Data Connector

Unterstützt von:Netskope

Der Netskope Web Transactions-Datenconnector bietet die Funktionalität eines Docker-Images, um die Netskope Web Transactions-Daten aus Google Pubsublite zu pullen, die Daten zu verarbeiten und die verarbeiteten Daten in Log Analytics zu erfassen. Als Teil dieses Datenconnectors werden in Log Analytics zwei Tabellen gebildet: eine für Webtransaktionen-Daten und eine für Fehler, die während der Ausführung auftreten.

Weitere Informationen zu Webtransaktionen finden Sie in der folgenden Dokumentation:

1. Netskope Web Transactions-Dokumentation:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
NetskopeWebtxData_CL	Nein	Nein
NetskopeWebtxErrors_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Compute-Berechtigungen: Lese- und Schreibberechtigungen für Azure VMs sind erforderlich. Weitere Informationen finden Sie unter Azure VMs.
• TransactionEvents-Anmeldeinformationen und Berechtigungen: Netskope-Mandant und Netskope-API-Token sind erforderlich. Weitere Informationen finden Sie unter Transaktionsereignisse.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

Setupanweisungen:

HINWEIS: Dieser Connector bietet die Funktionalität zum Erfassen von Netskope Web Transactions-Daten mithilfe eines Docker-Images, das auf einem virtuellen Computer bereitgestellt werden soll (entweder Azure VM/lokaler virtueller Computer). Weitere Informationen finden Sie auf der Seite preise für Azure VM.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Schritte zum Erstellen/Abrufen von Anmeldeinformationen für das Netskope-Konto

Führen Sie die Schritte in diesem Abschnitt aus, um den Netskope-Hostnamen und das Netskope-API-Token zu erstellen/abzurufen:

1. Melden Sie sich bei Ihrem Netskope-Mandanten an, und wechseln Sie auf der linken Navigationsleiste zum Menü Einstellungen.
2. Klicken Sie auf Tools und dann auf REST-API v2.
3. Klicken Sie nun auf die Schaltfläche neues Token. Anschließend werden Tokenname, Ablaufdauer und Endpunkte, von denen Sie Daten abrufen möchten, angefordert.
4. Wenn Sie dies getan haben, klicken Sie auf die Schaltfläche Speichern, wird das Token generiert. Kopieren Sie das Token, und speichern Sie es zur weiteren Verwendung an einem sicheren Ort.

SCHRITT 2: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Docker-basierten Datenconnector bereitzustellen, um Netskope Web Transactions-Daten zu erfassen.

WICHTIG: Stellen Sie vor dem Bereitstellen des Netskope-Datenconnectors die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus dem folgenden Code kopiert werden können) sowie die Autorisierungsschlüssel der Netskope-API bereit [Stellen Sie sicher, dass das Token über Berechtigungen für Transaktionsereignisse verfügt].

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: Verwenden der arm-Vorlage (Azure Resource Manager) zum Bereitstellen eines virtuellen Computers [Empfohlen]

Stellen Sie mithilfe der ARM-Vorlage einen Azure virtuellen Computer bereit, installieren Sie die erforderlichen Komponenten, und starten Sie die Ausführung.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Informationen ein: Docker-Imagename (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions) Netskope HostName Netskope API Token Seek Timestamp (Der Epochenzeitstempel, den Sie suchen möchten, um den Pubsublite-Zeiger zu suchen, kann leer bleiben) Arbeitsbereichs-ID Arbeitsbereich Schlüssel Backoff Wiederholungsanzahl (Die Wiederholungsanzahl für Tokenfehler vor dem Neustart der Ausführung.)
   Backoff-Ruhezustandszeit (Anzahl der Sekunden, die vor dem Erneuten Wiederholen in den Ruhezustand versetzt werden) Leerlauftimeout (Anzahl von Sekunden, die vor dem Neustart der Ausführung auf Webtransaktionen-Daten gewartet werden müssen) VM-Name Authentifizierungstyp Admin Kennwort oder Dns-Schlüsselbezeichnung Präfix Ubuntu-Betriebssystemversion Speicherort VM-Größe Subnetzname Netzwerksicherheitsgruppenname Sicherheitstyp

4. Klicken Sie auf Überprüfen+erstellen.

5. Klicken Sie nach der Überprüfung auf Erstellen , um die Bereitstellung durchzuführen.

Option 2: Manuelle Bereitstellung auf einem zuvor erstellten virtuellen Computer

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Docker-basierten Datenconnector manuell auf einem zuvor erstellten virtuellen Computer bereitzustellen.

1. Installieren von Docker und Pullen des Docker-Images

HINWEIS: Stellen Sie sicher, dass die VM linuxbasiert ist (vorzugsweise Ubuntu).

1. Zunächst müssen Sie eine SSH-Verbindung mit dem virtuellen Computer herstellen.

2. Installieren Sie nun die Docker-Engine.

3. Rufen Sie nun das Docker-Image mithilfe des Befehls "sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions" aus dem Docker-Hub ab.

4. Verwenden Sie nun zum Ausführen des Docker-Images den Befehl "sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions". Sie können mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions durch die Image-ID ersetzen. Hier docker_persistent_volume der Name des Ordners, der auf dem virtuellen Computer erstellt wird, in dem die Dateien gespeichert werden.

5. Konfigurieren der Parameter

6. Sobald das Docker-Image ausgeführt wird, werden die erforderlichen Parameter angefordert.

7. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Werten hinzu (Groß-/Kleinschreibung beachten): Netskope HostName Netskope API Token Seek Timestamp (Der Epochenzeitstempel, den Sie den Pubsublite-Zeiger suchen möchten, kann leer gelassen werden) Arbeitsbereichs-ID Workspace Key Backoff Wiederholungsanzahl (Die Wiederholungsanzahl für tokenbezogene Fehler vor dem Neustart der Ausführung.)
   Backoff-Ruhezustandszeit (Anzahl der Sekunden im Ruhezustand vor dem Erneuten Versuch) Leerlauftimeout (Anzahl von Sekunden, die vor dem Neustart der Ausführung auf Webtransaktionen-Daten gewartet werden sollen)

8. Nun wurde die Ausführung gestartet, befindet sich aber im interaktiven Modus, sodass die Shell nicht beendet werden kann. Um ihn als Hintergrundprozess auszuführen, beenden Sie die aktuelle Ausführung durch Drücken von STRG+C, und verwenden Sie dann den Befehl 'sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.

9. Beenden des Docker-Containers

10. Verwenden Sie den Befehl "sudo docker container ps", um die ausgeführten Docker-Container aufzulisten. Notieren Sie sich Ihre Container-ID.

11. Beenden Sie nun den Container mit dem Befehl "sudo docker stop <container-id>".

---

Netzwerksicherheitsgruppen

Unterstützt von:Microsoft Corporation

Azure Netzwerksicherheitsgruppen (NSG) können Sie den Netzwerkdatenverkehr zu und von Azure Ressourcen in einem Azure virtuellen Netzwerk filtern. Eine Netzwerksicherheitsgruppe enthält Regeln, die Datenverkehr an ein Subnetz, eine Netzwerkschnittstelle oder beides zulassen oder verweigern.

Wenn Sie die Protokollierung für eine NSG aktivieren, können Sie die folgenden Arten von Ressourcenprotokollinformationen erfassen:

• Ereignis: Einträge werden protokolliert, für die NSG-Regeln basierend auf der MAC-Adresse auf VMs angewendet werden.
• Regelzähler: Enthält Einträge dazu, wie oft jede NSG-Regel angewendet wird, um Datenverkehr zu verweigern oder zuzulassen. Die status für diese Regeln werden alle 300 Sekunden gesammelt.

Mit diesem Connector können Sie Ihre NSG-Diagnose Protokolle in Microsoft Sentinel streamen, sodass Sie aktivitäten in allen Instanzen kontinuierlich überwachen können. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
AzureDiagnostics	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

NordPass

Unterstützt von:NordPass

Durch die Integration von NordPass in Microsoft Sentinel SIEM über die API können Sie Aktivitätsprotokolldaten automatisch von NordPass an Microsoft Sentinel übertragen und Einblicke in Echtzeit erhalten, z. B. Elementaktivitäten, alle Anmeldeversuche und Sicherheitsbenachrichtigungen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
NordPassEventLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Stellen Sie sicher, dass die Ressourcengruppe und der Log Analytics-Arbeitsbereich erstellt und sich in derselben Region befinden, damit Sie die Azure Functions bereitstellen können.
• Fügen Sie dem erstellten Log Analytics-Arbeitsbereich Microsoft Sentinel hinzu.
• Generieren Sie eine Microsoft Sentinel-API-URL und ein Token im NordPass Admin Panel, um die integration Azure Functions abzuschließen. Beachten Sie, dass Sie dafür das NordPass Enterprise-Konto benötigen.
• Wichtig: Dieser Connector verwendet Azure Functions, um Aktivitätsprotokolle aus NordPass in Microsoft Sentinel abzurufen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

Setupanweisungen:

So fahren Sie mit dem Microsoft Sentinel-Setup fort

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Beachten Sie, dass das System nach der erfolgreichen Bereitstellung standardmäßig alle 1 Minute Aktivitätsprotokolldaten abruft.

---

Obsidian Datasharing-Connector

Unterstützt von:Obsidian Security

Der Obsidian Datasharing-Connector bietet die Möglichkeit, Ereignisrohdaten aus Obsidian Datasharing in Microsoft Sentinel zu lesen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ObsidianActivity_CL	Nein	Nein
ObsidianThreat_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR). In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Dieser Connector liest Daten aus den Tabellen, die Obsidian Datasharing in einem Microsoft Analytics-Arbeitsbereich verwendet. Wenn die Datenweiterleitungsoption in Obsidian Datasharing aktiviert ist, werden unformatierte Ereignisdaten an die Microsoft Sentinel Erfassungs-API gesendet.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung von Log Analytics-Tabellen und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Pushen Ihrer Protokolle in den Arbeitsbereich

Verwenden Sie die folgenden Parameter, um den Computer so zu konfigurieren, dass die Protokolle an den Arbeitsbereich gesendet werden.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Aktivität Stream Name: <Variablenwert, der zur Installationszeit angegeben wird>
• Threat Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Okta Single Sign-On (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Okta Single Sign-On (SSO)-Datenconnector bietet die Möglichkeit, Überwachungs- und Ereignisprotokolle aus der Okta Sysem Log-API in Microsoft Sentinel zu erfassen. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework und verwendet die Okta-Systemprotokoll-API, um die Ereignisse abzurufen. Der Connector unterstützt DCR-basierte Erfassungszeittransformationen , die die empfangenen Sicherheitsereignisdaten in benutzerdefinierte Spalten analysiert, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OktaSSO	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Okta-API-Token: Ein Okta-API-Token. Befolgen Sie die folgenden Anweisungen , um eine Weitere Informationen zur Okta-Systemprotokoll-API zu erstellen. Weitere Informationen finden Sie in der Dokumentation .

Setupanweisungen:

Um die Okta Single Sign-On für Microsoft Sentinel zu aktivieren, geben Sie unten die erforderlichen Informationen ein, und klicken Sie auf Verbinden.

• Datenconnectors Grid (im Portal konfigurieren)

---

Onapsis Defend: Integrieren sie nicht übereinstimmende SAP-Bedrohungserkennung & Intel mit Microsoft Sentinel

Unterstützt von:Onapsis

Ermöglichen Sie Sicherheitsteams einen umfassenden Einblick in einzigartige Exploit-, Zero-Day- und Bedrohungsakteuraktivitäten. verdächtiges Benutzer- oder Insiderverhalten; Downloads vertraulicher Daten; Verstöße gegen Sicherheitskontrollen; und mehr - alles angereichert von den SAP-Experten von Onapsis.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Onapsis_Defend_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" für Datensammlungsregeln. In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Wir erstellen Ressourcen für Datensammlungsregel (Data Collection Rule, DCR) und Datensammlungsendpunkt (DATA Collection Endpoint, DCE). Außerdem erstellen wir eine Microsoft Entra App-Registrierung und weisen ihr die erforderlichen Berechtigungen zu.

Automatisierte Bereitstellung von Azure Ressourcen Durch Klicken auf "Bereitstellen von Pushconnectorressourcen" wird die Erstellung von DCR- und DCE-Ressourcen ausgelöst. Anschließend wird eine Microsoft Entra App-Registrierung mit geheimem Clientschlüssel erstellt und Berechtigungen für den DCR erteilt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe von OAuth v2-Clientanmeldeinformationen.

2. Verwalten der Details des Datensammlungsendpunkts und der Authentifizierungsinformationen in Onapsis Defend Integration

Geben Sie die Datensammlungsendpunkt-URL und die Authentifizierungsinformationen an den Onapsis Defend Integration-Administrator weiter, um die Onapsis Defend Integration so zu konfigurieren, dass Daten an den Datensammlungsendpunkt gesendet werden.

• Mandanten-ID | Verwenden Sie diesen Wert, um als Mandanten-ID zu konfigurieren: <Variablenwert, der zur Installationszeit angegeben wird.>
• Entra-Anwendungs-ID | Verwenden Sie diesen Wert für die Client-ID: <Variablenwert, der zur Installationszeit angegeben wurde.>
• Entra Anwendungsgeheimnis | Verwenden Sie diesen Wert für den Variablenwert Token: <zur Installationszeit angegeben.>
• LogIngestionURL | Verwenden Sie diesen Wert für den URL-Parameter: Variablenwert, der zur Installationszeit angegeben wurde. <>
• DCR-Unveränderliche ID | Verwenden Sie diesen Wert für den parameter DCR_ID: <Variablenwert, der zur Installationszeit angegeben wurde.>

---

OneLogin IAM Platform (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der OneLogin-Datenconnector bietet die Möglichkeit, allgemeine OneLogin IAM Platform-Ereignisse über die REST-API mithilfe der OneLogin-Ereignis-API und der OneLogin-Benutzer-API in Microsoft Sentinel zu erfassen. Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OneLoginEventsV2_CL	Ja	Ja
OneLoginUsersV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• OneLogin IAM-API-Anmeldeinformationen: Klicken Sie hier, um API-Anmeldeinformationen zu erstellen. Stellen Sie sicher, dass Sie den Kontotyp Kontobesitzer oder Administrator haben, um die API-Anmeldeinformationen zu erstellen. Nachdem Sie die API-Anmeldeinformationen erstellt haben, erhalten Sie Ihre Client-ID und Ihren geheimen Clientschlüssel.

Setupanweisungen:

Verbinden von OneLogin IAM Platform mit Microsoft Sentinel

Um Daten aus OneLogin IAM in Microsoft Sentinel zu erfassen, müssen Sie unten auf die Schaltfläche Domäne hinzufügen klicken. Anschließend wird ein Popupfenster angezeigt, um die Details auszufüllen, die erforderlichen Informationen anzugeben und auf Verbinden zu klicken. Die im Raster verbundenen Domänenendpunkte werden angezeigt.

• Datenconnectors Grid (im Portal konfigurieren)

---

OneTrust

Unterstützt von:OneTrust, LLC

Der OneTrust-Connector für Microsoft Sentinel bietet die Möglichkeit, nahezu in Echtzeit einblicke zu erhalten, wo sich vertrauliche Daten in Google Cloud und anderen von OneTrust unterstützten Datenquellen befinden oder wiederhergestellt wurden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OneTrustMetadataV3_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR). In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Dieser Connector liest Daten aus den Tabellen, die OneTrust in einem Microsoft Analytics-Arbeitsbereich verwendet. Wenn die Datenweiterleitungsoption von OneTrust aktiviert ist, können unformatierte Ereignisdaten an die Microsoft Sentinel Erfassungs-API gesendet werden.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung von Log Analytics-Tabellen und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Pushen Ihrer Protokolle in den Arbeitsbereich

Verwenden Sie die folgenden Parameter, um den Computer so zu konfigurieren, dass die Protokolle an den Arbeitsbereich gesendet werden.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• OneTrust Metadata Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Open Systems Data Connector

Unterstützt von:Open Systems

Die Open Systems Logs API Microsoft Sentinel Connector bietet die Möglichkeit, Open Systems-Protokolle mithilfe der Open Systems-Protokoll-API in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OpenSystemsZtnaLogs_CL	Ja	Ja
OpenSystemsFirewallLogs_CL	Nein	Nein
OpenSystemsAuthenticationLogs_CL	Nein	Nein
OpenSystemsProxyLogs_CL	Nein	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure Container-Apps, DCRs und DCEs: Berechtigungen zum Bereitstellen von Azure Container-Apps, verwalteten Umgebungen, Datensammlungsregeln (Data Collection Rules, DCRs) und Datensammlungsendpunkten (Data Collection Endpoints, DCEs) sind erforderlich. Dies wird in der Regel durch die Rolle "Mitwirkender" für das Abonnement oder die Ressourcengruppe abgedeckt.
• Rollenzuweisungsberechtigungen: Berechtigungen zum Erstellen von Rollenzuweisungen (insbesondere "Monitoring Metrics Publisher" auf DCRs) sind für den bereitstellenden Benutzer oder Dienstprinzipal erforderlich.
• Erforderliche Anmeldeinformationen für arm-Vorlage: Während der Bereitstellung müssen Sie Folgendes angeben: Open Systems Logs API-Endpunkt und Verbindungszeichenfolge sowie Anmeldeinformationen für den Dienstprinzipal (Client-ID, geheimer Clientschlüssel, Objekt-/Prinzipal-ID).
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Benutzerdefinierte Voraussetzungen, falls erforderlich, andernfalls dieses Zolltag löschen: Beschreibung für alle benutzerdefinierten Voraussetzungen

Setupanweisungen:

SCHRITT 1: Voraussetzungen

Stellen Sie sicher, dass Sie über die folgenden Informationen und Berechtigungen verfügen, bevor Sie fortfahren:

1. Öffnen Sie den API-Endpunkt und die Verbindungszeichenfolge für Systemprotokolle.
2. Anmeldeinformationen des Dienstprinzipals (Client-ID, geheimer Clientschlüssel, Objekt-/Prinzipal-ID).
3. Berechtigungen zum Bereitstellen von Azure Container-Apps, verwalteten Umgebungen, Datensammlungsregeln (Data Collection Rules, DCRs), Datensammlungsendpunkten (DATA Collection Endpoints, DCEs) und Zum Erstellen von Rollenzuweisungen (in der Regel rolle "Mitwirkender" für das Abonnement oder die Ressourcengruppe).

SCHRITT 2: Bereitstellen des Connectors

Stellen Sie die ARM-Vorlage bereit, um die Datenverarbeitungsressourcen einzurichten, einschließlich der Datensammlungsregel und der zugehörigen Komponenten.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen. Dadurch gelangen Sie zum Azure-Portal.

   aka.ms

2. Wählen Sie im Azure-Portal Das gewünschte Abonnement, die Ressourcengruppe und die Gewünschte Region aus.

3. Geben Sie die erforderlichen Parameter an, einschließlich der parameter, die im Schritt "Voraussetzungen" erfasst wurden (Api-Details zum Öffnen von Systemprotokollen, Anmeldeinformationen für Dienstprinzipal usw.), wenn Sie vom Bereitstellungs-Assistenten dazu aufgefordert werden.

4. Überprüfen Sie die Bedingungen, und klicken Sie auf Überprüfen + erstellen und dann auf Erstellen , um die Bereitstellung zu starten.

SCHRITT 3: Überprüfung nach der Bereitstellung

Nach erfolgreicher Bereitstellung:

1. Vergewissern Sie sich, dass sich die Azure Container-App, auf der der Prozessor ausgeführt wird, im Zustand "Wird ausgeführt" befindet.
2. Überprüfen Sie die OpenSystemsZtnaLogs_CLTabellen , OpenSystemsFirewallLogs_CL, OpenSystemsAuthenticationLogs_CLund OpenSystemsProxyLogs_CL in Ihrem Log Analytics-Arbeitsbereich auf eingehende Daten. Es kann einige Zeit dauern, bis Protokolle nach der ersten Einrichtung angezeigt werden.
3. Verwenden Sie die Beispielabfragen auf der Registerkarte "Nächste Schritte" dieser Datenconnectorseite, um Ihre Protokolle anzuzeigen und zu analysieren.

---

OpenAI (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit dem OpenAI-Datenconnector können Sie Überwachungsprotokolle, Chatabschlussdaten oder beides aus Ihrem OpenAI-organization über die OpenAI-API in Microsoft Sentinel erfassen. Jeder Datentyp verwendet einen separaten REST-API-Poller und erfordert einen anderen API-Schlüsseltyp: Überwachungsprotokolle (Benutzeraktionen, API-Schlüsselverwaltung, organization Änderungen, Sicherheitsereignisse) erfordern einen organization Administrator-API-Schlüssel, während Chatvervollständigungen (Modellnutzung, Tokennutzung, Leistungsmetriken) einen API-Schlüssel auf Projektebene erfordern. Sie können einen oder beide Datentypen unabhängig voneinander konfigurieren. Überwachungsprotokolle werden in der benutzerdefinierten OpenAIAuditLogs_CL-Tabelle (alias vom OpenAIAuditLogs-Parser) gesammelt. Chatvervollständigungen werden zur Sicherheitsüberwachung, Konformitätsanalyse und Nutzungsüberwachung in die ASIM-Standardtabelle ASimAgentEventLogs (alias vom OpenAIChatCompletions-Parser) normalisiert. Weitere Informationen finden Sie in der OpenAI-API-Dokumentation .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OpenAIAuditLogs	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• OpenAI-API-Zugriff: Jeder Datentyp erfordert einen anderen API-Schlüsseltyp. Für Überwachungsprotokolle ist ein Administrator-API-Schlüssel auf organization Ebene erforderlich. Diese können in Ihren OpenAI-organization-Einstellungen erstellt werden. Für Chatvervollständigungen ist ein API-Schlüssel auf Projektebene erforderlich. Diese können unter einem bestimmten Projekt im OpenAI-Dashboard erstellt werden. Sie können Überwachungsprotokolle, Chatvervollständigungen oder beides unabhängig voneinander konfigurieren.

Setupanweisungen:

Verbindungsinformationen

Details zu den Verbindungen, die zum Sammeln von Daten aus der OpenAI-API verwendet werden.

• Überwachungsprotokolle (OpenAIAuditLogs):
• Verwenden Sie organization Administrator-API-Schlüssel.
• Die Überwachungsprotokollierung muss in Ihren OpenAI-organization-Einstellungen aktiviert sein. Organisationsbesitzer können zu OpenAI wechselnOrganization settings>>Data controlsData retention, um die Überwachungsprotokollierung zu aktivieren.
• Sobald die OpenAI-Überwachungsprotokollierung aktiviert ist, kann sie nicht deaktiviert werden, ohne sich an den OpenAI-Support zu wenden.
• Chat-Vervollständigungen (ASimAgentEventLogs):
• Verwenden Sie API-Schlüssel auf Projektebene.
• Nur Chat-Vervollständigungen, die mit dem store auf true festgelegten Parameter erstellt wurden, werden erfasst.
• Chat-Vervollständigungen werden in die ASIM-Standardtabelle ASimAgentEventLogs normalisiert.
• Wenn Sie gespeicherte Chatvervollständigungen löschen, während dieser Connector aktiv ist, müssen Sie möglicherweise die Verbindung trennen und die Verbindung wiederherstellen, um den Status der Datensammlung zurückzusetzen.

Hinzufügen einer OpenAI-Überwachungsprotokollverbindung

Geben Sie Ihre OpenAI-API-Anmeldeinformationen ein, um Überwachungsprotokolldaten von der OpenAI-API zu sammeln.

Hinzufügen einer OpenAI-Chat-Vervollständigungsverbindung

Geben Sie Ihre OpenAI-API-Anmeldeinformationen ein, um Chatabschlussdaten aus der OpenAI-API zu sammeln.

• Datenconnectors Grid (im Portal konfigurieren)

---

Oracle Cloud Infrastructure (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Oracle Cloud Infrastructure(OCI)-Datenconnector bietet die Möglichkeit, OCI-Protokolle aus OCI-Stream mithilfe der OCI Streaming-REST-API in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OCI_LogsV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• OCI-Streaming-API-Zugriff: Zugriff auf die OCI-Streaming-API über api-Signaturschlüssel ist erforderlich.

Setupanweisungen:

Stellen Sie eine Verbindung mit der OCI-Streaming-API her, um mit dem Sammeln von Ereignisprotokollen in Microsoft Sentinel

1. Melden Sie sich bei der OCI-Konsole an, und greifen Sie auf das Navigationsmenü zu.
2. Navigieren Sie im Navigationsmenü zu "Analytics & KI" -> "Streaming".
3. Klicken Sie auf "Stream erstellen".
4. Wählen Sie einen vorhandenen "Stream Pool" aus, oder erstellen Sie einen neuen Pool.
5. Geben Sie die folgenden Details ein:
   • "Stream Name"
   • "Aufbewahrung"
   • "Anzahl der Partitionen"
   • "Gesamtschreibrate"
   • "Gesamtleserate" (basierend auf Ihrem Datenvolumen)
6. Wechseln Sie im Navigationsmenü zu "Protokollierung" –> "Dienstconnectors".
7. Klicken Sie auf "Dienstconnector erstellen".
8. Geben Sie die folgenden Details ein:
   • "Connectorname"
   • „Beschreibung“
   • "Ressourcendepot"
9. Wählen Sie die "Quelle": "Protokollierung" aus.
10. Wählen Sie "Ziel": "Streaming" aus.
11. (Optional) Konfigurieren Sie "Protokollgruppe", "Filter", oder verwenden Sie eine "benutzerdefinierte Suchabfrage", um nur die erforderlichen Protokolle zu streamen.
12. Konfigurieren Sie das "Ziel", indem Sie den zuvor erstellten Stream auswählen.
13. Klicken Sie auf "Erstellen".
14. Befolgen Sie die Dokumentation, um einen privaten Schlüssel und eine API-Schlüsselkonfigurationsdatei zu erstellen. Speichern Sie die Pem-Datei, übergeben Sie den Ausdruck (optional, sie ist nicht festgelegt, wenn Sie die OCI-Konsole verwenden, um das API-Signaturschlüsselpaar zu generieren) und den Fingerabdruck an einem sicheren Ort für die Verwendung beim Herstellen einer Verbindung.

• Datenconnectors Grid (im Portal konfigurieren)

---

Orca-Sicherheitswarnungen

Unterstützt von:Orca Security

Mit dem Orca-Connector für Sicherheitswarnungen können Sie Warnungsprotokolle problemlos in Microsoft Sentinel exportieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
OrcaAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Befolgen Sie die Anleitung zum Integrieren von Orca-Sicherheitswarnungsprotokollen in Microsoft Sentinel.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Palo Alto Cortex XDR

Unterstützt von:Microsoft Corporation

Der Palo Alto Cortex XDR-Datenconnector ermöglicht das Erfassen von Protokollen aus der Palo Alto Cortex XDR-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die Palo Alto Cortex-XDR-API zum Abrufen von Protokollen und unterstützt DCR-basierte Erfassungszeittransformationen , die die empfangenen Sicherheitsdaten in einer benutzerdefinierten Tabelle analysiert, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
PaloAltoCortexXDR_Incidents_CL	Ja	Ja
PaloAltoCortexXDR_Endpoints_CL	Ja	Ja
PaloAltoCortexXDR_Audit_Management_CL	Ja	Ja
PaloAltoCortexXDR_Audit_Agent_CL	Ja	Ja
PaloAltoCortexXDR_Alerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Konfigurationsschritte für die Palo Alto Cortex-XDR-API Befolgen Sie die Anweisungen zum Abrufen der Anmeldeinformationen. Sie können auch dieser Anleitung folgen, um einen API-Schlüssel zu generieren.

1. Rufen Sie die API-URL 1.1 ab. Melden Sie sich bei Palo Alto Cortex XDR [Management Console] mit Admin Benutzeranmeldeinformationen 1.2 an. Klicken Sie in der [Management Console] auf [Einstellungen] -> [Konfigurationen] 1.3. Klicken Sie unter [Integrationen] auf [API-Schlüssel]. 1.4. Klicken Sie auf der Seite [Einstellungen] in der oberen rechten Ecke auf [API-URL kopieren].

2. Api-Token 2.1 abrufen. Melden Sie sich bei Palo Alto Cortex XDR [Management Console] mit Admin Benutzeranmeldeinformationen 2.2 an. Klicken Sie in der [Management Console] auf [Einstellungen] -> [Konfigurationen] 2.3. Klicken Sie unter [Integrationen] auf [API-Schlüssel]. 2.4. Klicken Sie auf der Seite [Einstellungen] in der oberen rechten Ecke auf [Neuer Schlüssel]. 2.5. Wählen Sie Sicherheitsstufe und Rolle aus, wählen Sie Standard aus, und klicken Sie auf [Generieren] 2.6. Kopieren Sie das API-Token, nachdem die [API-Token-ID] generiert wurde, finden Sie in der Spalte ID.

• Basis-API-URL: (https://api-example.xdr.au.paloaltonetworks.com)
• API-Schlüssel-ID: (API-ID)
• API-Token: (API-Token)
• Verbindung aktivieren/deaktivieren

---

Palo Alto Cortex Xpanse (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Palo Alto Cortex Xpanse-Datenconnector erfasst Warnungsdaten in Microsoft Sentinel.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CortexXpanseAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden Sie Palo Alto Xpanse mit Microsoft Sentinel

Um Daten aus Palo Alto Cortex Xpanse in Microsoft Sentinel zu erfassen, klicken Sie auf Domäne hinzufügen. Geben Sie die erforderlichen Details in das Popupfenster ein, und klicken Sie auf Verbinden. Im folgenden Raster werden endpunkte der verbundenen Domäne angezeigt. Um die Authentifizierungs-ID und den API-Schlüssel abzurufen, wechseln Sie im Cortex Xpanse-Portal zu Einstellungen → Konfiguration → Integrationen → API-Schlüssel, und generieren Sie neue Anmeldeinformationen.

• Datenconnectors Grid (im Portal konfigurieren)

---

Palo Alto Prisma Cloud CSPM (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit dem Palo Alto Prisma Cloud CSPM-Datenconnector können Sie eine Verbindung mit Ihrem Palo Alto Prisma Cloud CSPM-instance herstellen und Warnungen (https://pan.dev/prisma-cloud/api/cspm/alerts/) & Überwachungsprotokolle(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) in Microsoft Sentinel erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
PaloAltoPrismaCloudAlertV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden von Palo Alto Prisma Cloud CSPM-Ereignissen mit Microsoft Sentinel

Weitere Informationen zum Abrufen des Prisma Cloud-Zugriffsschlüssels, des geheimen Schlüssels und der Basis-URL finden Sie imConnectortutorial, geben Sie unten die erforderlichen Informationen ein, und klicken Sie auf Verbinden.

• Prisma Cloud-Zugriffsschlüssel: (Zugriffsschlüssel eingeben)
• Geheimer Prisma-Cloudschlüssel: (Geheimer Schlüssel eingeben)
• Prisma Cloud-Basis-URL: (https://api2.eu.prismacloud.io)
• Verbindung aktivieren/deaktivieren
• Datenconnectors Grid (im Portal konfigurieren)

---

Palo Alto Prisma Cloud CWPP (mit REST-API)

Unterstützt von:Microsoft Corporation

Mit dem Palo Alto Prisma Cloud CWPP-Datenconnector können Sie eine Verbindung mit Ihrem Palo Alto Prisma Cloud CWPP-instance herstellen und Warnungen in Microsoft Sentinel erfassen. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework und verwendet die Prisma Cloud-API zum Abrufen von Sicherheitsereignissen und unterstützt DCR-basierte Erfassungszeittransformationen, die die empfangenen Sicherheitsereignisdaten in benutzerdefinierte Spalten analysiert, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
PrismaCloudCompute_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• PrismaCloudCompute-API-Schlüssel: Der Benutzername und das Kennwort der Palo Alto Prisma Cloud CWPP Monitor-API sind erforderlich. Weitere Informationen finden Sie unter PrismaCloudCompute SIEM API.

Setupanweisungen:

Verbinden von Palo Alto Prisma Cloud CWPP-Sicherheitsereignissen mit Microsoft Sentinel

Um die Palo Alto Prisma Cloud CWPP-Sicherheitsereignisse für Microsoft Sentinel zu aktivieren, geben Sie unten die erforderlichen Informationen ein, und klicken Sie auf Verbinden.

• Pfad zur Konsole: (europe-west3.cloud.twistlock.com/{sasid})
• Prisma-Zugriffsschlüssel (API):(Prisma-Zugriffsschlüssel (API))
• Geheimnis: (Geheimnis)
• Verbindung aktivieren/deaktivieren

---

Pathlock Inc.: Bedrohungserkennung und -reaktion für SAP

Unterstützt von:Pathlock Inc.

Die Integration von Pathlock Threat Detection and Response (TD&R) mit Microsoft Sentinel Solution for SAP bietet einen einheitlichen Einblick in SAP-Sicherheitsereignisse in Echtzeit, sodass Organisationen Bedrohungen in allen SAP-Landschaften erkennen und darauf reagieren können. Diese sofort einsatzbereite Integration ermöglicht es Security Operations Centers (SOCs), SAP-spezifische Warnungen mit unternehmensweiten Telemetriedaten zu korrelieren, wodurch umsetzbare Informationen erstellt werden, die IT-Sicherheit mit Geschäftsprozessen verbinden.

Der Connector von Pathlock wurde speziell für SAP entwickelt und leitet standardmäßig nur sicherheitsrelevante Ereignisse weiter, wodurch das Datenvolumen und -rauschen minimiert wird und gleichzeitig die Flexibilität beibehalten wird, alle Protokollquellen bei Bedarf weiterzuleiten. Jedes Ereignis ist mit dem Geschäftsprozesskontext angereichert, sodass Microsoft Sentinel Lösung für SAP-Analysen betriebsbezogene Muster von realen Bedrohungen unterscheiden und das wirklich Wichtige priorisieren kann.

Dieser präzise Ansatz hilft Sicherheitsteams dabei, falsch positive Ergebnisse drastisch zu reduzieren, Untersuchungen zu fokussieren und die mittlere Zeit bis zur Erkennung (Mean Time to Detect, MTTD) und die mittlere Antwortzeit (Mean Time to Respond, MTTR) zu beschleunigen. Die Pathlock-Bibliothek besteht aus mehr als 1.500 SAP-spezifischen Erkennungssignaturen in mehr als 70 Protokollquellen. Die Lösung deckt komplexe Angriffsverhalten, Konfigurationsschwächen und Zugriffsanomalien auf.

Durch die Kombination von Geschäftskontextintelligenz mit erweiterten Analysen ermöglicht Pathlock Unternehmen, die Erkennungsgenauigkeit zu verbessern, Reaktionsaktionen zu optimieren und die kontinuierliche Kontrolle über ihre SAP-Umgebungen hinweg aufrechtzuerhalten – ohne komplexitäts- oder redundante Überwachungsebenen zu erhöhen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ABAPAuditLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" für Datensammlungsregeln. In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Wir erstellen Ressourcen für Datensammlungsregel (Data Collection Rule, DCR) und Datensammlungsendpunkt (DATA Collection Endpoint, DCE). Außerdem erstellen wir eine Microsoft Entra App-Registrierung und weisen ihr die erforderlichen Berechtigungen zu.

Automatisierte Bereitstellung von Azure Ressourcen Durch Klicken auf "Bereitstellen von Pushconnectorressourcen" wird die Erstellung von DCR- und DCE-Ressourcen ausgelöst. Anschließend wird eine Microsoft Entra App-Registrierung mit geheimem Clientschlüssel erstellt und Berechtigungen für den DCR erteilt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe von OAuth v2-Clientanmeldeinformationen.

2. Verwalten Sie die Details des Datensammlungsendpunkts und die Authentifizierungsinformationen in Ihrer zentralen instance von Pathlocks Cybersicherheitsanwendungssteuerungen: Bedrohungserkennung und -reaktion

Geben Sie die Datensammlungsendpunkt-URL und die Authentifizierungsinformationen für den Pathlock-Administrator frei, um die Plug-and-Play-Weiterleitung in Bedrohungserkennung und Reaktion so zu konfigurieren, dass Daten an den Datensammlungsendpunkt gesendet werden. Bitte zögern Sie nicht, Pathlock zu kontaktieren, wenn Support benötigt wird.

• Verwenden Sie diesen Wert, um als Mandanten-ID in der LogIngestionAPI-Anmeldeinformation zu konfigurieren.<>
• Entra Anwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra Anwendungsgeheimnis: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Verwenden Sie diesen Wert, um den Parameter LogsIngestionURL zu konfigurieren, wenn Sie den bei der Installation angegebenen Variablenwert IFlow.: <bereitstellen.>
• DCR-Unveränderliche ID: <Variablenwert, der zur Installationszeit angegeben wird>

---

Perimeter 81-Aktivitätsprotokolle

Unterstützt von:Perimeter 81

Mit dem Perimeter 81-Aktivitätsprotokollconnector können Sie Ihre Perimeter 81-Aktivitätsprotokolle ganz einfach mit Microsoft Sentinel verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Perimeter81_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Beachten Sie die folgenden Werte, und befolgen Sie die hier beschriebenen Anweisungen, um Ihre Perimeter 81-Aktivitätsprotokolle mit Microsoft Sentinel zu verbinden.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Phosphor-Geräte

Unterstützt von:Phosphorus Inc.

Der Phosphorus Device Connector bietet phosphorus die Möglichkeit, Gerätedatenprotokolle über die Phosphor-REST-API in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in die Geräte, die bei Phosphorus registriert sind. Dieser Datenconnector ruft Geräteinformationen zusammen mit den entsprechenden Warnungen ab.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Phosphorus_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• REST-API-Anmeldeinformationen/-berechtigungen: Der Phosphorus-API-Schlüssel ist erforderlich. Stellen Sie sicher, dass für den API-Schlüssel, der dem Benutzer zugeordnet ist, die Berechtigungen Einstellungen verwalten aktiviert sind.

Befolgen Sie diese Anweisungen, um Die Berechtigungen "Einstellungen verwalten" zu aktivieren.

1. Melden Sie sich bei der Phosphoranwendung an.
2. Wechseln Sie zu "Einstellungen" –> "Gruppen".
3. Wählen Sie die Gruppe aus, der der Integrationsbenutzer angehört.
4. Navigieren Sie zu "Produktaktionen"> . Aktivieren Sie die Berechtigung "Einstellungen verwalten".

Setupanweisungen:

SCHRITT 1: Konfigurationsschritte für die Phosphor-API

Befolgen Sie diese Anweisungen, um einen Phosphorus-API-Schlüssel zu erstellen.

1. Melden Sie sich bei Ihrem Phosphor-instance an.
2. Navigieren Sie zu Einstellungen –> API.
3. Wenn der API-Schlüssel noch nicht erstellt wurde, drücken Sie die Schaltfläche Hinzufügen , um den API-Schlüssel zu erstellen.
4. Der API-Schlüssel kann jetzt kopiert und während der Konfiguration des Phosphorus Device-Connectors verwendet werden.

Verbinden der Phosphoranwendung mit Microsoft Sentinel

SCHRITT 2 - Geben Sie die details unten ein

WICHTIG: Stellen Sie vor der Bereitstellung des Datenconnectors für Phosphorus-Geräte den Domänennamen der Phosphorinstanz sowie die Phosphor-API-Schlüssel bereit.

---

Ping One (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Dieser Connector erfasst Überwachungsaktivitätsprotokolle von der PingOne Identity Platform in Microsoft Sentinel mithilfe eines Codeless Connector Frameworks.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
PingOne_AuditActivitiesV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden des Ping One-Connectors mit Microsoft Sentinel

Stellen Sie vor dem Herstellen einer Verbindung mit PingOne sicher, dass die folgenden Voraussetzungen erfüllt sind. Ausführliche Anweisungen zum Einrichten finden Sie im Dokument , einschließlich des Abrufens von Clientanmeldeinformationen und der Umgebungs-ID.

1. Clientanmeldeinformationen Sie benötigen Clientanmeldeinformationen, einschließlich Ihrer Client-ID und Ihres geheimen Clientschlüssels.

2. Umgebungs-ID
   So generieren Sie Token und sammeln Protokolle vom Endpunkt für Überwachungsaktivitäten

• Datenconnectors Grid (im Portal konfigurieren)

---

Prancer Data Connector

Unterstützt von:Prancer PenSuiteAI Integration

Der Prancer Data Connector bietet die Möglichkeit, Prancer(CSPM)[https://docs.prancer.io/web/CSPM/] und PAC-Daten zu erfassen, die über Microsoft Sentinel verarbeitet werden. Weitere Informationen finden Sie in der Prancer-Dokumentation .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
prancer_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Benutzerdefinierte Voraussetzungen einschließen, wenn die Konnektivität erforderlich ist – andernfalls Zoll löschen: Beschreibung für alle benutzerdefinierten Voraussetzungen

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Prancer-REST-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

SCHRITT 1: Befolgen Sie die Dokumentation auf der Prancer-Dokumentationswebsite , um eine Überprüfung mit einem Azure-Cloudconnector einzurichten.

SCHRITT 2: Nachdem die Überprüfung erstellt wurde, wechseln Sie zum Menü "Integrationen dritter Teil" für die Überprüfung, und wählen Sie Sentinel aus.

SCHRITT 3: Erstellen Folgen Sie dem Konfigurations-Assistenten, um auszuwählen, wohin in Azure die Ergebnisse gesendet werden sollen.

SCHRITT 4: Daten sollten zur Verarbeitung in Microsoft Sentinel eingespeist werden.

---

Premium-Microsoft Defender Threat Intelligence

Unterstützt von:Microsoft Corporation

Microsoft Sentinel bietet Ihnen die Möglichkeit, von Microsoft generierte Threat Intelligence zu importieren, um Überwachung, Warnungen und Hunting zu ermöglichen. Verwenden Sie diesen Datenconnector, um Gefährdungsindikatoren (Indicators of Compromise, IOCs) aus Premium Microsoft Defender Threat Intelligence (MDTI) in Microsoft Sentinel zu importieren. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs und Dateihashes usw. enthalten. Hinweis: Dies ist ein kostenpflichtiger Connector. Um Daten daraus zu verwenden und zu erfassen, erwerben Sie die SKU "MDTI API Access" im Partner Center.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Proofpoint On Demand Email Security (über Codeless Connector Framework)

Unterstützt von:Proofpoint, Inc.

Proofpoint On Demand Email Security-Datenconnector bietet die Möglichkeit, Proofpoint on Demand Email Protection-Daten abzurufen. Benutzer können die Nachverfolgbarkeit von Nachrichten überprüfen, E-Mail-Aktivitäten, Bedrohungen und Datenexfiltration durch Angreifer und böswillige Insider überwachen. Der Connector bietet die Möglichkeit, Ereignisse in Ihrer Organisation beschleunigt zu überprüfen und Ereignisprotokolldateien in Stündlichschritten für aktuelle Aktivitäten abzurufen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ProofpointPODMailLog_CL	Ja	Ja
ProofpointPODMessage_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Websocket-API-Anmeldeinformationen/-berechtigungen: ProofpointClusterID und ProofpointToken sind erforderlich. Weitere Informationen finden Sie unter API.

Setupanweisungen:

Konfigurationsschritte für die Proofpoint-POD-Websocket-API

Die PoD-Protokoll-API lässt die Verwendung desselben Tokens für mehrere Sitzungen gleichzeitig nicht zu. Stellen Sie daher sicher, dass Ihr Token nirgendwo verwendet wird.

Der Proofpoint Websocket-API-Dienst erfordert eine Remote-Syslog-Weiterleitungslizenz. Informationen zum Aktivieren und Überprüfen der PoD-Protokoll-API finden Sie in der Dokumentation . Sie müssen Ihre Cluster-ID und Ihr Sicherheitstoken angeben.

1. Rufen Sie die Cluster-ID 1.1 ab. Melden Sie sich beim Proofpoint [Management Console] mit Admin Benutzeranmeldeinformationen an.

   1.2. In der Verwaltungskonsole wird die Cluster-ID in der oberen rechten Ecke angezeigt.

2. Rufen Sie das API-Token 2.1 ab. Melden Sie sich beim Proofpoint [Management Console] mit Admin Benutzeranmeldeinformationen an.

2.2. Klicken Sie in der Verwaltungskonsole auf Einstellungen –> API-Schlüsselverwaltung.

2.3. Klicken Sie unter API Key Management auf die Registerkarte PoD-Protokollierung.

2.4. Rufen Sie einen neuen API-Schlüssel ab, oder erstellen Sie einen neuen API-Schlüssel.

• Cluster-ID: (cluster_id)
• API-Schlüssel: (API-Schlüssel)
• Verbindung aktivieren/deaktivieren

---

Proofpoint On Demand Email Security (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Proofpoint On Demand Email Security-Datenconnector bietet die Möglichkeit, Proofpoint on Demand Email Protection-Daten abzurufen. Benutzer können die Nachverfolgbarkeit von Nachrichten überprüfen, E-Mail-Aktivitäten, Bedrohungen und Datenexfiltration durch Angreifer und böswillige Insider überwachen. Der Connector bietet die Möglichkeit, Ereignisse in Ihrer Organisation beschleunigt zu überprüfen und Ereignisprotokolldateien in Stündlichschritten für aktuelle Aktivitäten abzurufen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ProofpointPODMailLog_CL	Ja	Ja
ProofpointPODMessage_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Websocket-API-Anmeldeinformationen/-berechtigungen: ProofpointClusterID und ProofpointToken sind erforderlich. Weitere Informationen finden Sie unter API.

Setupanweisungen:

Konfigurationsschritte für die Proofpoint-POD-Websocket-API

Die PoD-Protokoll-API lässt die Verwendung desselben Tokens für mehrere Sitzungen gleichzeitig nicht zu. Stellen Sie daher sicher, dass Ihr Token nirgendwo verwendet wird.

Der Proofpoint Websocket-API-Dienst erfordert eine Remote-Syslog-Weiterleitungslizenz. Informationen zum Aktivieren und Überprüfen der PoD-Protokoll-API finden Sie in der Dokumentation . Sie müssen Ihre Cluster-ID und Ihr Sicherheitstoken angeben.

1. Rufen Sie die Cluster-ID 1.1 ab. Melden Sie sich beim Proofpoint [Management Console] mit Admin Benutzeranmeldeinformationen an.

   1.2. In der Verwaltungskonsole wird die Cluster-ID in der oberen rechten Ecke angezeigt.

2. Rufen Sie das API-Token 2.1 ab. Melden Sie sich beim Proofpoint [Management Console] mit Admin Benutzeranmeldeinformationen an.

2.2. Klicken Sie in der Verwaltungskonsole auf Einstellungen –> API-Schlüsselverwaltung.

2.3. Klicken Sie unter API Key Management auf die Registerkarte PoD-Protokollierung.

2.4. Rufen Sie einen neuen API-Schlüssel ab, oder erstellen Sie einen neuen API-Schlüssel.

• Cluster-ID: (cluster_id)
• API-Schlüssel: (API-Schlüssel)
• Verbindung aktivieren/deaktivieren

---

Proofpoint TAP (über Codeless Connector Framework)

Unterstützt von:Proofpoint, Inc.

Der Proofpoint Targeted Attack Protection (TAP)-Connector bietet die Möglichkeit, Proofpoint TAP-Protokolle und -Ereignisse in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in Nachrichten- und Klickereignisse in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Überwachungs- und Untersuchungsfunktionen zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ProofPointTAPMessagesDeliveredV2_CL	Ja	Ja
ProofPointTAPMessagesBlockedV2_CL	Ja	Ja
ProofPointTAPClicksPermittedV2_CL	Ja	Ja
ProofPointTAPClicksBlockedV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Proofpoint TAP-API-Schlüssel: Für den Zugriff auf die SIEM-API von Proofpoint sind ein Proofpoint TAP-API-Dienstprinzipal und -geheimnis erforderlich. Weitere Informationen finden Sie unter Proofpoint SIEM-API.

Setupanweisungen:

Konfigurationsschritte für die Proofpoint-TAP-API

1. Melden Sie sich beim Proofpoint TAP-Dashboard an.
2. Navigieren Sie zu Einstellungen, und wechseln Sie zur Registerkarte Verbundene Anwendungen .
3. Klicken Sie auf Create New Credential (Neue Anmeldeinformationen erstellen).
4. Geben Sie einen Namen an, und klicken Sie auf Generieren.
5. Kopieren von Dienstprinzipal- und Geheimniswerten

HINWEIS: Dieser Connector ist von einem Parser abhängig, der auf der Kusto-Funktion basiert und wie erwartet funktioniert ProofpointTAPEvent, das mit der Microsoft Sentinel Solution bereitgestellt wird.

• Dienstprinzipal: (123456)
• Geheimnis: (123456)
• Verbindung aktivieren/deaktivieren

---

Proofpoint TAP (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Proofpoint Targeted Attack Protection (TAP)-Connector bietet die Möglichkeit, Proofpoint TAP-Protokolle und -Ereignisse in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in Nachrichten- und Klickereignisse in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Überwachungs- und Untersuchungsfunktionen zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ProofPointTAPMessagesDeliveredV2_CL	Ja	Ja
ProofPointTAPMessagesBlockedV2_CL	Ja	Ja
ProofPointTAPClicksPermittedV2_CL	Ja	Ja
ProofPointTAPClicksBlockedV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Proofpoint TAP-API-Schlüssel: Für den Zugriff auf die SIEM-API von Proofpoint sind ein Proofpoint TAP-API-Dienstprinzipal und -geheimnis erforderlich. Weitere Informationen finden Sie unter Proofpoint SIEM-API.

Setupanweisungen:

Konfigurationsschritte für die Proofpoint-TAP-API

1. Melden Sie sich beim Proofpoint TAP-Dashboard an.
2. Navigieren Sie zu Einstellungen, und wechseln Sie zur Registerkarte Verbundene Anwendungen .
3. Klicken Sie auf Create New Credential (Neue Anmeldeinformationen erstellen).
4. Geben Sie einen Namen an, und klicken Sie auf Generieren.
5. Kopieren von Dienstprinzipal- und Geheimniswerten

HINWEIS: Dieser Connector ist von einem Parser abhängig, der auf der Kusto-Funktion basiert und wie erwartet funktioniert ProofpointTAPEvent, das mit der Microsoft Sentinel Solution bereitgestellt wird.

• Dienstprinzipal: (123456)
• Geheimnis: (123456)
• Verbindung aktivieren/deaktivieren

---

QscoutAppEventsConnector (über Codeless Connector Framework)

Unterstützt von:Quokka

Erfassen von Qscout-Anwendungsereignissen in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
QscoutAppEvents_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Qscout-Organisations-ID: Die API erfordert Ihre organization-ID in Qscout.
• API-Schlüssel der Qscout-Organisation: Die API erfordert Ihren organization API-Schlüssel in Qscout.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet das Codeless Connector Framework (CCF), um eine Verbindung mit dem Qscout-App-Ereignisfeed herzustellen und Daten in Microsoft Sentinel

Geben Sie unten die erforderlichen Werte an:

• Qscout-Organisations-ID: (123456)
• Qscout-Organisations-API-Schlüssel: (abcdxyz)
• Verbindung aktivieren/deaktivieren

---

Qualys Knowledge Base (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Erfassen Von Qualys Knowledge Base-Sicherheitsrisikodaten in Microsoft Sentinel mithilfe von Version 4.0 der Qualys-API.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
QualysKnowledgeBase	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Qualys-API-Zugriff: Erfordert ein Qualys-Benutzerkonto mit Lesezugriff auf die Knowledge Base-Endpunkte.

Setupanweisungen:

Schritt 1: Festlegen von Anmeldeinformationen Geben Sie Ihre Qualys-API-Anmeldeinformationen an, um die Datenerfassung aus der Qualys-Wissensdatenbank zu ermöglichen.

Um Daten von qualys VM zu sammeln, müssen Sie die folgenden Ressourcen bereitstellen:

• API-Anmeldeinformationen: Benutzername und Kennwort für ein Konto mit Lesezugriff auf die Knowledge Base-API. Die genauen erforderlichen Berechtigungen finden Sie in der Qualys-API-Dokumentation.

• API-Server-URL: Die für Ihre Region spezifische Qualys-API-Server-URL. Die genaue API-Server-URL für Ihre Region finden Sie hier.

• API-Server-URL: (API-Server-URL eingeben)

• Benutzername: (Geben Sie Qualys-Benutzername ein)

• Kennwort: (Geben Sie Ihr Qualys-Kennwort oder Token ein) Schritt 2: Festlegen optionaler Filter

Konfigurieren Sie optionale Filter, um anzupassen, welche Sicherheitsrisiken erfasst werden. Weitere Informationen zu verfügbaren Filtern finden Sie in der Qualys-API-Dokumentation.

2a. Nach Patchstatus filtern Wählen Sie aus, dass nur Sicherheitsrisiken angezeigt werden sollen, die patchfähig oder nicht gepatcht werden können.

2b. Filtern nach Ermittlungsmethode und Authentifizierungstypen Wählen Sie aus, dass nur Sicherheitsrisiken empfangen sollen, denen eine bestimmte Ermittlungsmethode oder bestimmte Authentifizierungstypen zugewiesen sind.

• Ermittlungsauthentifizierungstypen: (z. B. Windows, Oracle, Unix, SNMP (durch Trennzeichen getrennt)) Schritt 3: Überprüfen und Aktivieren Überprüfen Sie Ihre Konfigurationseinstellungen, und aktivieren Sie den Connector, um mit der Erfassung von Qualys Knowledge Base-Daten in Microsoft Sentinel zu beginnen.

• Verbindung aktivieren/deaktivieren

---

Qualys VM KnowledgeBase (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der KnowledgeBase-Connector (VM) von Qualys Vulnerability Management (VM) bietet die Möglichkeit, die neuesten Sicherheitsrisikodaten aus der Qualys-KB in Microsoft Sentinel zu erfassen.

Diese Daten können verwendet werden, um Sicherheitsrisikoerkennungen zu korrelieren und anzureichern, die vom Datenconnector für qualys Vulnerability Management (VM) gefunden wurden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
QualysKB_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Qualys-API-Schlüssel: Der Benutzername und das Kennwort der Qualys-VM-API sind erforderlich. Weitere Informationen finden Sie unter Qualys-VM-API.

Setupanweisungen:

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt Log Analytics/Microsoft Sentinel Protokolle, klicken Sie auf Funktionen, suchen Sie nach dem Alias QualysVM Knowledgebase, und laden Sie den Funktionscode, oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage die Hostnamen Ihrer QualysVM Knowledgebase-Geräte und alle anderen eindeutigen Bezeichner für den Logstream ein. Die Aktivierung der Funktion dauert in der Regel 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren. Führen Sie die Schritte aus, um den Kusto-Funktionsalias QualysKB zu verwenden.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Qualys-API

1. Melden Sie sich mit einem Administratorkonto bei der Qualys Vulnerability Management-Konsole an, und wählen Sie die Registerkarte Benutzer und die Unterregisterkarte Benutzer aus.
2. Klicken Sie auf das Dropdownmenü Neu, und wählen Sie Benutzer aus.
3. Erstellen Sie einen Benutzernamen und ein Kennwort für das API-Konto.
4. Stellen Sie auf der Registerkarte Benutzerrollen sicher, dass die Kontorolle auf Manager festgelegt ist und der Zugriff auf GUI und API zulässig ist.
5. Melden Sie sich vom Administratorkonto ab, melden Sie sich mit den neuen API-Anmeldeinformationen zur Überprüfung bei der Konsole an, und melden Sie sich dann vom API-Konto ab.
6. Melden Sie sich mit einem Administratorkonto wieder bei der Konsole an, und ändern Sie die BENUTZERROLLEN für API-Konten, wodurch der Zugriff auf die GUI entfernt wird.
7. Speichern Sie alle Änderungen speichern.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Qualys KB-Connector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden) sowie den Benutzernamen und das Kennwort der Qualys-API, die sofort verfügbar sind.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Qualys KB-Connectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den API-Benutzernamen, das API-Kennwort, den URI aktualisieren und alle zusätzlichen URI-Filterparameter ein (dieser Wert sollte ein "&"-Symbol zwischen den einzelnen Parametern enthalten und darf keine Leerzeichen enthalten.

• Geben Sie den URI ein, der Ihrer Region entspricht. Die vollständige Liste der API-Server-URLs finden Sie hier.
• Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.
5. Klicken Sie zum Bereitstellen auf Kaufen .

• Hinweis: Wenn bei der Bereitstellung aufgrund des Speicherkontonamens ein Fehler aufgetreten ist, ändern Sie den Funktionsnamen in einen eindeutigen Wert, und stellen Sie die Bereitstellung erneut bereit.

Option 2: Manuelle Bereitstellung von Azure Functions

Diese Methode enthält schritt-für-Schritt-Anweisungen zum manuellen Bereitstellen des Qualys KB-Connectors mit Azure Function.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden sieben (7) Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): apiBenutzername apiPassword workspaceID WorkspaceKey URI filterParameter logAnalyticsUri (optional)

• Geben Sie den URI ein, der Ihrer Region entspricht. Die vollständige Liste der API-Server-URLs finden Sie hier. Der uri Wert muss dem folgenden Schema folgen: https://<API Server>/api/2.0
• Fügen Sie alle zusätzlichen Filterparameter für die filterParameters Variable hinzu, die an den URI angefügt werden müssen. Der filterParameter Wert sollte ein "&"-Symbol zwischen den einzelnen Parametern enthalten und darf keine Leerzeichen enthalten.
• Hinweis: Wenn Sie Azure Key Vault verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.
• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die delegierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Verwaltung von Qualys-Sicherheitsrisiken (über codeloses Connector-Framework)

Unterstützt von:Microsoft Corporation

Der Datenconnector für qualys Vulnerability Management (VM) bietet die Möglichkeit, Daten zur Erkennung von Sicherheitsrisikenhosts über die Qualys-API in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in Hosterkennungsdaten aus Vulerability-Scans.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
QualysHostDetectionV3_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• API-Zugriff und -Rollen: Stellen Sie sicher, dass der Qualys-VM-Benutzer über die Rolle Leser oder höher verfügt. Wenn die Rolle Leser ist, stellen Sie sicher, dass der API-Zugriff für das Konto aktiviert ist. Die Rolle "Auditor" wird für den Zugriff auf die API nicht unterstützt. Weitere Informationen finden Sie im Dokument Qualys-VM-Hosterkennungs-API und Vergleich der Benutzerrolle.

Setupanweisungen:

Verbinden von Qualys Vulnerability Management mit Microsoft Sentinel

HINWEIS: Um Daten für Erkennungen basierend auf dem Host zu sammeln, erweitern Sie die Spalte DetectionList in der Tabelle.

Zum Sammeln von Daten von qualys-VMs müssen Sie die folgenden Ressourcen bereitstellen:

1. API-Anmeldeinformationen Zum Sammeln von Daten von qualys VM benötigen Sie Qualys-API-Anmeldeinformationen, einschließlich Ihres Benutzernamens und Kennworts.

2. API-Server-URL Zum Sammeln von Daten von qualys VM benötigen Sie die für Ihre Region spezifische Qualys-API-Server-URL. Die genaue API-Server-URL für Ihre Region finden Sie hier.

• Qualys-API-Benutzername: (Benutzername eingeben)
• Qualys-API-Kennwort: (Kennwort eingeben)
• Qualys-API-Server-URL: (API-Server-URL eingeben)

3. Kürzungslimit Konfigurieren Sie die maximale Anzahl von Hostdatensätzen, die pro API-Aufruf abgerufen werden sollen (20-5000 Bereich). Höhere Werte können die Leistung verbessern, aber sich auf die API-Antwortzeiten auswirken.

• Verbindung aktivieren/deaktivieren

---

Radiflow iSID über AMA

Unterstützt von:Radiflow

iSID ermöglicht die unterbrechungsfreie Überwachung verteilter ICS-Netzwerke auf Änderungen der Topologie und des Verhaltens. Dabei werden mehrere Sicherheitspakete verwendet, die jeweils eine einzigartige Funktion für eine bestimmte Art von Netzwerkaktivität bieten.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
RadiflowEvent	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und wie erwartet funktioniert [RadiflowEvent], die mit der Microsoft Sentinel Solution bereitgestellt wird.

1. Führen Sie die Schritte zum Konfigurieren des Datenconnectors aus.

Schritt A: Konfigurieren des Common Event Format (CEF) über den AMA-Datenconnector

Hinweis: Cef-Protokolle werden nur von Linux Agents gesammelt.

1. Navigieren Sie zu Microsoft Sentinel Arbeitsbereich ---> Blatt "Konfiguration ---> Datenconnector".

2. Suchen Sie nach dem Datenconnector "Common Event Format (CEF) via AMA", und öffnen Sie ihn.

3. Aktivieren Sie die Option Wenn kein vorhandener DCR zum Sammeln erforderlicher Protokolle konfiguriert ist, erstellen Sie eine neue DCR (Data Collection Rule).

   Hinweis: Es wird empfohlen, mindestens Version 1.27 des AMA-Agents zu installieren . Weitere Informationen und stellen Sie sicher, dass keine doppelten DCR vorhanden sind, da dies zu Protokollduplizierung führen kann.

4. Führen Sie den Befehl aus, der auf der Seite CEF über AMA-Datenconnector bereitgestellt wird, um den CEF-Collector auf dem Computer zu konfigurieren.

Schritt B: Konfigurieren von iSID zum Senden von Protokollen mithilfe von CEF

Konfigurieren der Protokollweiterleitung mithilfe von CEF:

1. Navigieren Sie im Menü Konfiguration zum Abschnitt Systembenachrichtigungen .

2. Wählen Sie unter Syslog die Option +Hinzufügen aus.

3. Geben Sie im Dialogfeld Neuer Syslog-Server den Namen, die IP-Adresse des Remoteservers, Port und Transport an, und wählen Sie Format – CEF aus.

4. Drücken Sie Anwenden, um das Dialogfeld Syslog hinzufügen zu beenden.

Schritt C: Überprüfen der Verbindung

Befolgen Sie die Anweisungen, um Ihre Konnektivität zu überprüfen:

Öffnen Sie Log Analytics, um zu überprüfen, ob die Protokolle mithilfe des CommonSecurityLog-Schemas empfangen werden.

Es kann etwa 20 Minuten dauern, bis die Verbindung Daten an Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Verbindungsüberprüfungsskript aus:

1. Stellen Sie mit dem folgenden Befehl sicher, dass Python auf Ihrem Computer installiert ist: python --version

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:: <Variablenwert, der zur Installationszeit angegeben wurde>

**2. Schützen Ihres Computers **

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihres organization konfigurieren.

Weitere Informationen >

---

Rapid7 Insight Platform-Berichte zur Verwaltung von Sicherheitsrisiken (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Rapid7 Insight VM Report-Datenconnector bietet die Möglichkeit, Scanberichte und Sicherheitsrisikodaten über die REST-API von der Rapid7 Insight-Plattform (verwaltet in der Cloud) in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
NexposeInsightVMCloud_assets_CL	Nein	Nein
NexposeInsightVMCloud_vulnerabilities_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen: InsightVMAPIKey ist für die REST-API erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Insight-VM-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und wie erwartet funktioniert InsightVMAssets und InsightVMVulnerabilities, die mit der Microsoft Sentinel Solution bereitgestellt werden.

SCHRITT 1: Konfigurationsschritte für die Insight-VM-Cloud

Befolgen Sie die Anweisungen , um die Anmeldeinformationen abzurufen.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Geben Sie vor der Bereitstellung des Arbeitsbereichsdatenconnectors die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel an (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Rapid7 Insight Vulnerability Management Report-Datenconnectors mit arm tempate.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie InsightVMAPIKey ein, wählen Sie InsightVMCloudRegion aus, und stellen Sie sie bereit. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden schrittweisen Anweisungen, um den Rapid7 Insight Vulnerability Management Report-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (groß-/kleinschreibung beachten):
   InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

3. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Rapid7 Insight Platform-Berichte zur Verwaltung von Sicherheitsrisiken (über codeloses Connector-Framework)

Unterstützt von:Microsoft Corporation

Der Rapid7 Insight VM Report-Datenconnector bietet die Möglichkeit, Scanberichte und Sicherheitsrisikodaten über die REST-API von der Rapid7 Insight-Plattform (verwaltet in der Cloud) in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Rapid7InsightVMCloudAssets	Ja	Ja
Rapid7InsightVMCloudVulnerabilities	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• REST-API-Anmeldeinformationen: InsightVMAPIKey ist für die REST-API erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

Setupanweisungen:

Befolgen Sie die Anweisungen zum Konfigurieren des Rapid7 InsightVM-Connectors.

Hinweis: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und wie erwartet funktioniert InsightVMAssets und InsightVMVulnerabilities, die mit der Microsoft Sentinel Solution bereitgestellt werden.

1. Konfigurationsschritte für rapid7 Insight VM Cloud

Befolgen Sie die Anweisungen , um die Anmeldeinformationen abzurufen.

1. Generieren Sie in Rapid7 InsightVM einen API-Schlüssel.
2. Notieren Sie sich Ihre Region und Ihren API-Schlüssel.

• Region: (us, eu, etc.)
• API-Schlüssel: (API-Schlüssel)

2. Verbinden

Aktivieren Sie den Rapid7 Insight-VM-Connector.

• Verbindung aktivieren/deaktivieren

---

Red Sift-Ereignisse (CCF Push)

Unterstützt von:Red Sift

Der Red Sift-Connector bietet die Möglichkeit, Red Sift-Authentifizierungs- und E-Mail-Forensikereignisse in Microsoft Sentinel mithilfe des CCF-Pushmodells mit DCE + DCR zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
RedSiftAuth_CL	Nein	Nein
RedSiftEmailForensics_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR). In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Stellen Sie die DCE, DCR, benutzerdefinierte Tabelle und die Entra App-Registrierung bereit, die für OAuth-Clientanmeldeinformationen verwendet werden.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung von Log Analytics-Tabellen und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Konfigurieren des Red Sift-Webhooks

Verwenden Sie die folgenden Parameter, um Red Sift so zu konfigurieren, dass Ereignisse an Microsoft Sentinel gesendet werden. Verwenden Sie den entsprechenden Datenstromnamen für jeden Ereignistyp.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Authentifizierungsereignisse Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Email forensische Ereignisse Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

RSA ID Plus Admin Logs Connector

Unterstützt von:RSA-Supportteam

Der RSA ID Plus AdminLogs-Connector bietet die Möglichkeit, Cloud Admin Console-Überwachungsereignisse mithilfe von Cloud Admin-APIs in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
RSAIDPlus_AdminLogs_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• RSA ID Plus API-Authentifizierung: Für den Zugriff auf die Admin-APIs ist ein gültiges Base64URL-codiertes JWT-Token erforderlich, das mit dem Legacy-Verwaltungs-API-Schlüssel des Clients signiert ist.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet das Codeless Connector Framework (CCF), um eine Verbindung mit den RSA ID Plus Cloud Admin-APIs herzustellen, um Protokolle in Microsoft Sentinel zu pullen.

SCHRITT 1: Erstellen eines Legacy-Admin-API-Clients in der Cloud Admin-Konsole.

Führen Sie die auf dieser Seite beschriebenen Schritte aus.

SCHRITT 2 : Generieren sie das Base64URL-codierte JWT-Token.

Führen Sie die auf dieser Seite unter dem Header "Legacy Administration API" genannten Schritte aus.

SCHRITT 3: Konfigurieren Sie die Cloud Admin-API, um mit der Erfassung Admin Ereignisprotokolle in Microsoft Sentinel zu beginnen.

Geben Sie unten die erforderlichen Werte an:

• Admin-API-URL: (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs>)
• JWT-Token: (Geben Sie Ihr JWT-Token ein)

SCHRITT 4 : Klicken Sie auf Verbinden.

Vergewissern Sie sich, dass alle oben genannten Felder ordnungsgemäß ausgefüllt wurden. Drücken Sie Verbinden, um den Connector zu starten.

• Verbindung aktivieren/deaktivieren

---

Rubrik Security Cloud-Datenconnector (mit Azure Functions)

Unterstützt von:Rubrik

Mit dem Rubrik Security Cloud-Datenconnector können Sicherheitsteams Erkenntnisse aus den Data Observability-Diensten von Rubrik in Microsoft Sentinel integrieren. Zu den Erkenntnissen gehören die Identifizierung eines anomalen Dateisystemverhaltens im Zusammenhang mit Ransomware und Massenlöschung, die Bewertung des Explosionsradius eines Ransomware-Angriffs und betreiber vertraulicher Daten, um potenzielle Vorfälle zu priorisieren und schneller zu untersuchen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Rubrik_Anomaly_Data_CL	Ja	Ja
Rubrik_Ransomware_Data_CL	Ja	Ja
Rubrik_ThreatHunt_Data_CL	Ja	Ja
Rubrik_Events_Data_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit dem Rubrik-Webhook herzustellen, der seine Protokolle in Microsoft Sentinel pusht. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Rubrik Microsoft Sentinel-Datenconnector bereitstellen, müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (die aus den folgenden Dateien kopiert werden können) zur Verfügung stellen.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Rubrik-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Informationen ein: Funktionsname Arbeitsbereichs-ID Arbeitsbereichsschlüssel AnomalienTabellenname RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Rubrik Microsoft Sentinel-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z.B. RubrikXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.8 oder höher aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Werten hinzu (Groß-/Kleinschreibung beachten): WorkspaceID WorkspaceKey AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://< CustomerId.ods.opinsights.azure.us>.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

Schritte nach der Bereitstellung

1) Abrufen des Funktions-App-Endpunkts

1. Wechseln Sie Azure Funktionsübersichtsseite, und klicken Sie auf die Registerkarte "Funktionen".
2. Klicken Sie auf die Funktion "RubrikHttpStarter".
3. Wechseln Sie zu "GetFunctionurl" , und kopieren Sie die Funktions-URL.

2) Fügen Sie einen Webhook in RubrikSecurityCloud hinzu, um Daten an Microsoft Sentinel zu senden.

Befolgen Sie die Anweisungen des Rubrik-Benutzerhandbuchs zum Hinzufügen eines Webhooks , um mit dem Empfangen von Ereignisinformationen zu beginnen.

1. Wählen Sie den Microsoft Sentinel als Webhookanbieter aus.
2. Geben Sie den gewünschten Webhooknamen ein.
3. Geben Sie den URL-Teil aus kopierter Function-url als Webhook-URL-Endpunkt ein, und ersetzen Sie {functionname} durch "RubrikAnomalyOrchestrator", für die Rubrik Microsoft Sentinel Solution.
4. Wählen Sie eventType als Anomalie aus.
5. Wählen Sie die folgenden Schweregrade aus: Kritisch, Warnung, Information
6. Wählen Sie bei Bedarf mehrere Protokolltypen aus, wenn Sie "RubrikEventsOrchestrator" ausführen.
7. Wiederholen Sie die gleichen Schritte, um Webhooks für die Anomalieerkennungsanalyse, bedrohungssuche und andere Ereignisse hinzuzufügen.

HINWEIS: Beim Hinzufügen von Webhooks für die Anomalieerkennungsanalyse, Bedrohungssuche und andere Ereignisse ersetzen Sie {functionname} durch "RubrikRansomwareOrchestrator", "RubrikThreatHuntOrchestrator" bzw. "RubrikEventsOrchestrator" in kopierter funktions-url.

Nun sind wir mit der Rubrik Webhook-Konfiguration fertig. Sobald die Webhookereignisse ausgelöst wurden, sollten Sie in der Lage sein, die Anomalieanalyse, die Ereignisse zur Bedrohungssuche und andere Ereignisse aus der Rubrik in der entsprechenden LogAnalytics-Arbeitsbereichstabelle namens "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL" und "Rubrik_Events_Data_CL" anzuzeigen.

---

SaaS-Sicherheit

Unterstützt von:Valence Security

Verbindet die Valence SaaS-Sicherheitsplattform Azure Log Analytics über die REST-API-Schnittstelle.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ValenceAlert_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Schritt 1: Lesen Sie die ausführliche Dokumentation.

Der Installationsprozess ist ausführlich im Wissensdatenbank von Valence Security dokumentiert. Der Benutzer sollte diese Dokumentation weiter lesen, um die Installation und das Debuggen der Integration zu verstehen.

Schritt 2: Abrufen der Anmeldeinformationen für den Arbeitsbereichszugriff

Der erste Installationsschritt besteht darin, sowohl Ihre Arbeitsbereichs-ID als auch Ihren Primärschlüssel von der Microsoft Sentinel-Plattform abzurufen. Kopieren Sie die unten gezeigten Werte, und speichern Sie sie für die Konfiguration der API-Protokollweiterleitungsintegration.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Schritt 3: Konfigurieren Sentinel Integration auf der Valence Security Platform

Navigieren Sie als Valence Security Platform-Administrator zum Konfigurationsbildschirm, klicken Sie im Karte SIEM-Integration auf Verbinden, und wählen Sie Microsoft Sentinel aus. Fügen Sie die Werte aus dem vorherigen Schritt ein, und klicken Sie auf Verbinden. Valence testiert die Verbindung, sodass die Verbindung funktioniert hat, wenn ein Erfolg gemeldet wird.

---

Salesforce-Überwachungsprotokolle (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Salesforce Audit Logs-Datenconnector bietet die Möglichkeit, administrative Änderungen und Konfigurationsänderungen aus Ihrer Salesforce-Organisation über die REST-API in Microsoft Sentinel zu erfassen. Der Connector bietet die Möglichkeit, Ereignisse vom Setup-Überwachungspfad und Anmeldeverlauf in Microsoft Sentinel zu erfassen, die Änderungen nachverfolgen, die an der Konfiguration Ihrer Organisation vorgenommen wurden, um Die Sichtbarkeit von Sicherheit und Compliance zu gewährleisten.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SalesforceAuditTrail	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Zugriff auf die Salesforce Service Cloud-API: Zugriff auf die Salesforce Service Cloud-API über eine verbundene App ist erforderlich.

Setupanweisungen:

Verbinden von Salesforce mit Microsoft Sentinel

Gehen Sie unter Erstellen einer verbundenen App in Salesforce for OAuth und Konfigurieren einer verbundenen App für den OAuth 2.0-Clientanmeldeinformationsflow zum Erstellen einer verbundenen App mit Zugriff auf die Salesforce Service Cloud-API weiter. Durch diese Anweisungen sollten Sie den Consumerschlüssel und den geheimen Verbraucherschlüssel erhalten. Geben Sie unter Salesforce Domain name (Salesforce-Domänenname) zu Setup (Setup) den Namen Meine Domäne in das Feld Schnellsuche ein, und wählen Sie Meine Domäne aus, um Ihre Domänendetails anzuzeigen. Stellen Sie sicher, dass Sie den Domänennamen ohne nachgestellten Schrägstrich eingeben (z. https://your-domain.my.salesforce.comB. ). Füllen Sie das formular unten mit diesen Informationen aus.

• Datenconnectors Grid (im Portal konfigurieren)

---

SalesForce Real-Time Event Monitoring Connector (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Salesforce Real-Time Event Monitoring(RTEM)-Connector bietet die Möglichkeit, Informationen zu Ihren Salesforce-Echtzeitereignissen mithilfe von Object for Event Storage über die REST-API in Microsoft Sentinel zu erfassen. Der Connector bietet die Möglichkeit, Ereignisse in Ihrer Organisation beschleunigt zu überprüfen und Echtzeitereignisdaten für aktuelle Aktivitäten abzurufen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SalesForceRealTimeEventMonitoring_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Zugriff auf die Salesforce-Ereignisüberwachungs-API: Zugriff auf die Salesforce-Ereignisüberwachungs-API über eine verbundene App ist erforderlich.

Setupanweisungen:

Stellen Sie eine Verbindung mit der Salesforce-Ereignisüberwachung her, um mit dem Sammeln von Echtzeitprotokollen zur Ereignisüberwachung in Microsoft Sentinel

Gehen Sie unter Erstellen einer verbundenen App in Salesforce für OAuth und Konfigurieren einer verbundenen App für den OAuth 2.0-Clientanmeldeinformationsflow vor, um eine verbundene App mit Zugriff auf die Salesforce Event Monitoring-API zu erstellen. Durch diese Anweisungen sollten Sie den Consumerschlüssel und den geheimen Verbraucherschlüssel erhalten. Geben Sie unter Salesforce Domain name (Salesforce-Domänenname) zu Setup (Setup) den Namen Meine Domäne in das Feld Schnellsuche ein, und wählen Sie Meine Domäne aus, um Ihre Domänendetails anzuzeigen. Stellen Sie sicher, dass Sie den Domänennamen ohne nachgestellten Schrägstrich eingeben (z. https://your-domain.my.salesforce.comB. ). Füllen Sie das formular unten mit diesen Informationen aus.

Hinweis: Erforderliches Add-On-Abonnement: Ihr Salesforce-Konto sollte Salesforce Shield- oder Salesforce Event Monitoring-Add-On-Abonnements enthalten, damit dieser Connector funktioniert.

• Datenconnectors Grid (im Portal konfigurieren)

---

Salesforce Service Cloud (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Salesforce Service Cloud-Datenconnector bietet die Möglichkeit, Informationen zu Ihren Salesforce-Betriebsereignissen über die REST-API in Microsoft Sentinel zu erfassen. Der Connector bietet die Möglichkeit, Ereignisse in Ihrer Organisation beschleunigt zu überprüfen und Ereignisprotokolldateien in Stündlichschritten für aktuelle Aktivitäten abzurufen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SalesforceServiceCloudV3_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Zugriff auf die Salesforce Service Cloud-API: Zugriff auf die Salesforce Service Cloud-API über eine verbundene App ist erforderlich.

Setupanweisungen:

Stellen Sie eine Verbindung mit der Salesforce Service Cloud-API her, um mit dem Sammeln von Ereignisprotokollen in Microsoft Sentinel

Gehen Sie unter Erstellen einer verbundenen App in Salesforce for OAuth und Konfigurieren einer verbundenen App für den OAuth 2.0-Clientanmeldeinformationsflow zum Erstellen einer verbundenen App mit Zugriff auf die Salesforce Service Cloud-API weiter. Durch diese Anweisungen sollten Sie den Consumerschlüssel und den geheimen Verbraucherschlüssel erhalten. Geben Sie unter Salesforce Domain name (Salesforce-Domänenname) zu Setup (Setup) den Namen Meine Domäne in das Feld Schnellsuche ein, und wählen Sie Meine Domäne aus, um Ihre Domänendetails anzuzeigen. Stellen Sie sicher, dass Sie den Domänennamen ohne nachgestellten Schrägstrich eingeben (z. https://your-domain.my.salesforce.comB. ). Füllen Sie das formular unten mit diesen Informationen aus.

Hinweis : Lösungsversion 3.2.0 und höher verwendet die SalesforceServiceCloudV3_CL Tabelle. Der Parser wurde entsprechend aktualisiert.

• Datenconnectors Grid (im Portal konfigurieren)

---

Samsung Knox Asset Intelligence

Unterstützt von:Samsung Electronics Co., Ltd.

Mit dem Samsung Knox Asset Intelligence-Datenconnector können Sie Ihre mobilen Sicherheitsereignisse und -protokolle zentralisieren, um mithilfe der Arbeitsmappenvorlage benutzerdefinierte Erkenntnisse anzuzeigen und Incidents basierend auf Vorlagen für Analyseregeln zu identifizieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Samsung_Knox_Audit_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Entra-App: Eine Entra-App muss registriert und mit der Rolle "Microsoft Metrics Publisher" bereitgestellt und entweder mit Zertifikat oder geheimem Clientschlüssel als Anmeldeinformationen für eine sichere Datenübertragung konfiguriert werden. Weitere Informationen zur Erstellung, Registrierung und Konfiguration von Anmeldeinformationen Entra finden Sie im Tutorial zur Protokollerfassung.

Setupanweisungen:

Dieser Datenconnector verwendet die Microsoft-Protokollerfassungs-API, um Sicherheitsereignisse von der Samsung Knox Asset Intelligence(KAI)-Lösung in Microsoft Sentinel zu pushen.

SCHRITT 1: Erstellen und Registrieren einer Entra-Anwendung

Hinweis: Dieser Datenconnector kann entweder die zertifikatbasierte oder die clientgeheimnisbasierte Authentifizierung unterstützen. Für die zertifikatbasierte Authentifizierung können Sie das von der Samsung-Zertifizierungsstelle signierte Zertifikat (öffentlicher Schlüssel) aus dem KAI-Dokumentationsportal herunterladen. Für die clientgeheimnisbasierte Authentifizierung können Sie das Geheimnis während der Entra Anwendungsregistrierung erstellen. Stellen Sie sicher, dass Sie den Wert des geheimen Clientschlüssels kopieren, sobald er generiert wird.

WICHTIG: Speichern Sie die Werte für Mandanten -ID (Verzeichnis) und Client -ID (Anwendung). Wenn die auf geheimen Clientschlüsseln basierende Authentifizierung aktiviert ist, speichern Sie den geheimen Clientschlüssel (Geheimniswert), der der Entra App zugeordnet ist.

SCHRITT 2: Automatisieren der Bereitstellung dieses Datenconnectors mithilfe der folgenden ARM-Vorlage (Azure Resource Manager)

WICHTIG: Kopieren Sie vor der Bereitstellung des Datenconnectors den folgenden Arbeitsbereichsnamen, der Ihrem Microsoft Sentinel (auch Ihrem Log Analytics)-instance zugeordnet ist.

• Arbeitsbereichsname: <Variablenwert, der zur Installationszeit angegeben wird>

1. Klicken Sie auf die schaltfläche unten, um Samsung Knox Intelligence Solution zu installieren.

   aka.ms\n2. Geben Sie die folgenden erforderlichen Felder an: Name des Log Analytics-Arbeitsbereichs, Log Analytics-Arbeitsbereichsspeicherort, Log Analytics-Arbeitsbereichsabonnement (ID) und Log Analytics-Arbeitsbereichsressourcengruppe.

SCHRITT 3: Abrufen Microsoft Sentinel Datensammlungsdetails

Navigieren Sie nach der Bereitstellung der ARM-Vorlage zu Datensammlungsregeln https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionrules? und speichern Sie Werte, die der Unveränderlichen ID (DCR) und dem Datensammlungsendpunkt (Data Collection Endpoint, DCE) zugeordnet sind.

WICHTIG: Um die End-to-End-Integration zu ermöglichen, sind Informationen zu Microsoft Sentinel DCE und DCR für die Konfiguration im Samsung Knox Asset Intelligence-Portal erforderlich (SCHRITT 4).

Stellen Sie sicher, dass die in SCHRITT 1 erstellte Entra-Anwendung über Berechtigungen zum Verwenden des dcr verfügt, der zum Senden von Daten an den DCE erstellt wurde. Informationen zum Zuweisen von Berechtigungen finden Sie unter /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-the-dcr.

SCHRITT 4: Herstellen einer Verbindung mit der Samsung Knox Asset Intelligence-Lösung, um Microsoft Sentinel zum Pushen von Knox-Sicherheitsereignissen als Warnungen zu konfigurieren

1. Melden Sie sich beim Knox Asset Intelligence-Verwaltungsportal an, und navigieren Sie zu Dashboardeinstellungen. dies ist in der oberen rechten Ecke des Portals verfügbar.

Hinweis: Stellen Sie sicher, dass der Anmeldebenutzer Zugriff auf die Berechtigungen "Sicherheit" und "Dashboard Ansicht und Datensammlung verwalten" hat.

2. Klicken Sie auf die Registerkarte Sicherheit, um Einstellungen für Microsoft Sentinel Integration und Knox-Sicherheitsprotokolle anzuzeigen.

3. Schalten Sie auf der Seite Integration von Sicherheitsvorgängen auf "Enable Microsoft Sentinel Integration" (Integration Microsoft Sentinel aktivieren) ein, und geben Sie die entsprechenden Werte in die erforderlichen Felder ein.

a. Beziehen Sie sich basierend auf der verwendeten Authentifizierungsmethode auf informationen, die in SCHRITT 1 beim Registrieren der Entra Anwendung gespeichert wurden.

b. Informationen zu Microsoft Sentinel DCE und DCR finden Sie in den in SCHRITT 3 gespeicherten Informationen.

4. Klicken Sie auf "Verbindung testen" , und stellen Sie sicher, dass die Verbindung erfolgreich war.

5. Bevor Sie Speichern können, konfigurieren Sie Knox-Sicherheitsprotokolle, indem Sie entweder Essential oder Advanced configuration (Standard: Essential) auswählen.

6. Klicken Sie auf "Speichern", um die Microsoft Sentinel Integration abzuschließen.

---

SAP BTP

Unterstützt von:Microsoft Corporation

SAP Business Technology Platform (SAP BTP) vereint Datenverwaltung, Analysen, künstliche Intelligenz, Anwendungsentwicklung, Automatisierung und Integration in einer einheitlichen Umgebung.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SAPBTPAuditLog_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Client-ID und geheimer Clientschlüssel für die Überwachungsabruf-API: Aktivieren Sie den API-Zugriff in BTP.

Setupanweisungen:

Schritt 1: Konfigurationsschritte für die SAP BTP-Überwachungsabruf-API

Führen Sie die von SAP bereitgestellten Schritte unter Überwachungsprotokollabruf-API für globale Konten in der Cloud Foundry-Umgebung aus. Notieren Sie sich die URL (URL der Überwachungsabruf-API), uaa.url (Benutzerkonto- und Authentifizierungsserver-URL) und die zugeordnete uaa.clientid.

HINWEIS: Sie können ein massenhaftes Onboarding für BTP-Unterkonten mithilfe der bereitgestellten Tools durchführen.

Verbinden von Ereignissen von SAP BTP mit Microsoft Sentinel

Herstellen einer Verbindung mit OAuth-Clientanmeldeinformationen

Unterkonten

Jede Zeile stellt ein verbundenes Unterkonto dar.

• Datenconnectors Grid (im Portal konfigurieren)

---

SAP Enterprise Threat Detection, Cloud Edition

Unterstützt von:SAP

Der ETD-Datenconnector (SAP Enterprise Threat Detection, Cloud Edition) ermöglicht die Erfassung von Sicherheitswarnungen aus ETD in Microsoft Sentinel und unterstützt Kreuzkorrelation, Warnungen und Bedrohungssuche.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SAPETDAlerts_CL	Ja	Ja
SAPETDInvestigations_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Client-ID und geheimer Clientschlüssel für die ETD-Abruf-API: Aktivieren Sie den API-Zugriff in ETD.

Setupanweisungen:

Schritt 1: Konfigurationsschritte für die SAP ETD-Überwachungsabruf-API

Führen Sie die von SAP bereitgestellten Schritte unter ETD-Dokumentation aus. Notieren Sie sich die URL (URL der Überwachungsabruf-API), uaa.url (Benutzerkonto- und Authentifizierungsserver-URL) und die zugeordnete uaa.clientid.

HINWEIS: Sie können ein oder mehrere ETD-Unterkonten integrieren, indem Sie die von SAP bereitgestellten Schritte unter ETD-Dokumentation ausführen. Fügen Sie eine Verbindung für jedes Unterkonto hinzu.

TIPP: Verwenden Sie die freigegebene Blogreihe , um weitere Informationen zu erhalten.

Verbinden von Ereignissen von SAP ETD mit Microsoft Sentinel

Herstellen einer Verbindung mit OAuth-Clientanmeldeinformationen

ETD-Konten

Jede Zeile stellt ein verbundenes ETD-Konto dar.

• Datenconnectors Grid (im Portal konfigurieren)

---

SAP LogServ (RISE), S/4HANA Cloud Private Edition

Unterstützt von:SAP

SAP LogServ ist ein ECS-Dienst (SAP Enterprise Cloud Services), der für die Sammlung, Speicherung, Weiterleitung und den Zugriff auf Protokolle bestimmt ist. LogServ zentralisiert die Protokolle aller Systeme, Anwendungen und ECS-Dienste, die von einem registrierten Kunden verwendet werden.
Zu den Hauptfeatures gehören:
Protokollsammlung nahezu in Echtzeit: Mit der Möglichkeit, als SIEM-Lösung in Microsoft Sentinel zu integrieren.
LogServ ergänzt die vorhandene Bedrohungsüberwachung und -erkennung der SAP-Anwendungsebene in Microsoft Sentinel mit den Protokolltypen, die SAP ECS als Systemanbieter gehören. Dies umfasst Protokolle wie: SAP-Sicherheitsüberwachungsprotokoll (AS ABAP), HANA-Datenbank, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, Betriebssystem, SAP Gateway, Datenbank von Drittanbietern, Netzwerk, DNS, Proxy, Firewall

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SAPLogServ_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" für Datensammlungsregeln. In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Wir erstellen Ressourcen für Datensammlungsregel (Data Collection Rule, DCR) und Datensammlungsendpunkt (DATA Collection Endpoint, DCE). Außerdem erstellen wir eine Microsoft Entra App-Registrierung und weisen ihr die erforderlichen Berechtigungen zu.

Automatisierte Bereitstellung von Azure Ressourcen Durch Klicken auf "Bereitstellen von Pushconnectorressourcen" wird die Erstellung von DCR- und DCE-Ressourcen ausgelöst. Anschließend wird eine Microsoft Entra App-Registrierung mit geheimem Clientschlüssel erstellt und Berechtigungen für den DCR erteilt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe von OAuth v2-Clientanmeldeinformationen.

2. Verwalten der Details des Datensammlungsendpunkts und der Authentifizierungsinformationen in SAP LogServ

Geben Sie die Datensammlungsendpunkt-URL und die Authentifizierungsinformationen an den SAP LogServ-Administrator weiter, um SAP LogServ so zu konfigurieren, dass Daten an den Datensammlungsendpunkt gesendet werden.

Weitere Informationen finden Sie in dieser Blogreihe.

• Verwenden Sie diesen Wert, um als Mandanten-ID in der LogIngestionAPI-Anmeldeinformation zu konfigurieren.<>
• Entra Anwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra Anwendungsgeheimnis: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Verwenden Sie diesen Wert, um den Parameter LogsIngestionURL zu konfigurieren, wenn Sie den bei der Installation angegebenen Variablenwert IFlow.: <bereitstellen.>
• DCR-Unveränderliche ID: <Variablenwert, der zur Installationszeit angegeben wird>

---

SAP S/4HANA Cloud Public Edition

Unterstützt von:SAP

Der SAP S/4HANA Cloud Public Edition (GROW with SAP) Datenconnector ermöglicht die Erfassung des SAP-Sicherheitsüberwachungsprotokolls in der Microsoft Sentinel Solution for SAP und unterstützt Kreuzkorrelation, Warnungen und Bedrohungssuche. Suchen Sie nach alternativen Authentifizierungsmechanismen? Weitere Informationen finden Sie hier.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ABAPAuditLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Client-ID und geheimer Clientschlüssel für die Überwachungsabruf-API: Aktivieren Sie den API-Zugriff in BTP.
• Microsoft Sentinel für SAP-Inhaltspaket (mehr als 60 Analyseregeln, Arbeitsmappen, Parser usw.): Bereitstellen über Microsoft Sentinel Content Hub.

Setupanweisungen:

Schritt 1: Konfigurationsschritte für SAP S/4HANA Cloud Public Edition

Um eine Verbindung mit SAP S/4HANA Cloud Public Edition herzustellen, benötigen Sie Folgendes:

1. Konfigurieren einer Kommunikationsanordnung für das Kommunikationsszenario SAP_COM_0750

2. API-URL des SAP S/4HANA Cloud Public Edition-Mandanten

3. Gültiger Kommunikationsbenutzer (Benutzername und Kennwort) für Ihr SAP S/4HANA Cloud-System

4. Geeignete Autorisierungen für den Zugriff auf Überwachungsprotokolldaten über OData-Dienste

HINWEIS: Dieser Connector unterstützt die Standardauthentifizierung. Suchen Sie nach alternativen Authentifizierungsmechanismen? Siehe hier

Verbinden von Ereignissen von SAP S/4HANA Cloud Public Edition mit Microsoft Sentinel Solution for SAP

Herstellen einer Verbindung mithilfe der Standardauthentifizierung

S/4HANA Cloud Public Edition-Verbindungen

Jede Zeile stellt ein verbundenes S/4HANA Cloud Public Edition-System dar.

• Datenconnectors Grid (im Portal konfigurieren)

---

SecurityBridge-Lösung für SAP

Unterstützt von:SecurityBridge

SecurityBridge verbessert die SAP-Sicherheit durch die nahtlose Integration in Microsoft Sentinel und ermöglicht die Echtzeitüberwachung und Bedrohungserkennung in SAP-Umgebungen. Diese Integration ermöglicht es Security Operations Centers (SOCs), SAP-Sicherheitsereignisse mit anderen Organisationsdaten zu konsolidieren und eine einheitliche Ansicht der Bedrohungslandschaft zu bieten. SecurityBridge nutzt KI-gestützte Analysen und die Security Copilot von Microsoft und identifiziert komplexe Angriffsmuster und Sicherheitsrisiken in SAP-Anwendungen, einschließlich ABAP-Codeüberprüfung und Konfigurationsbewertungen. Die Lösung unterstützt skalierbare Bereitstellungen in komplexen SAP-Landschaften, egal ob lokal, in der Cloud oder in Hybridumgebungen. Durch die Überbrückung der Lücke zwischen IT- und SAP-Sicherheitsteams ermöglicht SecurityBridge Organisationen, Bedrohungen proaktiv zu erkennen, zu untersuchen und darauf zu reagieren, wodurch der allgemeine Sicherheitsstatus verbessert wird.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ABAPAuditLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" für Datensammlungsregeln. In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Wir erstellen Ressourcen für Datensammlungsregel (Data Collection Rule, DCR) und Datensammlungsendpunkt (DATA Collection Endpoint, DCE). Außerdem erstellen wir eine Microsoft Entra App-Registrierung und weisen ihr die erforderlichen Berechtigungen zu.

Automatisierte Bereitstellung von Azure Ressourcen Durch Klicken auf "Bereitstellen von Pushconnectorressourcen" wird die Erstellung von DCR- und DCE-Ressourcen ausgelöst. Anschließend wird eine Microsoft Entra App-Registrierung mit geheimem Clientschlüssel erstellt und Berechtigungen für den DCR erteilt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe von OAuth v2-Clientanmeldeinformationen.

2. Verwalten der Details des Datensammlungsendpunkts und der Authentifizierungsinformationen in SecurityBridge

Geben Sie die Datensammlungsendpunkt-URL und die Authentifizierungsinformationen an den SecurityBridge-Administrator weiter, um Securitybridge so zu konfigurieren, dass Daten an den Datensammlungsendpunkt gesendet werden.

Weitere Informationen finden Sie auf unserer WISSENS-Seite. https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface

• Verwenden Sie diesen Wert, um als Mandanten-ID in der LogIngestionAPI-Anmeldeinformation zu konfigurieren.<>
• Entra Anwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra Anwendungsgeheimnis: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Verwenden Sie diesen Wert, um den Parameter LogsIngestionURL zu konfigurieren, wenn Sie den bei der Installation angegebenen Variablenwert IFlow.: <bereitstellen.>
• DCR-Unveränderliche ID: <Variablenwert, der zur Installationszeit angegeben wird>
• Sentinel für SAP-Stream-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• SecurityBridge_CL Stream-ID: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>

---

Semperis Lightning Logs

Unterstützt von:Semperis

Der Semperis Lightning-Connector verwendet Azure Functions, um Semperis Lightning-Identitätssicherheitsdaten in Microsoft Sentinel zu erfassen. Der Connector stellt eine Azure-Funktion bereit und sammelt Daten zur Untersuchung und Bedrohungssuche in benutzerdefinierten Log Analytics-Tabellen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
LightningTier0Nodes_CL	Nein	Nein
LightningAttackPaths_CL	Nein	Nein
LightningIOEResults_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Semperis Lightning-API-Anmeldeinformationen: Ein Semperis Lightning-API-Schlüssel und die ausgewählte Zone (na oder eu) sind erforderlich, um den Connector für Semperis Lightning zu authentifizieren.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit Semperis Lightning herzustellen und Daten in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

Stellen Sie sicher, dass der Arbeitsbereich Microsoft Sentinel hinzugefügt wird, bevor Sie den Connector bereitstellen.

SCHRITT 1 : Konfigurieren des Zugriffs für Semperis Lightning

1. Melden Sie sich bei Ihrem Semperis Lightning-Mandanten an.
2. Erstellen oder Abrufen eines gültigen Semperis-API-Schlüssels für den Connectorzugriff.
3. Bestätigen Sie ihren Semperis Zone-Wert (na für Nordamerika oder eu für Europa) für die Verwendung während der Bereitstellung.

SCHRITT 2: Bereitstellen des Connectors "Semperis Lightning Logs" und der zugehörigen Azure-Funktion

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

SCHRITT 3: Festlegen der Connectorparameter

1. Wählen Sie das bevorzugte Abonnement und eine vorhandene Ressourcengruppe aus.
2. Geben Sie eine vorhandene Ressourcen-ID des Log Analytics-Arbeitsbereichs ein, die zur Ressourcengruppe gehört.
3. Klicken Sie auf Weiter.
4. Geben Sie Ihren Semperis-API-Schlüssel ein, und wählen Sie die Semperis-Zone aus.
5. Passen Sie optional den Connectorzeitplan an (Standard: alle 1 Stunde).
6. Überprüfen Sie die Einstellungen, und klicken Sie auf Erstellen.

---

SentinelOne (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der SentinelOne-Datenconnector ermöglicht das Erfassen von Protokollen aus der SentinelOne-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die SentinelOne-API zum Abrufen von Protokollen und unterstützt DCR-basierte Erfassungszeittransformationen , die die empfangenen Sicherheitsdaten in einer benutzerdefinierten Tabelle analysieren, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SentinelOneActivities_CL	Ja	Ja
SentinelOneAgents_CL	Ja	Ja
SentinelOneGroups_CL	Ja	Ja
SentinelOneThreats_CL	Ja	Ja
SentinelOneAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Konfigurationsschritte für die SentinelOne-API Befolgen Sie die Anweisungen zum Abrufen der Anmeldeinformationen. Sie können auch die Anleitung zum Generieren eines API-Schlüssels befolgen.

1. Rufen Sie die SentinelOne-Verwaltungs-URL 1.1 ab. Melden Sie sich bei SentinelOne [Management Console] mit Admin Benutzeranmeldeinformationen 1.2 an. Kopieren Sie in der [Management Console] den URL-Link oben ohne den URL-Pfad.

2. Api-Token 2.1 abrufen. Melden Sie sich bei SentinelOne [Management Console] mit Admin Benutzeranmeldeinformationen 2.2 an. Klicken Sie in der [Management Console] auf [Einstellungen] 2.3. Klicken Sie in der Ansicht [Einstellungen] auf [BENUTZER]. 2.4. Klicken Sie auf der Seite [BENUTZER] auf [Dienstbenutzer] -> [Aktionen] -> [Neuen Dienstbenutzer erstellen]. 2.5. Wählen Sie [Ablaufdatum] und [Bereich] (nach Website) aus, und klicken Sie auf [Benutzer erstellen]. 2.6. Nachdem der [Dienstbenutzer] erstellt wurde, kopieren Sie das [API-Token] von der Seite, und drücken Sie [Speichern]

• SentinelOne-Verwaltungs-URL: (https://example.sentinelone.net/)
• API-Token: (API-Token)
• Verbindung aktivieren/deaktivieren

---

Seraphic Web Security

Unterstützt von:Seraphic Security

Der Seraphic Web Security-Datenconnector bietet die Möglichkeit, Ereignisse und Warnungen von Seraphic Web Security in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SeraphicWebSecurity_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Seraphic-API-Schlüssel: API-Schlüssel für Microsoft Sentinel, der mit Ihrem Seraphic Web Security-Mandanten verbunden ist. Um diesen API-Schlüssel für Ihren Mandanten zu erhalten, besuchen Sie die Seite Integrationen in Ihrer Seraphic-Konsole.

Setupanweisungen:

Verbinden von Seraphic Web Security

Geben Sie den Integrationsnamen, die Seraphic-Integrations-URL und den Namen Ihres Arbeitsbereichs für Microsoft Sentinel ein:

---

Silverfort Admin Console

Unterstützt von:Silverfort

Die Silverfort ITDR Admin Console-Connectorlösung ermöglicht die Erfassung von Silverfort-Ereignissen und die Anmeldung bei Microsoft Sentinel. Silverfort bietet syslog-basierte Ereignisse und Protokollierung mit dem Common Event Format (CEF). Indem Sie Ihre Silverfort ITDR Admin Console CEF-Daten an Microsoft Sentinel weiterleiten, können Sie die Such- & Korrelation, Warnungen und Threat Intelligence-Anreicherung von Silverfort-Daten von Sentinels nutzen. Wenden Sie sich an Silverfort oder lesen Sie die Silverfort-Dokumentation, um weitere Informationen zu erhalten.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommonSecurityLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

1. Konfiguration des syslog-Agents Linux

Installieren und konfigurieren Sie den Linux-Agent, um Ihre CEF-Syslog-Nachrichten (Common Event Format) zu sammeln und an Microsoft Sentinel weiterzuleiten.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.

1.1 Auswählen oder Erstellen eines Linux Computers

Wählen Oder erstellen Sie einen Linux Computer, der Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel sich dieser Computer in Ihrer lokalen Umgebung, Azure oder anderen Clouds befinden kann.

1.2 Installieren des CEF-Collectors auf dem Linux Computer

Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux Computer, und konfigurieren Sie den Computer so, dass er den erforderlichen Port überwacht und Nachrichten an Ihren Microsoft Sentinel Arbeitsbereich weiterleitt. Der CEF-Collector sammelt CEF-Nachrichten an Port 514 TCP.

1. Stellen Sie sicher, dass Python auf Ihrem Computer installiert ist, indem Sie den folgenden Befehl verwenden: python -version.

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um den zum Zeitpunkt der Installation angegebenen CEF-Collector zu installieren und anzuwenden:<>

2. Weiterleiten von CEF-Protokollen (Common Event Format) an den Syslog-Agent

Legen Sie ihre Sicherheitslösung so fest, dass Syslog-Nachrichten im CEF-Format an den Proxycomputer gesendet werden. Stellen Sie sicher, dass Sie die Protokolle an Port 514 TCP auf der IP-Adresse des Computers senden.

3. Überprüfen der Verbindung

Befolgen Sie die Anweisungen, um Ihre Konnektivität zu überprüfen:

Öffnen Sie Log Analytics, um zu überprüfen, ob die Protokolle mithilfe des CommonSecurityLog-Schemas empfangen werden.

Es kann etwa 20 Minuten dauern, bis die Verbindung Daten an Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Verbindungsüberprüfungsskript aus:

1. Stellen Sie mit dem folgenden Befehl sicher, dass Python auf Ihrem Computer installiert ist: python -version

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:: <Variablenwert, der zur Installationszeit angegeben wurde>

**4. Schützen Ihres Computers **

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihres organization konfigurieren.

Weitere Informationen >

---

SlackAudit (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der SlackAudit-Datenconnector bietet die Möglichkeit, Slack-Überwachungsprotokolle über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SlackAuditV2_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• UserName, SlackAudit-API-Schlüssel & Aktionstyp: Um das Zugriffstoken zu generieren, erstellen Sie eine neue Anwendung in Slack, fügen Sie dann die erforderlichen Bereiche hinzu, und konfigurieren Sie die Umleitungs-URL. Ausführliche Anweisungen zum Generieren des Zugriffstokens, des Benutzernamens und des Aktionsnamenlimits finden Sie unter dem Link.

Setupanweisungen:

**Verbinden von SlackAudit mit Microsoft Sentinel

**

Um Daten aus SlackAudit in Microsoft Sentinel zu erfassen, müssen Sie unten auf die Schaltfläche Domäne hinzufügen klicken. Dann wird ein Popupfenster angezeigt, in dem Die Details ausgefüllt, die erforderlichen Informationen angegeben und auf Verbinden geklickt werden. Sie können die Benutzernamen und aktionen, die im Raster verbunden sind, sehen.

• Datenconnectors Grid (im Portal konfigurieren)

---

Snowflake (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Snowflake-Datenconnector bietet die Möglichkeit, Snowflake-Anmeldeverlaufsprotokolle, Abfrageverlaufsprotokolle, Benutzergewährungsprotokolle, Rollenzuweisungsprotokolle, Verlaufsprotokolle laden, Aktualisierungsverlaufsprotokolle für materialisierte Ansicht, Rollenprotokolle, Tabellenprotokolle, Tabellenspeichermetrikenprotokolle, Benutzeranmeldungen bei Microsoft Sentinel mithilfe der Snowflake SQL-API zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur Snowflake SQL-API .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SnowflakeLogin_CL	Ja	Ja
SnowflakeQuery_CL	Ja	Ja
SnowflakeUserGrant_CL	Ja	Ja
SnowflakeRoleGrant_CL	Ja	Ja
SnowflakeLoad_CL	Ja	Ja
SnowflakeMaterializedView_CL	Ja	Ja
SnowflakeRoles_CL	Ja	Ja
SnowflakeTables_CL	Ja	Ja
SnowflakeTableStorageMetrics_CL	Ja	Ja
SnowflakeUsers_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden von Snowflake mit Microsoft Sentinel

HINWEIS: Führen Sie den Parser mithilfe der Snowflake()-Funktion aus, um sicherzustellen, dass die Daten in separaten Spalten für jedes Feld angezeigt werden .

Um Daten von Snowflake zu sammeln, müssen Sie die folgenden Ressourcen bereitstellen:

1. Kontobezeichner Zum Sammeln von Daten von Snowflake benötigen Sie den Snowflake-Kontobezeichner.

2. Programmgesteuertes Zugriffstoken Zum Sammeln von Daten von Snowflake benötigen Sie das programmgesteuerte Zugriffstoken von Snowflake.

Ausführliche Anweisungen zum Abrufen des Kontobezeichners und des programmgesteuerten Zugriffstokens finden Sie im Connector-Tutorial.

• Datenconnectors Grid (im Portal konfigurieren)

---

SOC Prime Platform Audit Logs Data Connector

Unterstützt von:SOC Prime

Der SOC Prime Audit Logs-Datenconnector ermöglicht das Erfassen von Protokollen aus der SOC Prime Platform-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die SOC Prime Platform-API zum Abrufen von Überwachungsprotokollen für die SOC Prime-Plattform und unterstützt DCR-basierte Erfassungszeittransformationen , die die empfangenen Sicherheitsdaten in einer benutzerdefinierten Tabelle analysieren und so zu einer besseren Leistung führen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SOCPrimeAuditLogs_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Konfigurationsschritte für die SOC Prime Platform-API Befolgen Sie die Anweisungen zum Abrufen der Anmeldeinformationen. Sie können auch diesem Leitfaden folgen, um einen persönlichen API-Schlüssel zu generieren.

Abrufen des API-Schlüssels

1. Melden Sie sich bei der SOC Prime Platform an.
2. Klicken Sie auf das Symbol [Konto] –> [Plattformeinstellungen] –> [API]
3. Klicken Sie auf [Neuen Schlüssel hinzufügen]
4. Geben Sie in dem angezeigten modalen Namen für Ihren Schlüssel einen aussagekräftigen Namen, legen Sie das Ablaufdatum fest, und die Produkt-APIs, auf die der Schlüssel Zugriff bietet.
5. Klicken Sie auf [Generieren]
6. Kopieren Sie den Schlüssel, und speichern Sie ihn an einem sicheren Ort. Sie können es nicht mehr anzeigen, nachdem Sie dieses modale Element geschlossen haben.

• SOC Prime-API-Schlüssel: (API-Schlüssel)
• Verbindung aktivieren/deaktivieren

---

Sonrai-Datenconnector

Unterstützt von:N/A

Verwenden Sie diesen Datenconnector, um die Integration in Sonrai Security durchzuführen und Sonrai-Tickets direkt an Microsoft Sentinel zu erhalten.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Sonrai_Tickets_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Sonrai Security Data Connector

1. Navigieren Sie zu Sonrai Security Dashboard.
2. Klicken Sie im unteren linken Bereich auf Integrationen.
3. Wählen Sie Microsoft Sentinel aus der Liste der verfügbaren Integrationen aus.
4. Füllen Sie das Formular mit den unten angegebenen Informationen aus.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Sophos Endpoint Protection (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Sophos Endpoint Protection-Datenconnector bietet die Möglichkeit, Sophos-Ereignisse und Sophos-Warnungen in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zu Sophos Central Admin.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SophosEPEvents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Sophos Endpoint Protection-API-Zugriff: Zugriff auf die Sophos Endpoint Protection-API über einen Dienstprinzipal ist erforderlich.

Setupanweisungen:

Stellen Sie eine Verbindung mit der Sophos Endpoint Protection-API her, um mit dem Sammeln von Ereignis- und Warnungsprotokollen in Microsoft Sentinel

Befolgen Sie die Anweisungen von Sophos , um einen Dienstprinzipal mit Zugriff auf die Sophos-API zu erstellen. Sie benötigt die Rolle "ReadOnly" des Dienstprinzipals. Durch diese Anweisungen sollten Sie die Client-ID, den geheimen Clientschlüssel, die Mandanten-ID und den Datenbereich abrufen. Füllen Sie das Formular mit diesen Informationen aus.

• Sophos-Mandanten-ID: (Sophos-Mandanten-ID)
• Sophos Mandantendatenregion: (eu01, eu02, us01, us02 oder us03)
• Datenconnectors Grid (im Portal konfigurieren)

---

Symantec Integrated Cyber Defense Exchange

Unterstützt von:Microsoft Corporation

Mit dem Symantec ICDx-Connector können Sie Ihre Symantec-Sicherheitslösungsprotokolle ganz einfach mit Microsoft Sentinel verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Dadurch erhalten Sie mehr Einblick in das Netzwerk Ihrer organization und verbessern Ihre Sicherheitsfunktionen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SymantecICDx_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Konfigurieren und Verbinden von Symantec ICDx

1. Klicken Sie auf der ICDx-Navigationsleiste auf Konfiguration.
2. Klicken Sie oben auf dem Bildschirm Konfiguration auf Weiterleitungen, und klicken Sie neben Microsoft Sentinel (Log Analytics) auf Hinzufügen.
3. Klicken Sie im daraufhin geöffneten fenster Microsoft Sentinel (Log Analytics) auf Erweitert anzeigen. Informationen zum Festlegen erweiterter Features finden Sie in der Dokumentation.
4. Stellen Sie sicher, dass Sie einen Namen für die Weiterleitung festlegen und unter Azure Ziel die folgenden erforderlichen Felder festlegen:

• Arbeitsbereichs-ID: Fügen Sie die Arbeitsbereichs-ID auf der Connectorseite des Microsoft Sentinel Portals ein.
• Primärschlüssel: Fügen Sie den Primärschlüssel auf der Connectorseite des Microsoft Sentinel-Portals ein.
• Benutzerdefinierter Protokollname: Geben Sie den namen des benutzerdefinierten Protokolls in den Microsoft Azure-Portal Log Analytics-Arbeitsbereich ein, an den Sie Ereignisse weiterleiten möchten. Der Standardwert ist SymantecICDx.

5. Klicken Sie auf Speichern, und um die Weiterleitung zu starten, wechseln Sie zu Optionen > Weitere, und klicken Sie auf Start.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Synqly-Integrationsconnector

Unterstützt von:Synqly

Der Synqly-Connector bietet die Möglichkeit, Sicherheitsereignisse aus Synqly-Integrationen mithilfe der Azure Protokollerfassungs-API per Push in Microsoft Sentinel zu übertragen. Ereignisse werden automatisch in ASIM-Tabellen (Advanced Security Information Model) normalisiert, um sie mit Microsoft Sentinel Analysen, Arbeitsmappen und Huntingabfragen zu verwenden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra ID: Rolle "Anwendungsentwickler" (oder höher) zum Erstellen von App-Registrierungen.
• Microsoft Azure: Rolle "Besitzer" oder "Benutzerzugriffsadministrator" in der Ressourcengruppe, um DCR bereitzustellen und die Rolle Herausgeber von Überwachungsmetriken zuzuweisen.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Dieser Connector ermöglicht die pushbasierte Erfassung von Sicherheitsereignissen aus Synqly-Integrationen in Microsoft Sentinel. Ereignisse werden automatisch in ASIM-Tabellen (Advanced Security Information Model) normalisiert.

Connectorressourcen bereitstellen Durch Klicken auf "Bereitstellen" werden eine Datensammlungsregel (Data Collection Rule, DCR), ein Datensammlungsendpunkt (Data Collection Endpoint, DCE) und Entra Anwendung mit den erforderlichen Berechtigungen zum sicheren Senden von Daten an Microsoft Sentinel erstellt.

2. Erteilen zusätzlicher Berechtigungen (basierend auf dem Anwendungsfall)

Abhängig davon, wie Sie Synqly mit Microsoft Sentinel verwenden möchten, sind möglicherweise zusätzliche Rollen erforderlich.

Senkenconnector (schreibgeschützt): Keine zusätzlichen Berechtigungen erforderlich. SIEM-Connector (Lese-/Schreibzugriff): Zuweisen Microsoft Sentinel Mitwirkender Rolle für die Entra-Anwendung über die Azure-Benutzeroberfläche in Ihrem Log Analytics-Arbeitsbereich.

Ausführliche Anleitungen zur Einrichtung finden Sie in der Synqly-Dokumentation .

3. Pushen Ihrer Protokolle in den Arbeitsbereich

Stellen Sie diese Parameter für Ihre Synqly-Integration bereit. Der Synqly-Dienst verarbeitet automatisch die technischen Details der Datenerfassung, einschließlich der Formatierung von Ereignissen für eines der 10 unterstützten ASIM-Schemas (Authentication, AuditEvent, Dhcp, Dns, FileEvent, NetworkSession, ProcessEvent, RegistryEvent, UserManagement, WebSession).

Wichtig: Ereignisse mit nicht unterstützten Schematypen werden automatisch von Azure gelöscht. Wenn keine erwarteten Daten angezeigt werden, überprüfen Sie bei Ihrem Synqly-Integrationsanbieter, ob Ereignisse mit einem der oben aufgeführten unterstützten Schematypen gesendet werden.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Stream Name: <Variablenwert, der zur Installationszeit angegeben wird>

---

Syslog über AMA

Unterstützt von:Microsoft Corporation

Syslog ist ein Ereignisprotokoll, das für Linux üblich ist. Anwendungen senden Nachrichten, die möglicherweise auf dem lokalen Computer gespeichert oder an einen Syslog-Collector übermittelt werden. Wenn der Agent für Linux installiert ist, konfiguriert er den lokalen Syslog-Daemon für die Weiterleitung von Nachrichten an den Agent. Der Agent sendet die Nachricht dann an den Arbeitsbereich.

Weitere Informationen >

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Syslog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Stillschweigend kompromittierte Anmeldeinformationen

Unterstützt von:Data443 Risk Mitigation, Inc.

Erfassen kompromittierter Anmeldeinformationen aus TacitRed mithilfe des Common Connector Framework (CCF).

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
TacitRed_Findings_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Impliziter API-Schlüssel: API-Schlüssel, der in Azure Key Vault gespeichert oder zum Zeitpunkt der Bereitstellung bereitgestellt wird.

Setupanweisungen:

Verbinden von impliziten kompromittierten Anmeldeinformationen

Um den TacitRed-Connector zu aktivieren, geben Sie unten Ihren API-Schlüssel ein, und klicken Sie auf Verbinden.

Um die Sicherheit zu erhöhen, können Sie Key Vault Integration aktivieren, um den API-Schlüssel zu speichern und abzurufen.

• TacitRed-API-Schlüssel: (Geben Sie Ihren tacitRed-API-Schlüssel ein)
• Verbindung aktivieren/deaktivieren

---

Talon Insights

Unterstützt von:Talon Security

Mit dem Talon Security Logs-Connector können Sie Ihre Talon-Ereignisse und Überwachungsprotokolle ganz einfach mit Microsoft Sentinel verbinden, Um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Talon_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Bitte beachten Sie die folgenden Werte, und befolgen Sie die Anweisungen hier, um Ihre Talon Security-Ereignisse und Überwachungsprotokolle mit Microsoft Sentinel zu verbinden.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Tanium CCF Push Connector

Unterstützt von:Tanium Inc.

Diese Datenfeeds Microsoft Sentinel Arbeitsmappen und Playbooks, damit Analysten Incidents anreichern, Endpunktrisiken und -integrität visualisieren und Untersuchungs- und Reaktionsworkflows automatisieren können. Weitere Informationen zu Tanium finden Sie unter https://www.tanium.com/contact-us/

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
TaniumComplyCompliance_CL	Nein	Nein
TaniumComplyVulnerabilities_CL	Nein	Nein
TaniumDefenderHealth_CL	Nein	Nein
TaniumDiscoverUnmanagedAssets_CL	Nein	Nein
TaniumHighUptime_CL	Nein	Nein
TaniumPatchCoverageStatus_CL	Nein	Nein
TaniumPatchListApplicability_CL	Nein	Nein
TaniumPatchListCompliance_CL	Nein	Nein
TaniumSCCMClientHealth_CL	Nein	Nein
TaniumThreatResponse_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR).

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Dieser Connector ermöglicht Ihrem Tanium Server das direkte Pushen von Basic Inventory-Daten an Microsoft Sentinel über die Azure Monitor-Erfassungs-API.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung der Log Analytics-Tabelle und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht es, die Tanium-Daten mithilfe eines Entra Tokens sicher an den DCR zu senden.

2. Konfigurieren von Tanium-Verbindungen

Verwenden Sie die folgenden Parameter, um Ihre Tanium Connections so zu konfigurieren, dass Daten per Push an den Arbeitsbereich übertragen werden.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Protokolle zu Konformitätsergebnissen Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Compliance-Sicherheitsrisikoprotokolle Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Defender Health Logs Stream Name: <Variablenwert, der zur Installationszeit angegeben wird>
• Integritätsprotokolle für nicht verwaltete Ressourcen ermitteln Stream Name: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• High-Uptime-Protokolle Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Patch Coverage Status Logs Stream Name: <Variablenwert, der zur Installationszeit angegeben wird>
• Anwendbarkeitsprotokolle der Patchliste Stream Name: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Kompatibilitätsprotokolle für Patchlisten Stream Name: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• SCCM Clientintegritätsprotokolle Stream Name: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Bedrohungsreaktionswarnungsprotokolle Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

3. Erstellen der Verbindung in Tanium

Nachdem Sie den Datenconnector erfolgreich in Azure bereitgestellt haben, erstellen Sie die erforderliche Verbindung in Ihrem Tanium-Server im Connect-Modul. Weitere Informationen zum Connect-Modul finden Sie in der Tanium-Hilfe.

1. Laden Sie die Verbindungsimportdatei herunter.
2. Ersetzen Sie die Platzhalter durch die oben angezeigten Parameter.
3. Öffnen Sie in Ihrem Tanium Server das Connect-Modul.
4. Verwenden Sie die Importfunktion, um neue Verbindungen zu importieren.

---

Team Cymru Scout Data Connector (mit Azure Functions)

Unterstützt von:Team Cymru

Mit dem TeamCymruScout-Datenconnector können Benutzer Team Cymru Scout IP-, Domänen- und Kontonutzungsdaten zur Anreicherung in Microsoft Sentinel bringen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Cymru_Scout_Domain_Data_CL	Nein	Nein
Cymru_Scout_IP_Data_Foundation_CL	Nein	Nein
Cymru_Scout_IP_Data_Details_CL	Nein	Nein
Cymru_Scout_IP_Data_Communications_CL	Nein	Nein
Cymru_Scout_IP_Data_PDNS_CL	Nein	Nein
Cymru_Scout_IP_Data_Fingerprints_CL	Nein	Nein
Cymru_Scout_IP_Data_OpenPorts_CL	Nein	Nein
Cymru_Scout_IP_Data_x509_CL	Nein	Nein
Cymru_Scout_IP_Data_Summary_Details_CL	Nein	Nein
Cymru_Scout_IP_Data_Summary_PDNS_CL	Nein	Nein
Cymru_Scout_IP_Data_Summary_OpenPorts_CL	Nein	Nein
Cymru_Scout_IP_Data_Summary_Certs_CL	Nein	Nein
Cymru_Scout_IP_Data_Summary_Fingerprints_CL	Nein	Nein
Cymru_Scout_Account_Usage_Data_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Berechtigung zum Zuweisen einer Rolle zur registrierten Anwendung: Die Berechtigung zum Zuweisen einer Rolle zur registrierten Anwendung in Microsoft Entra ID ist erforderlich.
• Team Cymru Scout Anmeldeinformationen/Berechtigungen: Anmeldeinformationen für das Team Cymru Scout-Konto (Benutzername, Kennwort) sind erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Team Cymru Scout-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Schritte zum Erstellen des Team Cymru Scout-API-Schlüssels

Befolgen Sie diese Anweisungen, um einen Team Cymru Scout-API-Schlüssel zu erstellen.

1. Informationen zum Generieren eines API-Schlüssels, der als alternative Autorisierungsform verwendet werden soll, finden Sie im Dokument API-Schlüssel .

SCHRITT 2: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von TeamCymruScout Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 3: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von TeamCymruScout Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von TeamCymruScout Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 4: Abrufen der Objekt-ID Ihrer Anwendung in Microsoft Entra ID

Führen Sie nach dem Erstellen Ihrer App-Registrierung die Schritte in diesem Abschnitt aus, um die Objekt-ID abzurufen:

1. Wechseln Sie zu Microsoft Entra ID.
2. Wählen Sie im linken Menü Unternehmensanwendungen aus.
3. Suchen Sie ihre neu erstellte Anwendung in der Liste (Sie können nach dem von Ihnen angegebenen Namen suchen).
4. Klicken Sie auf die Anwendung.
5. Kopieren Sie auf der Übersichtsseite die Objekt-ID. Dies ist die AzureEntraObjectId, die für Ihre ARM-Vorlagenrollenzuweisung erforderlich ist.

SCHRITT 5: Zuweisen der Rolle "Mitwirkender" zur Anwendung in Microsoft Entra ID

Führen Sie die Schritte in diesem Abschnitt aus, um die Rolle zuzuweisen:

1. Wechseln Sie im Azure-Portal zu Ressourcengruppe, und wählen Sie Ihre Ressourcengruppe aus.
2. Wechseln Sie im linken Bereich zur Zugriffssteuerung (IAM).
3. Klicken Sie auf Hinzufügen, und wählen Sie dann Rollenzuweisung hinzufügen aus.
4. Wählen Sie Mitwirkender als Rolle aus, und klicken Sie auf Weiter.
5. Wählen Sie unter Zugriff zuweisen zu die Option aus User, group, or service principal.
6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den Namen Ihrer App ein, die Sie erstellt haben, und wählen Sie ihn aus.
7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink:/azure/role-based-access-control/role-assignments-portal

SCHRITT 6: Hochladen einer CSV-Datei mit Indictaors in watchlist

Führen Sie die Schritte in diesem Abschnitt aus, um eine CSV-Datei hochzuladen, die Indikatoren in der Watchlist enthält:

1. Wechseln Sie im Azure-Portal zu Microsoft Sentinel, und wählen Sie Ihren Arbeitsbereich aus.
2. Wechseln Sie im linken Bereich im Abschnitt Konfiguration zur Watchlist .
3. Klicken Sie auf TeamCymruScoutDomainData, und wählen Sie dann Massenupdate aus der Watchlist aktualisieren aus.
4. Laden Sie Ihre CSV-Dateien mit Domänenindikatoren unter Dateieingabe hochladen hoch, und klicken Sie auf Weiter: Überprüfen+erstellen.
5. Klicken Sie nach erfolgreicher Überprüfung auf Aktualisieren.
6. Führen Sie die gleichen Schritte aus, um die TeamCymruScoutIPData-Watchlist für IP-Indikatoren zu aktualisieren.

Referenzlink:Massenaktualisierung einer Watchlist

SCHRITT 7: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den TeamCymruScout-Datenconnector bereitstellen, sollten Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (der aus den folgenden Komponenten kopiert werden kann) sowie die TeamCymruScout-Anmeldeinformationen zur Verfügung stellen.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des TeamCymruScout-Datenconnectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Informationen ein: Location WorkspaceName Funktionsname TeamCymruScoutBaseURL AuthenticationType Benutzername Kennwort APIKey IPValues DomainType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den TeamCymruScout-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z.B. CymruScoutXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.12 oder höher aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Werten hinzu (Groß-/Kleinschreibung beachten): CymruScoutBaseURL AuthenticationType TeamCymruScoutBenutzername TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_TABLES

12. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Verwertbare Identitätsexposition

Unterstützt von:Tenable

Der Tenable Identity Exposure-Connector ermöglicht die Erfassung von Indikatoren der Exposition, Angriffsindikatoren und Trailflowprotokolle in Microsoft Sentinel. Mit den verschiedenen Arbeitsbüchern und Datenparsern können Sie Protokolle einfacher bearbeiten und Ihre Active Directory-Umgebung überwachen. Mit den Analysevorlagen können Sie Antworten auf verschiedene Ereignisse, Offenlegungen und Angriffe automatisieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Tenable_IE_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Zugriff auf TenableIE-Konfiguration: Berechtigungen zum Konfigurieren der Syslog-Warnungs-Engine

Setupanweisungen:

Dieser Datenconnector ist von afad_parser abhängig, die auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, die mit der Microsoft Sentinel Solution bereitgestellt wird.

1. Konfigurieren des Syslog-Servers

Sie benötigen zunächst einen Linux-Syslog-Server, an den TenableIE Protokolle sendet. In der Regel können Sie rsyslog unter Ubuntu ausführen. Sie können diesen Server dann nach Belieben konfigurieren. Es wird jedoch empfohlen, TenableIE-Protokolle in einer separaten Datei ausgeben zu können.

Konfigurieren Sie rsyslog so, dass Protokolle von Ihrer TenableIE-IP-Adresse akzeptiert werden. Gehen Sie gemäß einer der folgenden Optionen vor:

Option 1: Verwenden der AllowedSender-Direktive

Diese Konfiguration schränkt ein, welche Hosts Protokolle auf Netzwerkebene an Ihren Syslog-Server senden können. Es ist sicherer, da nicht autorisierte Verbindungen abgelehnt werden, bevor sie verarbeitet werden.

1. Laden Sie die Konfigurationsdatei herunter: 80-tenable-allowedsender.conf
2. Führen Sie im sudo-Modus aus: sudo -i
3. Legen Sie Ihre TenableIE-IP-Adresse fest: export TENABLE_IE_IP={Enter your IP address}
4. Ausführen der Befehle aus der heruntergeladenen Konfigurationsdatei
5. Starten Sie rsyslog neu: systemctl restart rsyslog

Option 2: Filtern von Protokollen nach Quell-IP-Adresse (für Umgebungen mit mehreren Syslog-Quellen)

Diese Konfiguration akzeptiert alle eingehenden Protokolle, verarbeitet jedoch nur diese von der angegebenen TenableIE-IP-Adresse. Dies ist besonders nützlich, wenn Sie über mehrere Syslog-Server oder Anwendungen verfügen, die Protokolle an denselben Syslog-Server senden und Sie nur TenableIE-Protokolle selektiv verarbeiten möchten.

1. Laden Sie die Konfigurationsdatei herunter: 80-tenable-filter.conf
2. Führen Sie im sudo-Modus aus: sudo -i
3. Legen Sie Ihre TenableIE-IP-Adresse fest: export TENABLE_IE_IP={Enter your IP address}
4. Ausführen der Befehle aus der heruntergeladenen Konfigurationsdatei
5. Starten Sie rsyslog neu: systemctl restart rsyslog

2. Installieren und Integrieren des Microsoft-Agents für Linux

Der OMS-Agent empfängt die TenableIE-Syslog-Ereignisse und veröffentlicht sie in Microsoft Sentinel :

Wählen Sie aus, wo der Agent installiert werden soll:

Installieren des Agents auf Azure Linux virtuellen Computer

Wählen Sie den Computer aus, auf dem der Agent installiert werden soll, und klicken Sie dann auf Verbinden.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Installieren des Agents auf einem Computer ohne Azure Linux

Laden Sie den Agent auf den entsprechenden Computer herunter, und befolgen Sie die Anweisungen.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

3. Überprüfen der Agent-Protokolle auf dem Syslog-Server

tail -f /var/opt/microsoft/omsagent/log/omsagent.log

4. Konfigurieren von TenableIE zum Senden von Protokollen an Ihren Syslog-Server

Navigieren Sie in Ihrem TenableIE-Portal zu System, Konfiguration und dann zu Syslog. Von dort aus können Sie eine neue Syslog-Warnung für Ihren Syslog-Server erstellen.

Überprüfen Sie anschließend, ob die Protokolle ordnungsgemäß auf Ihrem Server in einer separaten Datei gesammelt werden (dazu können Sie die Schaltfläche Konfiguration testen in der Syslog-Warnungskonfiguration in TenableIE verwenden). Wenn Sie die Schnellstartvorlage verwendet haben, lauscht der Syslog-Server standardmäßig an Port 514 in UDP und 1514 in TCP ohne TLS.

Hinweis: Beide Konfigurationsoptionen aus Schritt 1 konfigurieren den Syslog-Server so, dass er sowohl für UDP- als auch tcp-Verbindungen an Port 514 lauscht.

5. Konfigurieren der benutzerdefinierten Protokolle

Konfigurieren Sie den Agent, um die Protokolle zu sammeln.

1. Wechseln Sie Microsoft Sentinel zu Konfiguration –> Einstellungen –> Arbeitsbereichseinstellungen –> Benutzerdefinierte Protokolle.
2. Klicken Sie auf Benutzerdefiniertes Protokoll hinzufügen.
3. Laden Sie eine Beispieldatei TenableIE.log Syslog vom Linux Computer hoch, auf dem der Syslog-Server ausgeführt wird, und klicken Sie auf Weiter.
4. Legen Sie das Datensatztrennzeichen auf Neue Zeile fest, falls noch nicht die Groß-/Kleinschreibung vorhanden ist, und klicken Sie auf Weiter.
5. Wählen Sie Linux aus, und geben Sie den Dateipfad zur Syslog-Datei ein, klicken Sie auf + und dann auf Weiter. Der Standardspeicherort der Datei ist /var/log/TenableIE.log , wenn Sie über eine Tenable-Version <3.1.0 verfügen, müssen Sie auch diesen Linux-Dateispeicherort /var/log/AlsidForAD.loghinzufügen.
6. Legen Sie Name auf Tenable_IE_CL fest (Azure fügt automatisch _CL am Ende des Namens hinzu. Es muss nur ein Name vorhanden sein. Stellen Sie sicher, dass der Name nicht Tenable_IE_CL_CL ist).
7. Klicken Sie auf Weiter. Daraufhin wird eine Fortsetzung angezeigt, und klicken Sie dann auf Erstellen.

6. Viel Spaß!

Sie sollten jetzt Protokolle in der Tenable_IE_CL Tabelle empfangen können. Protokolldaten können mithilfe der funktion afad_parser() analysiert werden, die von allen Abfragebeispielen, Arbeitsmappen und Analysevorlagen verwendet wird.

---

Tenable Vulnerability Management (mit Azure Functions)

Unterstützt von:Tenable

Der TVM-Datenconnector bietet die Möglichkeit, Ressourcen, Sicherheitsrisiken, Compliance, WAS-Ressourcen und WAS-Sicherheitsrisiken mithilfe von TVM-REST-APIs in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector bietet die Möglichkeit, Daten abzurufen, um potenzielle Sicherheitsrisiken zu untersuchen, Einblicke in Ihre Computerressourcen zu erhalten, Konfigurationsprobleme zu diagnostizieren und vieles mehr.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Tenable_VM_Asset_CL	Ja	Ja
Tenable_VM_Vuln_CL	Ja	Ja
Tenable_VM_Compliance_CL	Ja	Ja
Tenable_WAS_Asset_CL	Ja	Ja
Tenable_WAS_Vuln_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Für den Zugriff auf die Tenable-REST-API sind sowohl ein TenableAccessKey als auch ein TenableSecretKey erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Durable Functions, um eine Verbindung mit der TenableVM-API herzustellen, um Ressourcen, Sicherheitsrisiken und Compliance (sofern ausgewählt) in regelmäßigen Abständen in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem TenableVM-Parser für Sicherheitsrisiken und einem TenableVM-Parser für Ressourcen abhängig, die auf einer Kusto-Funktion basieren, um wie erwartet zu funktionieren, die mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1: Konfigurationsschritte für TenableVM

Befolgen Sie die Anweisungen , um die erforderlichen API-Anmeldeinformationen abzurufen.

SCHRITT 2: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von TenableVM Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 3: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von TenableVM Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von TenableVM Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 4: Abrufen der Objekt-ID Ihrer Anwendung in Microsoft Entra ID

Führen Sie nach dem Erstellen Ihrer App-Registrierung die Schritte in diesem Abschnitt aus, um die Objekt-ID abzurufen:

1. Wechseln Sie zu Microsoft Entra ID.
2. Wählen Sie im linken Menü Unternehmensanwendungen aus.
3. Suchen Sie ihre neu erstellte Anwendung in der Liste (Sie können nach dem von Ihnen angegebenen Namen suchen).
4. Klicken Sie auf die Anwendung.
5. Kopieren Sie auf der Übersichtsseite die Objekt-ID. Dies ist die AzureEntraObjectId, die für Ihre ARM-Vorlagenrollenzuweisung erforderlich ist.

SCHRITT 5: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure Funktions-App bereitzustellen.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Datenconnectors tenableVM Vulnerability Management Report mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe, den Namen und den Standort der FunctionApp aus.

3. Geben Sie die folgenden Informationen ein:

   a. WorkspaceName : Geben Sie den Arbeitsbereichsnamen des Log Analytics-Arbeitsbereichs ein.

   b. TenableAccessKey : Geben Sie den Zugriffsschlüssel für die Verwendung der Tenable-API ein.

   c. TenableSecretKey : Geben Sie den zehnbaren geheimen Schlüssel für die Authentifizierung ein.

   d. AzureClientID: Geben Sie Azure Client-ID ein.

   e. AzureClientSecret: Geben Sie Azure geheimen Clientschlüssel ein.

   f. TenantID : Geben Sie die Aus den obigen Schritten abgerufene Mandanten-ID ein.

   g. AzureEntraObjectId: Geben Sie Azure Objekt-ID ein, die Sie aus den obigen Schritten erhalten haben.

   h. LowestSeveritytoStore : Niedrigster Sicherheitsrisikoschweregrad, der gespeichert werden soll. Zulässige Werte: Info, Niedrig, Mittel, Hoch, Kritisch. Der Standardwert ist Info.

   i. ComplianceDataIngestion : Wählen Sie true aus, wenn Sie die Compliancedatenerfassung von Tenable-VMs aktivieren möchten. Der Standardwert ist „false“.

   j. WASAssetDataIngestion : Wählen Sie true aus, wenn Sie die Was-Ressourcendatenerfassung von Tenable-VMs aktivieren möchten. Der Standardwert ist „false“.

   k. WASVulnerabilityDataIngestion : Wählen Sie true aus, wenn Sie die WAS-Datenerfassung für Sicherheitsrisiken von Tenable-VMs aktivieren möchten. Der Standardwert ist „false“.

   L. LowestSeveritytoStoreWAS : Der niedrigste Schweregrad der Sicherheitsanfälligkeit, der für WAS gespeichert werden soll. Zulässige Werte: Info, Niedrig, Mittel, Hoch, Kritisch. Der Standardwert ist Info.

   M. TenableExportScheduleInMinutes : Planen Sie in Minuten, um einen neuen Exportauftrag von Tenable VM zu erstellen. Der Standardwert ist 1440.

   N. AssetTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von Assetdatenprotokollen verwendet wird.

   O. VulnTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von Sicherheitsrisikodatenprotokollen verwendet wird.

   P. ComplianceTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von Konformitätsdatenprotokollen verwendet wird.

   Q. WASAssetTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von WAS-Ressourcendatenprotokollen verwendet wird.

   R. WASVulnTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von WAS-Sicherheitsrisikodatenprotokollen verwendet wird.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den TenableVM-Datenconnector für den Bericht zur Verwaltung von Sicherheitsrisiken manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. TenableVMXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.12 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (groß-/kleinschreibung beachten):

    a. WorkspaceName : Geben Sie den Arbeitsbereichsnamen des Log Analytics-Arbeitsbereichs ein.

    b. TenableAccessKey : Geben Sie den Zugriffsschlüssel für die Verwendung der Tenable-API ein.

    c. TenableSecretKey : Geben Sie den zehnbaren geheimen Schlüssel für die Authentifizierung ein.

    d. AzureClientID: Geben Sie Azure Client-ID ein.

    e. AzureClientSecret: Geben Sie Azure geheimen Clientschlüssel ein.

    f. TenantID : Geben Sie die Aus den obigen Schritten abgerufene Mandanten-ID ein.

    g. AzureEntraObjectId: Geben Sie Azure Objekt-ID ein, die Sie aus den obigen Schritten erhalten haben.

    h. LowestSeveritytoStore : Niedrigster Sicherheitsrisikoschweregrad, der gespeichert werden soll. Zulässige Werte: Info, Niedrig, Mittel, Hoch, Kritisch. Der Standardwert ist Info.

    i. ComplianceDataIngestion : Wählen Sie true aus, wenn Sie die Compliancedatenerfassung von Tenable-VMs aktivieren möchten. Der Standardwert ist „false“.

    j. WASAssetDataIngestion : Wählen Sie true aus, wenn Sie die Was-Ressourcendatenerfassung von Tenable-VMs aktivieren möchten. Der Standardwert ist „false“.

    k. WASVulnerabilityDataIngestion : Wählen Sie true aus, wenn Sie die WAS-Datenerfassung für Sicherheitsrisiken von Tenable-VMs aktivieren möchten. Der Standardwert ist „false“.

    L. LowestSeveritytoStoreWAS : Der niedrigste Schweregrad der Sicherheitsanfälligkeit, der für WAS gespeichert werden soll. Zulässige Werte: Info, Niedrig, Mittel, Hoch, Kritisch. Der Standardwert ist Info.

    M. TenableExportScheduleInMinutes : Planen Sie in Minuten, um einen neuen Exportauftrag von Tenable VM zu erstellen. Der Standardwert ist 1440.

    N. AssetTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von Assetdatenprotokollen verwendet wird.

    O. VulnTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von Sicherheitsrisikodatenprotokollen verwendet wird.

    P. ComplianceTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von Konformitätsdatenprotokollen verwendet wird.

    Q. WASAssetTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von WAS-Ressourcendatenprotokollen verwendet wird.

    R. WASVulnTableName : Geben Sie den Namen der Tabelle ein, die zum Speichern von WAS-Sicherheitsrisikodatenprotokollen verwendet wird.

    s. PyTenableUAVendor: Der Wert muss auf Microsoft festgelegt werden.

    T. PyTenableUAProduct: Der Wert muss auf Microsoft Sentinel festgelegt werden.

    U. PyTenableUABuild: Der Wert muss auf 3.1.0 festgelegt werden.

12. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Mandantenbasierte Microsoft Defender für Cloud

Unterstützt von:Microsoft Corporation

Microsoft Defender für Cloud ist ein Sicherheitsverwaltungstool, mit dem Sie Bedrohungen in Azure-, Hybrid- und Multi-Cloud-Workloads erkennen und schnell darauf reagieren können. Mit diesem Connector können Sie Ihre MDC-Sicherheitswarnungen von Microsoft 365 Defender in Microsoft Sentinel streamen, sodass Sie die Vorteile von XDR-Korrelationen nutzen können, die die Punkte über Ihre Cloudressourcen, Geräte und Identitäten hinweg verbinden und die Daten in Arbeitsmappen anzeigen, Abfragen durchführen sowie Incidents untersuchen und darauf reagieren können. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityAlert	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Verbinden von mandantenbasiertem Microsoft Defender for Cloud mit Microsoft Sentinel

Nach dem Herstellen einer Verbindung mit diesem Connector werden alle Warnungen Ihrer Microsoft Defender für Cloudabonnements an diesen Microsoft Sentinel Arbeitsbereich gesendet.

Ihre Microsoft Defender für Cloud-Warnungen sind mit dem Stream über Microsoft 365 Defender verbunden. Um von der automatisierten Gruppierung der Warnungen in Incidents zu profitieren, verbinden Sie den Microsoft 365 Defender-Incidents-Connector. Incidents können in der Incidentwarteschlange angezeigt werden.

---

TheHive (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der TheHive-Datenconnector bietet die Möglichkeit, Daten der TheHive-Plattform zur Reaktion auf Sicherheitsvorfälle über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector bietet die Möglichkeit, Fälle, Aufgaben und Warnungen von TheHive abzurufen und in Microsoft Sentinel zu visualisieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
TheHiveData	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• TheHive-API-Zugriff: TheHive API Version 4 und höher ist für die TheHive-API erforderlich.

Setupanweisungen:

1. Konfiguration

Befolgen Sie die Anweisungen zum Konfigurieren des TheHive-Connectors.

• TheHive-Basis-URL: (TheHive instance Basis-URL (z. B. https://thehive.example.com)) Rufen Sie den API-Schlüssel aus Ihren TheHive-Benutzerprofileinstellungen ab. (oder ein dedizierter Benutzer, der zu diesem Zweck erstellt wurde)

• API-Schlüssel: (API-Schlüssel für TheHive-API)

2. Verbinden

Aktivieren Sie den TheHive-Connector.

• Verbindung aktivieren/deaktivieren

---

Theom

Unterstützt von:Theom

Theom Data Connector ermöglicht Es Organisationen, ihre Theom-Umgebung mit Microsoft Sentinel zu verbinden. Mit dieser Lösung können Benutzer Warnungen zu Datensicherheitsrisiken erhalten, Incidents erstellen und anreichern, Statistiken überprüfen und SOAR-Playbooks in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
TheomAlerts_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

1. Klicken Sie in der Theom-UI-Konsole auf der Seitenleiste auf Verwalten –> Warnungen.
2. Wählen Sie Sentinel Registerkarte aus.
3. Klicken Sie auf die Schaltfläche Aktiv , um die Konfiguration zu aktivieren.
4. Geben Sie Primary die Taste als ein. Authorization Token
5. Geben Sie als ein Endpoint URL . https://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01
6. Klicken Sie auf SAVE SETTINGS

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Threat Intelligence – TAXII

Unterstützt von:Microsoft Corporation

Microsoft Sentinel lässt sich in TAXII 2.0- und 2.1-Datenquellen integrieren, um überwachung, Warnungen und Hunting mithilfe Ihrer Threat Intelligence zu ermöglichen. Verwenden Sie diesen Connector, um die unterstützten STIX-Objekttypen von TAXII-Servern an Microsoft Sentinel zu senden. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs und Dateihashes umfassen. Weitere Informationen finden Sie in der Microsoft Sentinel Dokumentation >.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Threat Intelligence-Plattformen

Unterstützt von:Microsoft Corporation

Microsoft Sentinel lässt sich in Microsoft Graph Sicherheits-API Datenquellen integrieren, um die Überwachung, Warnung und Suche mithilfe Ihrer Threat Intelligence zu ermöglichen. Verwenden Sie diesen Connector, um Bedrohungsindikatoren von Ihrer Threat Intelligence Platform (TIP) wie Threat Connect, Palo Alto Networks MindMeld, MISP oder anderen integrierten Anwendungen an Microsoft Sentinel zu senden. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs und Dateihashes umfassen. Weitere Informationen finden Sie in der Microsoft Sentinel Dokumentation >.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Threat Intelligence-Upload-API (Vorschau)

Unterstützt von:Microsoft Corporation

Microsoft Sentinel bietet eine API auf Datenebene, um Threat Intelligence von Ihrer Threat Intelligence-Plattform (TIP) wie Threat Connect, Palo Alto Networks MineMeld, MISP oder anderen integrierten Anwendungen einzubringen. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs, Dateihashes und E-Mail-Adressen enthalten. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

**Sie können Ihre Threat Intelligence-Datenquellen mit Microsoft Sentinel verbinden, indem Sie eine der folgenden Aktionen ausführen: **

Verwenden einer integrierten Threat Intelligence-Plattform (TIP), z. B. Threat Connect, Palo Alto Networks MineMeld, MISP und andere.

Direktes Aufrufen der Microsoft Sentinel Datenebenen-API aus einer anderen Anwendung.

• Hinweis: Der "Status" des Connectors wird hier nicht als "Verbunden" angezeigt, da die Daten durch einen API-Aufruf erfasst werden.

**Führen Sie die folgenden Schritte aus, um eine Verbindung mit Ihrer Threat Intelligence herzustellen: **

1. Abrufen Microsoft Entra ID Zugriffstokens

Zum Senden einer Anforderung an die APIs müssen Sie Microsoft Entra ID Zugriffstoken abrufen. Sie können die Anweisungen auf dieser Seite befolgen: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

• Hinweis: Fordern Sie Microsoft Entra ID Zugriffstoken mit dem Bereichswert an: [variables('managementUri')]

2. Senden von STIX-Objekten an Sentinel

Sie können die unterstützten STIX-Objekttypen senden, indem Sie unsere Upload-API aufrufen. Weitere Informationen zur API finden Sie hier.

HTTP-Methode: POST

Endpunkt: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01-preview

WorkspaceID: Der Arbeitsbereich, in den die STIX-Objekte hochgeladen werden.

Headerwert 1: "Authorization" = "Bearer [Microsoft Entra ID Zugriffstoken aus Schritt 1]"

Headerwert 2: "Content-Type" = "application/json"

Body: Der Text ist ein JSON-Objekt, das ein Array von STIX-Objekten enthält.

---

Übertragungssicherheitsconnector (mit Azure Functions)

Unterstützt von:Übertragungssicherheit

Der [Übertragungssicherheit]-Datenconnector bietet die Möglichkeit, allgemeine Übertragungsereignisse Sicherheits-API über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation. Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
TransmitSecurityActivity_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Client-ID: TransmitSecurityClientID ist erforderlich. Weitere Informationen zur API im finden Sie in der https://developer.transmitsecurity.com/Dokumentation.
• Geheimer REST-API-Clientschlüssel: TransmitSecurityClientSecret ist erforderlich. Weitere Informationen zur API im finden Sie in der https://developer.transmitsecurity.com/Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit dem Übertragungs-Sicherheits-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1 : Konfigurationsschritte für die Übertragungs-Sicherheits-API

Befolgen Sie die Anweisungen, um die Anmeldeinformationen abzurufen.

1. Melden Sie sich beim Übertragungssicherheitsportal an.
2. Konfigurieren sie eine Verwaltungs-App. Geben Sie der App einen geeigneten Namen, z. B. MyAzureSentinelCollector.
3. Speichern Sie die Anmeldeinformationen des neuen Benutzers für die Verwendung im Datenconnector.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Connector für Übertragungssicherheitsdaten bereitstellen, verwenden Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Connectors zum Übertragen von Sicherheitsdaten mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe.

3. Geben Sie TransmitSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityPullEndpoint, TransmitSecurityTokenEndpoint und deploy ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Connector zum Übertragen von Sicherheitsdaten manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus.

   Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus.

   Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist.

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zum Azure-Portal für die Konfiguration der Funktions-App.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie Umgebungsvariablen aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (groß-/kleinschreibung beachten):

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityPullEndpoint
    • TransmitSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri , um den Log Analytics-API-Endpunkt für eine dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für die Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Übernehmen.

---

Trellix Endpoint Security (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit dem Trellix Endpoint Security-Datenconnector können Sie Sicherheitsereignisse von Trellix ePO (ePolicy Orchestrator) in Microsoft Sentinel erfassen. Dieser Connector verwendet die Authentifizierung von OAuth2-Clientanmeldeinformationen und verarbeitet automatisch die Paginierung, um umfassende Endpunktsicherheitsdaten zu sammeln, einschließlich Bedrohungserkennungen, Analyseinformationen, Quell- und Zielsystemdetails und Bedrohungsreaktionsaktionen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
TrellixEvents	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

1. API-Konfiguration

Konfigurieren Sie Ihre Trellix ePO-API-Verbindung.

• API-Basis-URL: (https://api.manage.trellix.com) Authentifizierung

Geben Sie Ihren API-Schlüssel für die Authentifizierung an. Dies wird im x-api-key-Header gesendet.

• API-Schlüssel: (Geben Sie Ihren API-Schlüssel ein)

Hinweis: Der API-Schlüssel wird sicher gespeichert und für die Authentifizierung mit der Trellix ePO-API verwendet.

2. Authentifizierungskonfiguration

Konfigurieren Sie die OAuth2-Authentifizierungsanmeldeinformationen.

• Tokenendpunkt: (https://iam.cloud.trellix.com/iam/v1.0/token) OAuth2-Konfiguration Konfigurieren Sie die OAuth2-Clientanmeldeinformationen für den API-Zugriff. Weitere Informationen zum Trellix-API-Autorisierungsmodell finden Sie unter https://developer.manage.trellix.com/public/mvision/docs/umam

• Client-ID: (Ihre Client-ID)

• Geheimer Clientschlüssel: (Ihr geheimer Clientschlüssel)

Hinweis: Die OAuth2-Authentifizierung bietet sicheren Zugriff auf Ihre API-Endpunkte.

3. Connector aktivieren

Aktivieren des Trellix Endpoint Security-Connectors

Connectoraktivierung

Überprüfen Sie Ihre Konfiguration, und aktivieren Sie den Connector, um mit dem Sammeln von Sicherheitsereignissen zu beginnen.

• Aktivieren/Deaktivieren der Verbindung nach der Verbindung

Nachdem Sie eine Verbindung hergestellt haben, überwachen Sie den Connector status auf der Seite Datenconnectors. Die Daten sollten innerhalb von 5 bis 10 Minuten angezeigt werden.

---

Trend Vision One (mit Azure Functions)

Unterstützt von:Trend Micro

Mit dem Trend Vision One-Connector können Sie Ihre Workbench-Warnungsdaten ganz einfach mit Microsoft Sentinel verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und überwachungs- und untersuchungsfunktionen zu verbessern. Dadurch erhalten Sie mehr Einblick in die Netzwerke/Systeme Ihrer organization und verbessern Ihre Sicherheitsfunktionen.

Der Trend Vision One-Connector wird in Microsoft Sentinel in den folgenden Regionen unterstützt: Australien, Osten, Australien, Südosten, Brasilien, Süden, Kanada, Mitte, Kanada, Osten, Indien, Mitte, USA, Mitte, Asien, Osten, USA, Osten 2, Frankreich, Mitte, Japan, Osten, Korea, Mitte, USA, Norden-Mitte, Norwegen, Osten, Südafrika, Norden, USA, Süden-Mitte, Asien, Südosten, Schweden, Mitte, Schweiz, Norden, VAE, Norden, Vereinigtes Königreich, Süden, Vereinigtes Königreich, Westen, Europa, Westen, USA, Westen, USA, Westen 2, USA, Westen 3.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
TrendMicro_XDR_WORKBENCH_CL	Nein	Nein
TrendMicro_XDR_RCA_Task_CL	Nein	Nein
TrendMicro_XDR_RCA_Result_CL	Nein	Nein
TrendMicro_XDR_OAT_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Trend Vision One-API-Token: Ein Trend Vision One-API-Token ist erforderlich. Weitere Informationen zur Trend Vision One-API finden Sie in der Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Trend Vision One-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Trend Vision One-API

Befolgen Sie diese Anweisungen , um ein Konto und ein API-Authentifizierungstoken zu erstellen.

SCHRITT 2: Verwenden Sie die folgende Bereitstellungsoption, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Trend Vision One-Connector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus den folgenden Beispielen kopiert werden) sowie das Trend Vision One API-Autorisierungstoken, das sofort verfügbar ist.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Bereitstellung von Azure Resource Manager -Vorlagen (ARM)

Diese Methode bietet eine automatisierte Bereitstellung des Trend Vision One-Connectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie einen eindeutigen Funktionsnamen, eine Arbeitsbereichs-ID, einen Arbeitsbereichsschlüssel, ein API-Token und einen Regionscode ein.

• Hinweis: Geben Sie den entsprechenden Regionscode an, der darauf basiert, wo Ihr Trend Vision One instance bereitgestellt wird: us, eu, au, in, sg, jp
• Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.
5. Klicken Sie zum Bereitstellen auf Kaufen .

---

Tropicalo Security – Warnungen

Unterstützt von:TROPICALO Security

Erfassen Sie Sicherheitswarnungen von Tropicalo Security Platform im OCSF-Sicherheitserkennungsformat.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
{{graphQueriesTableName}}	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Verbinden von Tropicalo Security Platform

Geben Sie Ihren schreibgeschützten API-Schlüssel in Den Tropicalo-Einstellungen ein.

• API-Schlüssel: (trop_xxxx...)
• Verbindung aktivieren/deaktivieren

---

Tropicalo Security - Veranstaltungen

Unterstützt von:TROPICALO Security

Erfassen Sie Sicherheitsereignisse von Tropicalo Security Platform im OCSF-Sicherheitserkennungsformat.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
{{graphQueriesTableName}}	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Verbinden von Tropicalo Security Platform

Geben Sie Ihren schreibgeschützten API-Schlüssel in Den Tropicalo-Einstellungen ein.

• API-Schlüssel: (trop_xxxx...)
• Verbindung aktivieren/deaktivieren

---

Tropicalo Security – Incidents

Unterstützt von:TROPICALO Security

Erfassen Sie Vorfälle von Angreifersitzungen von Tropicalo Security Platform.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
{{graphQueriesTableName}}	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Verbinden von Tropicalo Security Platform

Geben Sie Ihren schreibgeschützten API-Schlüssel in Den Tropicalo-Einstellungen ein.

• API-Schlüssel: (trop_xxxx...)
• Verbindung aktivieren/deaktivieren

---

Upwind Logs Loader (Erfassungs-API)

Unterstützt von:Upwind

Der Upwind Logs Loader-Datenconnector erfasst Computeplattformressourcen aus der Upwind-Cloudsicherheitsplattform in einer Microsoft Sentinel benutzerdefinierten Tabelle mithilfe einer Azure-Funktion und der Azure Monitor-Erfassungs-API (DCE/DCR).

Upwind bietet laufzeitgestützte Cloudsicherheit und korreliert den Cloudstatus mit dem Liveworkloadkontext. Dieser Connector zeigt Ihren Upwind-Bestand – Computeplattformressourcen in AWS, GCP und Azure – direkt in Microsoft Sentinel für Korrelation, Suche und Incidentanreicherung an.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
UpwindLogsAssets_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Upwind-API-Anmeldeinformationen: Eine Upwind-API-Client-ID und ein geheimer Clientschlüssel sind erforderlich. Rufen Sie diese von Ihrer Upwind-Plattform unter Einstellungen → API-Schlüssel ab. Die Clientanmeldeinformationen werden für die Authentifizierung bei https://auth.upwind.io/oauth/token verwendet, um ein Bearertoken zu erhalten.
• Upwind-Organisations-ID: Ihre Upwind-Organisations-ID ist erforderlich. Suchen Sie es auf der Upwind-Plattform unter Einstellungen → Organisation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions und die Azure Monitor-Erfassungs-API (DCE/DCR), um Upwind-Protokolle in Microsoft Sentinel zu pushen. Die ARM-Vorlage erstellt automatisch den Datensammlungsendpunkt, die benutzerdefinierte Protokolltabelle (UpwindLogsAssets_CL), die Datensammlungsregel und die Rollenzuweisung. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Preisübersicht.

(Optional) Wählen Sie während der Bereitstellung Key Vault als Authentifizierungsmethode aus, um Ihren geheimen Upwind-Clientschlüssel sicher zu speichern. Sie können einen vorhandenen Key Vault Namen angeben oder die Vorlage erstellen lassen. Eine benutzerseitig zugewiesene verwaltete Identität wird automatisch mit den erforderlichen Key Vault-Zugriffsrichtlinien konfiguriert.

SCHRITT 1: Abrufen von Upwind-API-Anmeldeinformationen

1. Melden Sie sich bei der Upwind-Plattform an.
2. Navigieren Sie zu Einstellungen → API-Schlüssel.
3. Erstellen Sie einen neuen API-Schlüssel, und notieren Sie sich die Client-ID und den geheimen Clientschlüssel.
4. Navigieren Sie zu Einstellungen → Organisation, und notieren Sie sich Ihre Organisations-ID.

SCHRITT 2: Bereitstellen der Azure-Funktions-App

Klicken Sie auf Bereitstellen in Azure, und geben Sie die Parameter ein. Die Vorlage erstellt automatisch die DCE, UpwindLogs_CL die Tabelle, den DCR, die Rollenzuweisung und die Funktions-App.

aka.ms

Auszufüllende Parameter:

Parameter	Beschreibung
WorkspaceName	Name Ihres Log Analytics-/Microsoft Sentinel-Arbeitsbereichs
UpwindOrgId	Upwind-Organisations-ID aus Schritt 1
UpwindClientId	Upwind-API-Client-ID aus Schritt 1
UpwindClientSecret	Geheimer Upwind-API-Clientschlüssel aus Schritt 1
AppInsightsWorkspaceResourceID	Vollständige Ressourcen-ID des Log Analytics-Arbeitsbereichs (aus Log Analytics-Arbeitsbereich → Eigenschaften)

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Vaikora KI-Agent-Verhaltenssignale

Unterstützt von:Data443 Risk Mitigation, Inc.

Erfassen Sie Verhaltenssignale des KI-Agents aus der Vaikora-API mithilfe des Codeless Connector Framework (CCF) in Microsoft Sentinel. Überwachen Sie Agent-Aktionen, Richtlinienentscheidungen, Anomaliebewertungen und Risikostufen, um verdächtige KI-Aktivitäten in Ihrer Umgebung zu erkennen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Vaikora_AgentSignals_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Vaikora-API-Schlüssel: Ein Vaikora-API-Schlüssel (vk_xxxxx) mit Lesezugriff auf den Aktionsendpunkt. Rufen Sie dies von Ihrem Vaikora-Dashboard unter Einstellungen > API-Schlüssel ab.

Setupanweisungen:

Verbinden von Verhaltenssignalen des Vaikora KI-Agents

Um den Vaikora-Connector zu aktivieren, geben Sie unten Ihren Vaikora-API-Schlüssel ein, und klicken Sie auf Verbinden. Die Agent-ID ist optional. Verwenden Sie es, um die Erfassung auf einen einzelnen Agent zu festlegen, oder lassen Sie sie leer, um Aktionen von allen Agents zu erfassen, die der Schlüssel sehen kann.

Ihr API-Schlüssel ist im Vaikora-Dashboard unter Einstellungen > API-Schlüssel verfügbar. Die Agent-ID ist die UUID, die auf der Detailseite jedes Agents angezeigt wird.

• Vaikora-API-Schlüssel: (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
• Vaikora-Agent-ID (optional): (Leer lassen, um alle Agents zu überwachen)
• Verbindung aktivieren/deaktivieren

---

Valimail– Erzwingen von Konfigurationsereignissen

Unterstützt von:Valimail

Der Datenconnector für Valimail-Konfigurationsereignisse ermöglicht das Erfassen der Konfigurationsereignisse der E-Mail-Domäne aus der Berichterstellungs-API von Valimail in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ValimailEnforceEvents_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Konfigurationsschritte für die Valimail-Ereignis-API Befolgen Sie die Anweisungen im Leitfaden, um einen Satz von Anmeldeinformationen für die Berichts-API zu generieren. Speichern Sie die erstellte Client-ID und die App-ID-Schlüssel.

• Client Account Slug(Konto-Slug): (Konto-Slug)
• API-Client-ID: (Client-ID-Anmeldeinformationen)
• API-App-ID: (App-ID-Anmeldeinformationen)
• Verbindung aktivieren/deaktivieren

---

Varonis Purview Push Connector

Unterstützt von:Varonis

Der Varonis Purview-Connector bietet die Möglichkeit, Ressourcen von Varonis mit Microsoft Purview zu synchronisieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
VaronisResources_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR). In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Führen Sie dies aus, um die Erfassung für Varonis Resoources einzurichten.

Dadurch werden die erforderlichen Log Analytics-Tabellen, die Datensammlungsregel (Data Collection Rule, DCR) und eine Entra Anwendung zum sicheren Senden von Daten an den DCR erstellt.

Automatisierte Konfiguration und sichere Datenerfassung mit Entra Anwendung Durch Klicken auf "Bereitstellen" wird die Erstellung von Log Analytics-Tabellen und einer Datensammlungsregel (Data Collection Rule, DCR) ausgelöst. Anschließend wird eine Entra Anwendung erstellt, die DCR damit verknüpft und das eingegebene Geheimnis in der Anwendung festgelegt. Dieses Setup ermöglicht das sichere Senden von Daten an den DCR mithilfe eines Entra Tokens.

2. Pushen Ihrer Protokolle in den Arbeitsbereich

Verwenden Sie die folgenden Parameter, um den Varonis Purview Connector in Ihren Varonis-Integrationen Dashboard zu konfigurieren.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsanwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra App-Registrierungsgeheimnis: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Ressourcen Stream Name: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Varonis SaaS

Unterstützt von:Varonis

Varonis SaaS bietet die Möglichkeit, Varonis-Warnungen in Microsoft Sentinel zu erfassen.

Varonis priorisiert umfassende Datentransparenz, Klassifizierungsfunktionen und automatisierte Korrekturen für den Datenzugriff. Varonis erstellt eine einzelne priorisierte Ansicht des Risikos für Ihre Daten, sodass Sie Risiken durch Insider-Bedrohungen und Cyberangriffe proaktiv und systematisch beseitigen können.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
VaronisAlerts_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit dem Varonis DatAlert-Dienst herzustellen, um Warnungen in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

Verwenden Sie für die Installation Azure Funktion und zugehöriger Dienste Folgendes:

portal.azure.com

SCHRITT 1: Abrufen der Varonis DatAlert-Endpunkt-API-Anmeldeinformationen.

So generieren Sie die Client-ID und den API-Schlüssel:

1. Starten Sie die Varonis-Webschnittstelle.
2. Navigieren Sie zu Konfiguration –> API-Schlüssel. Die Seite API-Schlüssel wird angezeigt.
3. Klicken Sie auf API-Schlüssel erstellen. Die Einstellungen zum Hinzufügen eines neuen API-Schlüssels werden auf der rechten Seite angezeigt.
4. Geben Sie den Namen und die Beschreibung ein.
5. Klicken Sie auf die Schaltfläche Schlüssel generieren.
6. Kopieren Sie den geheimen API-Schlüssel, und speichern Sie ihn an einem praktischen Speicherort. Sie können es nicht mehr kopieren.

Weitere Informationen finden Sie in der Varonis-Dokumentation.

SCHRITT 2: Stellen Sie den Connector und die zugeordnete Azure-Funktion bereit.

• Arbeitsbereichsname: <Variablenwert, der zur Installationszeit angegeben wird>

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie auf die Schaltfläche Bereitstellen in Azure.

   portal.azure.com

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe, die Region und den Speicherkontotyp aus.

3. Geben Sie Den Log Analytics-Arbeitsbereichsnamen, den Varonis-FQDN und den Varonis-SaaS-API-Schlüssel ein.

4. Klicken Sie auf Überprüfen + erstellen, Erstellen.

---

Vectra XDR (mit Azure Functions)

Unterstützt von:Vectra Support

Der Vectra XDR-Connector bietet die Möglichkeit, Vectra-Erkennungs-, Überwachungs-, Entitätsbewertungs-, Sperrmodus-, Integritäts- und Entitätsdaten über die Vectra-REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation https://support.vectra.ai/s/article/KB-VS-1666 .

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Detections_Data_CL	Ja	Ja
Audits_Data_CL	Ja	Ja
Entity_Scoring_Data_CL	Ja	Ja
Lockdown_Data_CL	Ja	Ja
Health_Data_CL	Ja	Ja
Entities_Data_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: Die Vectra-Client-ID und der geheime Clientschlüssel sind für integritäts-, Entitätsbewertungs-, Entitäts-, Erkennungs-, Sperr- und Überwachungsdatensammlung erforderlich. Weitere Informationen zur API im finden Sie in der https://support.vectra.ai/s/article/KB-VS-1666Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Vectra-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren. Führen Sie die folgenden Schritte für Detections Parser, Audits Parser, Entity Scoring Parser, Lockdown Parser und Health Parser aus, um den Kusto-Funktionsalias, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown und VectraHealth zu erstellen.

SCHRITT 1: Konfigurationsschritte für die Anmeldeinformationen der Vectra-API

Befolgen Sie diese Anweisungen, um eine Vectra-Client-ID und einen geheimen Clientschlüssel zu erstellen.

1. Melden Sie sich beim Vectra-Portal an.
2. Navigieren Sie zu Verwalten –> API-Clients.
3. Wählen Sie auf der Seite API-Clients die Option "API-Client hinzufügen" aus, um einen neuen Client zu erstellen.
4. Fügen Sie Clientname hinzu, wählen Sie Rolle aus, und klicken Sie auf Anmeldeinformationen generieren, um Ihre Clientanmeldeinformationen abzurufen.
5. Notieren Sie ihre Client-ID und den geheimen Schlüssel zur sicheren Aufbewahrung. Sie benötigen diese beiden Informationen, um ein Zugriffstoken von der Vectra-API abzurufen. Ein Zugriffstoken ist erforderlich, um Anforderungen an alle Vectra-API-Endpunkte zu senden.

SCHRITT 2: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Diese Integration erfordert eine App-Registrierung im Azure-Portal. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Microsoft Entra ID, und wählen Sie sie aus.
3. Wählen Sie unter Verwalten die Option App-Registrierungen > Neue Registrierung aus.
4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
6. Nach Abschluss der Registrierung wird im Azure-Portal der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) und die Mandanten-ID werden angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung von Vectra Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 3: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, der für die Ausführung von Vectra Data Connector erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

1. Wählen Sie im Azure-Portal in App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung von Vectra Data Connector erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 4: Abrufen der Objekt-ID Ihrer Anwendung in Microsoft Entra ID

Führen Sie nach dem Erstellen Ihrer App-Registrierung die Schritte in diesem Abschnitt aus, um die Objekt-ID abzurufen:

1. Wechseln Sie zu Microsoft Entra ID.
2. Wählen Sie im linken Menü Unternehmensanwendungen aus.
3. Suchen Sie ihre neu erstellte Anwendung in der Liste (Sie können nach dem von Ihnen angegebenen Namen suchen).
4. Klicken Sie auf die Anwendung.
5. Kopieren Sie auf der Übersichtsseite die Objekt-ID. Dies ist die AzureEntraObjectId, die für Ihre ARM-Vorlagenrollenzuweisung erforderlich ist.

SCHRITT 5: Zuweisen der Rolle "Mitwirkender" zur Anwendung in Microsoft Entra ID

Führen Sie die Schritte in diesem Abschnitt aus, um die Rolle zuzuweisen:

1. Wechseln Sie im Azure-Portal zu Ressourcengruppe, und wählen Sie Ihre Ressourcengruppe aus.
2. Wechseln Sie im linken Bereich zur Zugriffssteuerung (IAM).
3. Klicken Sie auf Hinzufügen, und wählen Sie dann Rollenzuweisung hinzufügen aus.
4. Wählen Sie Mitwirkender als Rolle aus, und klicken Sie auf Weiter.
5. Wählen Sie unter Zugriff zuweisen zu die Option aus User, group, or service principal.
6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den Namen Ihrer App ein, die Sie erstellt haben, und wählen Sie ihn aus.
7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink:/azure/role-based-access-control/role-assignments-portal

SCHRITT 6: Erstellen eines Schlüsseltresors

Befolgen Sie diese Anweisungen, um einen neuen Schlüsseltresor zu erstellen.

1. Wechseln Sie im Azure-Portal zu Schlüsseltresoren, und klicken Sie auf Erstellen.
2. Wählen Sie Unterbereich, Ressourcengruppe aus, und geben Sie einen eindeutigen Namen für keyvault an.

SCHRITT 7: Erstellen einer Zugriffsrichtlinie in Keyvault

Befolgen Sie diese Anweisungen, um eine Zugriffsrichtlinie in Keyvault zu erstellen.

1. Wechseln Sie zu Schlüsseltresern, wählen Sie Ihren Schlüsseltresor aus, wechseln Sie im linken Bereich zu Zugriffsrichtlinien, und klicken Sie auf Erstellen.
2. Wählen Sie alle Schlüssel & Berechtigungen für Geheimnisse aus. Klicken Sie auf Weiter.
3. Suchen Sie im Abschnitt prinzipal nach dem Anwendungsnamen, der in SCHRITT 2 generiert wurde. Klicken Sie auf Weiter.

Hinweis: Stellen Sie sicher, dass das Berechtigungsmodell in der Zugriffskonfiguration von Key Vault auf "Tresorzugriffsrichtlinie" festgelegt ist.

SCHRITT 8: Wählen Sie eine der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Stellen Sie vor der Bereitstellung des Vectra-Datenconnectors die Anmeldeinformationen für die Vectra-API-Autorisierung bereit.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Vectra-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Informationen ein: Funktionsname Workspace Name Vectra Base URL (https://< vectra-portal-url>) Vectra Client ID - Health Vectra Client Secret Key - Health Vectra Client ID - Entity Scoring Vectra Client Secret - Entity Scoring Vectra Client ID - Detections Vectra geheimer Clientschlüssel vontra – Erkennungen Vectra-Client-ID – Überwacht den geheimen Vectra-Clientschlüssel – Überwacht Vectra-Client-ID – Sperrmodus Vectra-Client-ID – Host-Entity Vectra-Clientgeheimnis – Host-Entity Vectra-Client-ID – Account-Entity Geheimer Vectra-Clientschlüssel – Account-Entity Key Vault Name Azure Client-ID Azure Geheimer Client-ID Mandanten-ID Azure Entra ObjectID StartTime (in MM/TT/JJJJ HH:MM:SS-Format) Einschließen Bewertungsergebnis Überwachungen Tabellenname Name EntitätEntitätstabellenname Sperrmodus Name Integrität Tabellenname Entitäten Tabellenname Gruppendetails aus Erkennungsprotokollebene ausschließen (Standard: INFO) Sperrzeitplan Integritätszeitplan Erkennungen Zeitplan Überwachungen Zeitplan Entitäten Bewertung Zeitplan

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Vectra-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. VECTRAXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.8 oder höher aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln hinzu: mit den entsprechenden Werten (Groß-/Kleinschreibung beachten): Arbeitsbereichs-ID Arbeitsbereichsschlüssel Vectra Base URL (https://< vectra-portal-url>) Vectra Client ID - Health Vectra Client ID - Entity Scoring Vectra Client Secret - Entity Scoring Vectra Client ID - Detections Vectra Client Secret - Detections Vectra Client Id - Audits Vectra Client Secret - Audits Vectra Client Id - Lockdown Vectra Client Secret - Lockdown Vectra-Client-ID – Host-Entity Geheimer Vectra-Clientschlüssel – Host-Entity Vectra-Client-ID – Account-Entity Vectra-Clientgeheimnis – Account-Entity Key Vault Name Azure Client-ID Azure Geheimer Client-ID Mandanten-ID StartTime (in MM/DD/JJJJ HH:MM:SS-Format) einschließen Bewertungsverringerung überwachungen Tabellennamen Erkennungen Tabellenname Entitätsbewertung Tabellenname Name Sperrdowntabelle Name Name Tabelle Integritätstabelle Name Entitäten Tabellennamen Protokollebene (Standard: INFO) Lockdown Schedule Health Schedule Detections Schedule Audits Schedule Entity Scoring Schedule Entities Schedule logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Veeam Data Connector (mit Azure Functions)

Unterstützt von:Veeam Software

Mit dem Veeam-Datenconnector können Sie Veeam-Telemetriedaten aus mehreren benutzerdefinierten Tabellen in Microsoft Sentinel erfassen.

Der Connector unterstützt die Integration mit Veeam Backup & Replication,Veeam ONE- und Coveware-Plattformen, um umfassende Überwachungs- und Sicherheitsanalysen bereitzustellen. Die Daten werden über Azure Functions gesammelt und in benutzerdefinierten Log Analytics-Tabellen mit dedizierten Datensammlungsregeln (Data Collection Rules, DCR) und Datensammlungsendpunkten (Data Collection Endpoints, DCE) gespeichert.

Benutzerdefinierte Tabellen enthalten:

• VeeamMalwareEvents_CL: Malwareerkennungsereignisse von Veeam Backup & Replication
• VeeamSecurityComplianceAnalyzer_CL: Security & Compliance Analyzer-Ergebnisse, die von Veeam-Sicherungsinfrastrukturkomponenten gesammelt wurden
• VeeamAuthorizationEvents_CL: Autorisierungs- und Authentifizierungsereignisse
• VeeamOneTriggeredAlarms_CL: Ausgelöste Alarme von Veeam ONE-Servern
• VeeamCovewareFindings_CL: Sicherheitsergebnisse der Coveware-Lösung
• VeeamSessions_CL: Veeam-Sitzungen

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
VeeamMalwareEvents_CL	Ja	Ja
VeeamSecurityComplianceAnalyzer_CL	Ja	Ja
VeeamOneTriggeredAlarms_CL	Ja	Ja
VeeamAuthorizationEvents_CL	Ja	Ja
VeeamCovewareFindings_CL	Ja	Ja
VeeamSessions_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Veeam-Infrastrukturzugriff: Zugriff auf veeam Backup & Replication-REST-API und Veeam ONE-Überwachungsplattform ist erforderlich. Dazu gehören die richtigen Anmeldeinformationen für die Authentifizierung und die Netzwerkkonnektivität.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit Veeam-APIs herzustellen und Daten in Microsoft Sentinel benutzerdefinierten Tabellen zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

SCHRITT 1: Wählen Sie die Bereitstellungsoption für Veeam Data Connector und die zugeordneten Azure Functions

WICHTIG: Bereiten Sie vor der Bereitstellung von Veeam Data Connector den Arbeitsbereichsnamen vor (kann wie folgt kopiert werden).

• Arbeitsbereichsname: <Variablenwert, der zur Installationszeit angegeben wird>

arm-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Veeam-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   portal.azure.com

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie den Namen des Microsoft Sentinel Arbeitsbereichs ein.

4. Klicken Sie auf Überprüfen + erstellen, Erstellen.

---

VersasecCms

Unterstützt von:Versasec-Unterstützung

Der VersasecCms-Datenconnector ermöglicht das Erfassen von Protokollen in Microsoft Sentinel.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
VersasecCmsSysLogs_CL	Nein	Nein
VersasecCmsErrorLogs_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Konfiguration

Geben Sie Anmeldeinformationen für VersasecCms ein.

• Verwaltungs-URL:
• API-Basispfad:
• API-Token:
• Abrufintervall (Minuten)::
• Verbindung aktivieren/deaktivieren

---

VirtualMetric DataStream für Microsoft Sentinel

Unterstützt von:VirtualMetric

Der VirtualMetric DataStream-Connector stellt Datensammlungsregeln bereit, um Sicherheitstelemetriedaten in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommonSecurityLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• App-Registrierung oder Azure verwaltete Identität: VirtualMetric DataStream erfordert eine Entra ID-Identität zum Authentifizieren und Senden von Protokollen an Microsoft Sentinel. Sie können wählen, ob Sie eine App-Registrierung mit Client-ID und geheimem Clientschlüssel erstellen oder Azure verwaltete Identität verwenden, um die Sicherheit ohne Verwaltung von Anmeldeinformationen zu erhöhen.
• Rollenzuweisung für Ressourcengruppen: Die ausgewählte Identität (App-Registrierung oder verwaltete Identität) muss der Ressourcengruppe zugewiesen werden, die den Datensammlungsendpunkt mit den folgenden Rollen enthält: Monitoring Metrics Publisher (für die Protokollerfassung) und Überwachungsleser (für die Konfiguration des Lesestreams).

Setupanweisungen:

Konfigurieren von VirtualMetric DataStream für Microsoft Sentinel

Konfigurieren Sie VirtualMetric DataStream für Microsoft Sentinel zum Senden von Daten.

Registrieren der Anwendung in Microsoft Entra ID (optional)

Wählen Sie Ihre Authentifizierungsmethode aus: Option A: Verwenden Azure verwalteten Identität (empfohlen)

• Überspringen Sie diesen Schritt, wenn Sie Azure verwaltete Identität für die Authentifizierung verwenden möchten.
• Azure verwaltete Identität bietet eine sicherere Authentifizierungsmethode, ohne Anmeldeinformationen zu verwalten.

Option B: Registrieren einer Dienstprinzipalanwendung

1. Öffnen Sie die Seite Microsoft Entra ID:

   • Klicken Sie auf den angegebenen Link, um die Microsoft Entra ID Registrierungsseite auf einer neuen Registerkarte zu öffnen.
   • Stellen Sie sicher, dass Sie mit einem Konto angemeldet sind, das über die Berechtigungen Anwendungsadministrator oder globaler Administrator verfügt.

2. Erstellen Sie eine neue Anwendung:

   • Wählen Sie im Microsoft Entra ID-Portal im linken Navigationsbereich App-Registrierungen aus.
   • Klicken Sie auf + Neue Registrierung.
   • Füllen Sie die folgenden Felder aus:

• Name: Geben Sie einen beschreibenden Namen für die App ein (z. B. "VirtualMetric ASIM Connector").
• Unterstützte Kontotypen: Wählen Sie Nur Konten in diesem Organisationsverzeichnis (Einzelner Mandant) aus.
• Umleitungs-URI: Lassen Sie diesen Wert leer.
  • Klicken Sie auf Registrieren , um die Anwendung zu erstellen.

3. Kopieren von Anwendungs- und Mandanten-IDs:

   • Nachdem die App registriert wurde, notieren Sie sich auf der Seite Übersicht die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandant ). Sie benötigen diese für die VirtualMetric DataStream-Konfiguration.

4. Erstellen Eines geheimen Clientschlüssels:

   • Klicken Sie im Abschnitt Zertifikate & Geheimnisse auf + Neuer geheimer Clientschlüssel.
   • Fügen Sie eine Beschreibung hinzu (z. B. "VirtualMetric ASIM Secret") und legen Sie einen geeigneten Ablaufzeitraum fest.
   • Klicken Sie auf Hinzufügen.
   • Kopieren Sie den Wert des geheimen Clientschlüssels sofort, da er nicht erneut angezeigt wird. Speichern Sie dies sicher für die VirtualMetric DataStream-Konfiguration.

Zuweisen erforderlicher Berechtigungen

Weisen Sie der ausgewählten Authentifizierungsmethode (Dienstprinzipal oder verwaltete Identität) in der Ressourcengruppe die erforderlichen Rollen zu.

Für Dienstprinzipal (wenn Sie Schritt 1 abgeschlossen haben):

1. Navigieren Sie zu Ihrer Ressourcengruppe:

   • Öffnen Sie das Azure-Portal, und navigieren Sie zu der Ressourcengruppe, die Ihren Log Analytics-Arbeitsbereich enthält und in der Datensammlungsregeln (Data Collection Rules, DCRs) bereitgestellt werden.

2. Weisen Sie die Herausgeberrolle Überwachungsmetriken zu:

   • Klicken Sie in der Ressourcengruppe im linken Menü auf Zugriffssteuerung (IAM).
   • Klicken Sie auf + Hinzufügen, und wählen Sie Rollenzuweisung hinzufügen aus.
   • Suchen Sie auf der Registerkarte Rolle nach Überwachungsmetrikenheraus, und wählen Sie diese Option aus.
   • Klicken Sie auf Weiter, um zur Registerkarte Mitglieder zu wechseln .
   • Wählen Sie unter Zugriff zuweisen zu die Option Benutzer, Gruppe oder Dienstprinzipal aus.
   • Klicken Sie auf + Mitglieder auswählen , und suchen Sie nach Ihrer registrierten Anwendung anhand des Namens oder der Client-ID.
   • Wählen Sie Ihre Anwendung aus, und klicken Sie auf Auswählen.
   • Klicken Sie zweimal auf Überprüfen + zuweisen , um die Zuweisung abzuschließen.

3. Weisen Sie die Rolle Überwachungsleser zu:

   • Wiederholen Sie denselben Vorgang, um die Rolle Überwachungsleser zuzuweisen:
   • Klicken Sie auf + Hinzufügen, und wählen Sie Rollenzuweisung hinzufügen aus.
   • Suchen Sie auf der Registerkarte Rolle nach Überwachungsleser, und wählen Sie diese Option aus.
   • Führen Sie den gleichen Prozess für die Mitgliederauswahl wie oben aus.
   • Klicken Sie zweimal auf Überprüfen + zuweisen, um die Zuweisung abzuschließen. Für Azure verwaltete Identität:

4. Erstellen oder Identifizieren Ihrer verwalteten Identität:

   • Bei Verwendung einer systemseitig zugewiesenen verwalteten Identität: Aktivieren Sie sie für Ihre Azure-Ressource (VM, App Service usw.).
   • Bei Verwendung einer benutzerseitig zugewiesenen verwalteten Identität: Erstellen Sie eine in Ihrer Ressourcengruppe, wenn sie nicht vorhanden ist.

5. Weisen Sie die Herausgeberrolle Überwachungsmetriken zu:

   • Führen Sie die gleichen Schritte wie oben aus, aber auf der Registerkarte Mitglieder :
   • Wählen Sie unter Zugriff zuweisen zu die Option Verwaltete Identität aus.
   • Klicken Sie auf + Mitglieder auswählen , wählen Sie den entsprechenden verwalteten Identitätstyp aus, und wählen Sie Ihre Identität aus.
   • Klicken Sie auf Auswählen und dann zweimal überprüfen + zuweisen , um den Vorgang abzuschließen.

6. Weisen Sie die Rolle Überwachungsleser zu:

   • Wiederholen Sie den Vorgang, um der gleichen verwalteten Identität die Rolle Überwachungsleser zuzuweisen. Zusammenfassung der erforderlichen Berechtigungen: Die zugewiesenen Rollen bieten die folgenden Funktionen:

• Herausgeber von Überwachungsmetriken: Schreiben von Daten in Datensammlungsendpunkte (Data Collection Endpoints, DCE) und Senden von Telemetriedaten über Datensammlungsregeln (Data Collection Rules, DCR)
• Überwachungsleser: Lesen der Streamkonfiguration und Zugreifen auf den Log Analytics-Arbeitsbereich für die ASIM-Tabellenerfassung

Bereitstellen Azure Infrastruktur

Stellen Sie den erforderlichen Datensammlungsendpunkt (Data Collection Endpoint, DCE) und Datensammlungsregeln (Data Collection Rules, DCR) für Microsoft Sentinel Tabellen mithilfe unserer ARM-Vorlage bereit.

1. Bereitstellen in Azure:

   • Klicken Sie unten auf die Schaltfläche Bereitstellen in Azure, um die erforderliche Infrastruktur automatisch bereitzustellen:
   • portal.azure.com
   • Dadurch gelangen Sie direkt zum Azure-Portal, um die Bereitstellung zu starten.

2. Konfigurieren von Bereitstellungsparametern:

   • Konfigurieren Sie auf der Seite benutzerdefinierte Bereitstellung die folgenden Einstellungen:

   Projektdetails:

   • Abonnement: Wählen Sie Ihr Azure-Abonnement aus der Dropdownliste aus.
   • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder klicken Sie auf Neu erstellen, um eine neue Instanzdetails zu erstellen:
   • Region: Wählen Sie die Azure Region aus, in der sich Ihr Log Analytics-Arbeitsbereich befindet (z. B. Europa, Westen).
   • Arbeitsbereich: Geben Sie den Namen Ihres Log Analytics-Arbeitsbereichs ein.
   • DCE-Name: Geben Sie einen Namen für den Datensammlungsendpunkt an (z. B. "vmetric-dce").
   • DCR-Namenspräfix: Geben Sie ein Präfix für die Datensammlungsregeln an (z. B. "vmetric-dcr").

3. Schließen Sie die Bereitstellung ab:

   • Klicken Sie auf Überprüfen + erstellen , um die Vorlage zu überprüfen.
   • Überprüfen Sie die Parameter, und klicken Sie auf Erstellen , um die Ressourcen bereitzustellen.
   • Warten Sie, bis die Bereitstellung abgeschlossen ist (in der Regel dauert es 2 bis 5 Minuten).

4. Überprüfen der bereitgestellten Ressourcen:

   • Überprüfen Sie nach der Bereitstellung, ob die folgenden Ressourcen erstellt wurden:

• Datensammlungsendpunkt (Data Collection Endpoint, DCE): Überprüfen sie Azure-Portal>: Überwachen > von Datensammlungsendpunkten
• Datensammlungsregeln (Data Collection Rules, DCRs): Überprüfen Azure-Portal>– Überwachung > der Datensammlungsregeln
  • Kopieren Sie den DCE-Protokollerfassungs-URI von der DcE-Übersichtsseite (Format: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • Kopieren Sie die DCE-Ressourcen-ID von der DcE-Übersichtsseite (Format: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>).
  • Notieren Sie sich für jeden DCR die Unveränderliche ID auf der Seite Übersicht . Sie benötigen diese für die VirtualMetric DataStream-Konfiguration.

Konfigurieren der VirtualMetric DataStream-Integration

Richten Sie VirtualMetric DataStream ein, um Sicherheitstelemetriedaten an Microsoft Sentinel Tabellen zu senden.

1. Zugreifen auf VirtualMetric DataStream-Konfiguration:

   • Melden Sie sich bei Ihrer VirtualMetric DataStream-Verwaltungskonsole an.
   • Navigieren Sie zum Abschnitt Flottenverwaltungsziele>.
   • Klicken Sie auf die Schaltfläche Neues Ziel hinzufügen .
   • Wählen Sie Microsoft Sentinel Ziel aus.

2. Allgemeine Einstellungen konfigurieren:

   • Name: Geben Sie einen Namen für Ihr Ziel ein (z. B. "cus01-ms-sentinel").
   • Beschreibung: Geben Sie optional eine Beschreibung für die Zielkonfiguration an.

3. Konfigurieren der Azure-Authentifizierung (auswahl basierend auf Schritt 1): Für die Dienstprinzipalauthentifizierung:

   • Verwaltete Identität für Azure: Deaktiviert beibehalten
   • Mandanten-ID: Geben Sie die Verzeichnis-ID (Mandanten-ID) aus Schritt 1 ein.
   • Client-ID: Geben Sie die Anwendungs-ID (Client-ID) aus Schritt 1 ein.
   • Geheimer Clientschlüssel: Geben Sie den Wert des geheimen Clientschlüssels aus Schritt 1 für Azure verwaltete Identität ein:
   • Verwaltete Identität für Azure: Auf Aktiviert festgelegt

4. Konfigurieren Stream Eigenschaften:

   • Endpunkt: Wählen Sie Ihre Konfigurationsmethode aus:

• Für die manuelle Streamkonfiguration: Geben Sie den DCE-Protokollerfassungs-URI (Format: https://<dce-name>.<region>.ingest.monitor.azure.com) ein.
• Für die automatische Streamerkennung: Geben Sie die DCE-Ressourcen-ID (Format: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>) ein.
  • Streams: Wählen Sie Auto für die automatische Streamerkennung aus, oder konfigurieren Sie bei Bedarf bestimmte Datenströme.

5. Überprüfen Sie die Datenerfassung in Microsoft Sentinel:
   • Zurück zu Ihrem Log Analytics-Arbeitsbereich
   • Führen Sie Beispielabfragen für die ASIM-Tabellen aus, um zu bestätigen, dass Daten empfangen werden:

     ASimNetworkSessionLogs
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Überprüfen Sie die Microsoft Sentinel Übersicht Dashboard auf neue Datenquellen und Ereignisanzahl.

---

VirtualMetric DataStream für Microsoft Sentinel Data Lake

Unterstützt von:VirtualMetric

Der VirtualMetric DataStream-Connector stellt Datensammlungsregeln bereit, um Sicherheitstelemetriedaten in Microsoft Sentinel Data Lake zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommonSecurityLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• App-Registrierung oder Azure verwaltete Identität: VirtualMetric DataStream erfordert eine Entra ID-Identität zum Authentifizieren und Senden von Protokollen an Microsoft Sentinel Data Lake. Sie können wählen, ob Sie eine App-Registrierung mit Client-ID und geheimem Clientschlüssel erstellen oder Azure verwaltete Identität verwenden, um die Sicherheit ohne Verwaltung von Anmeldeinformationen zu erhöhen.
• Rollenzuweisung für Ressourcengruppen: Die ausgewählte Identität (App-Registrierung oder verwaltete Identität) muss der Ressourcengruppe zugewiesen werden, die den Datensammlungsendpunkt mit den folgenden Rollen enthält: Monitoring Metrics Publisher (für die Protokollerfassung) und Überwachungsleser (für die Konfiguration des Lesestreams).

Setupanweisungen:

Konfigurieren von VirtualMetric DataStream für Microsoft Sentinel Data Lake

Konfigurieren Sie VirtualMetric DataStream für Microsoft Sentinel Data Lake zum Senden von Daten.

Registrieren der Anwendung in Microsoft Entra ID (optional)

Wählen Sie Ihre Authentifizierungsmethode aus: Option A: Verwenden Azure verwalteten Identität (empfohlen)

• Überspringen Sie diesen Schritt, wenn Sie Azure verwaltete Identität für die Authentifizierung verwenden möchten.
• Azure verwaltete Identität bietet eine sicherere Authentifizierungsmethode, ohne Anmeldeinformationen zu verwalten.

Option B: Registrieren einer Dienstprinzipalanwendung

1. Öffnen Sie die Seite Microsoft Entra ID:

   • Klicken Sie auf den angegebenen Link, um die Microsoft Entra ID Registrierungsseite auf einer neuen Registerkarte zu öffnen.
   • Stellen Sie sicher, dass Sie mit einem Konto angemeldet sind, das über die Berechtigungen Anwendungsadministrator oder globaler Administrator verfügt.

2. Erstellen Sie eine neue Anwendung:

   • Wählen Sie im Microsoft Entra ID-Portal im linken Navigationsbereich App-Registrierungen aus.
   • Klicken Sie auf + Neue Registrierung.
   • Füllen Sie die folgenden Felder aus:

• Name: Geben Sie einen beschreibenden Namen für die App ein (z. B. "VirtualMetric ASIM Connector").
• Unterstützte Kontotypen: Wählen Sie Nur Konten in diesem Organisationsverzeichnis (Einzelner Mandant) aus.
• Umleitungs-URI: Lassen Sie diesen Wert leer.
  • Klicken Sie auf Registrieren , um die Anwendung zu erstellen.

3. Kopieren von Anwendungs- und Mandanten-IDs:

   • Nachdem die App registriert wurde, notieren Sie sich auf der Seite Übersicht die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandant ). Sie benötigen diese für die VirtualMetric DataStream-Konfiguration.

4. Erstellen Eines geheimen Clientschlüssels:

   • Klicken Sie im Abschnitt Zertifikate & Geheimnisse auf + Neuer geheimer Clientschlüssel.
   • Fügen Sie eine Beschreibung hinzu (z. B. "VirtualMetric ASIM Secret") und legen Sie einen geeigneten Ablaufzeitraum fest.
   • Klicken Sie auf Hinzufügen.
   • Kopieren Sie den Wert des geheimen Clientschlüssels sofort, da er nicht erneut angezeigt wird. Speichern Sie dies sicher für die VirtualMetric DataStream-Konfiguration.

Zuweisen erforderlicher Berechtigungen

Weisen Sie der ausgewählten Authentifizierungsmethode (Dienstprinzipal oder verwaltete Identität) in der Ressourcengruppe die erforderlichen Rollen zu.

Für Dienstprinzipal (wenn Sie Schritt 1 abgeschlossen haben):

1. Navigieren Sie zu Ihrer Ressourcengruppe:

   • Öffnen Sie das Azure-Portal, und navigieren Sie zu der Ressourcengruppe, die Ihren Log Analytics-Arbeitsbereich enthält und in der Datensammlungsregeln (Data Collection Rules, DCRs) bereitgestellt werden.

2. Weisen Sie die Herausgeberrolle Überwachungsmetriken zu:

   • Klicken Sie in der Ressourcengruppe im linken Menü auf Zugriffssteuerung (IAM).
   • Klicken Sie auf + Hinzufügen, und wählen Sie Rollenzuweisung hinzufügen aus.
   • Suchen Sie auf der Registerkarte Rolle nach Überwachungsmetrikenheraus, und wählen Sie diese Option aus.
   • Klicken Sie auf Weiter, um zur Registerkarte Mitglieder zu wechseln .
   • Wählen Sie unter Zugriff zuweisen zu die Option Benutzer, Gruppe oder Dienstprinzipal aus.
   • Klicken Sie auf + Mitglieder auswählen , und suchen Sie nach Ihrer registrierten Anwendung anhand des Namens oder der Client-ID.
   • Wählen Sie Ihre Anwendung aus, und klicken Sie auf Auswählen.
   • Klicken Sie zweimal auf Überprüfen + zuweisen , um die Zuweisung abzuschließen.

3. Weisen Sie die Rolle Überwachungsleser zu:

   • Wiederholen Sie denselben Vorgang, um die Rolle Überwachungsleser zuzuweisen:
   • Klicken Sie auf + Hinzufügen, und wählen Sie Rollenzuweisung hinzufügen aus.
   • Suchen Sie auf der Registerkarte Rolle nach Überwachungsleser, und wählen Sie diese Option aus.
   • Führen Sie den gleichen Prozess für die Mitgliederauswahl wie oben aus.
   • Klicken Sie zweimal auf Überprüfen + zuweisen, um die Zuweisung abzuschließen. Für Azure verwaltete Identität:

4. Erstellen oder Identifizieren Ihrer verwalteten Identität:

   • Bei Verwendung einer systemseitig zugewiesenen verwalteten Identität: Aktivieren Sie sie für Ihre Azure-Ressource (VM, App Service usw.).
   • Bei Verwendung einer benutzerseitig zugewiesenen verwalteten Identität: Erstellen Sie eine in Ihrer Ressourcengruppe, wenn sie nicht vorhanden ist.

5. Weisen Sie die Herausgeberrolle Überwachungsmetriken zu:

   • Führen Sie die gleichen Schritte wie oben aus, aber auf der Registerkarte Mitglieder :
   • Wählen Sie unter Zugriff zuweisen zu die Option Verwaltete Identität aus.
   • Klicken Sie auf + Mitglieder auswählen , wählen Sie den entsprechenden verwalteten Identitätstyp aus, und wählen Sie Ihre Identität aus.
   • Klicken Sie auf Auswählen und dann zweimal überprüfen + zuweisen , um den Vorgang abzuschließen.

6. Weisen Sie die Rolle Überwachungsleser zu:

   • Wiederholen Sie den Vorgang, um der gleichen verwalteten Identität die Rolle Überwachungsleser zuzuweisen. Zusammenfassung der erforderlichen Berechtigungen: Die zugewiesenen Rollen bieten die folgenden Funktionen:

• Herausgeber von Überwachungsmetriken: Schreiben von Daten in Datensammlungsendpunkte (Data Collection Endpoints, DCE) und Senden von Telemetriedaten über Datensammlungsregeln (Data Collection Rules, DCR)
• Überwachungsleser: Lesen der Streamkonfiguration und Zugreifen auf den Log Analytics-Arbeitsbereich für die ASIM-Tabellenerfassung

Bereitstellen Azure Infrastruktur

Stellen Sie den erforderlichen Datensammlungsendpunkt (Data Collection Endpoint, DCE) und Datensammlungsregeln (Data Collection Rules, DCR) für Microsoft Sentinel Data Lake-Tabellen mithilfe unserer ARM-Vorlage bereit.

1. Bereitstellen in Azure:

   • Klicken Sie unten auf die Schaltfläche Bereitstellen in Azure, um die erforderliche Infrastruktur automatisch bereitzustellen:
   • portal.azure.com
   • Dadurch gelangen Sie direkt zum Azure-Portal, um die Bereitstellung zu starten.

2. Konfigurieren von Bereitstellungsparametern:

   • Konfigurieren Sie auf der Seite benutzerdefinierte Bereitstellung die folgenden Einstellungen:

   Projektdetails:

   • Abonnement: Wählen Sie Ihr Azure-Abonnement aus der Dropdownliste aus.
   • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder klicken Sie auf Neu erstellen, um eine neue Instanzdetails zu erstellen:
   • Region: Wählen Sie die Azure Region aus, in der sich Ihr Log Analytics-Arbeitsbereich befindet (z. B. Europa, Westen).
   • Arbeitsbereich: Geben Sie den Namen Ihres Log Analytics-Arbeitsbereichs ein.
   • DCE-Name: Geben Sie einen Namen für den Datensammlungsendpunkt an (z. B. "vmetric-dce").
   • DCR-Namenspräfix: Geben Sie ein Präfix für die Datensammlungsregeln an (z. B. "vmetric-dcr").

3. Schließen Sie die Bereitstellung ab:

   • Klicken Sie auf Überprüfen + erstellen , um die Vorlage zu überprüfen.
   • Überprüfen Sie die Parameter, und klicken Sie auf Erstellen , um die Ressourcen bereitzustellen.
   • Warten Sie, bis die Bereitstellung abgeschlossen ist (in der Regel dauert es 2 bis 5 Minuten).

4. Überprüfen der bereitgestellten Ressourcen:

   • Überprüfen Sie nach der Bereitstellung, ob die folgenden Ressourcen erstellt wurden:

• Datensammlungsendpunkt (Data Collection Endpoint, DCE): Überprüfen sie Azure-Portal>: Überwachen > von Datensammlungsendpunkten
• Datensammlungsregeln (Data Collection Rules, DCRs): Überprüfen Azure-Portal>– Überwachung > der Datensammlungsregeln
  • Kopieren Sie den DCE-Protokollerfassungs-URI von der DcE-Übersichtsseite (Format: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • Kopieren Sie die DCE-Ressourcen-ID von der DcE-Übersichtsseite (Format: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>).
  • Notieren Sie sich für jeden DCR die Unveränderliche ID auf der Seite Übersicht . Sie benötigen diese für die VirtualMetric DataStream-Konfiguration.

Konfigurieren der VirtualMetric DataStream-Integration

Richten Sie VirtualMetric DataStream ein, um Sicherheitstelemetriedaten an Microsoft Sentinel Data Lake-Tabellen zu senden.

1. Zugreifen auf VirtualMetric DataStream-Konfiguration:

   • Melden Sie sich bei Ihrer VirtualMetric DataStream-Verwaltungskonsole an.
   • Navigieren Sie zum Abschnitt Flottenverwaltungsziele>.
   • Klicken Sie auf die Schaltfläche Neues Ziel hinzufügen .
   • Wählen Sie Microsoft Sentinel Ziel aus.

2. Allgemeine Einstellungen konfigurieren:

   • Name: Geben Sie einen Namen für Ihr Ziel ein (z. B. "cus01-ms-sentinel").
   • Beschreibung: Geben Sie optional eine Beschreibung für die Zielkonfiguration an.

3. Konfigurieren der Azure-Authentifizierung (auswahl basierend auf Schritt 1): Für die Dienstprinzipalauthentifizierung:

   • Verwaltete Identität für Azure: Deaktiviert beibehalten
   • Mandanten-ID: Geben Sie die Verzeichnis-ID (Mandanten-ID) aus Schritt 1 ein.
   • Client-ID: Geben Sie die Anwendungs-ID (Client-ID) aus Schritt 1 ein.
   • Geheimer Clientschlüssel: Geben Sie den Wert des geheimen Clientschlüssels aus Schritt 1 für Azure verwaltete Identität ein:
   • Verwaltete Identität für Azure: Auf Aktiviert festgelegt

4. Konfigurieren Stream Eigenschaften:

   • Endpunkt: Wählen Sie Ihre Konfigurationsmethode aus:

• Für die manuelle Streamkonfiguration: Geben Sie den DCE-Protokollerfassungs-URI (Format: https://<dce-name>.<region>.ingest.monitor.azure.com) ein.
• Für die automatische Streamerkennung: Geben Sie die DCE-Ressourcen-ID (Format: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>) ein.
  • Streams: Wählen Sie Auto für die automatische Streamerkennung aus, oder konfigurieren Sie bei Bedarf bestimmte Datenströme.

5. Überprüfen Der Datenerfassung in Microsoft Sentinel Data Lake:
   • Zurück zu Ihrem Log Analytics-Arbeitsbereich
   • Führen Sie Beispielabfragen für die ASIM-Tabellen aus, um zu bestätigen, dass Daten empfangen werden:

     ASimNetworkSessionLogs
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Überprüfen Sie die Microsoft Sentinel Übersicht Dashboard auf neue Datenquellen und Ereignisanzahl.

---

VirtualMetric Director-Proxy

Unterstützt von:VirtualMetric

VirtualMetric Director Proxy stellt eine Azure Funktions-App bereit, um VirtualMetric DataStream sicher mit Azure Diensten wie Microsoft Sentinel, Azure Data Explorer und Azure Storage zu überbrücken.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommonSecurityLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure Funktions-App: Eine Azure-Funktions-App muss bereitgestellt werden, um den Director-Proxy zu hosten. Erfordert Lese-, Schreib- und Löschberechtigungen für Microsoft.Web/sites-Ressourcen in Ihrer Ressourcengruppe, um die Funktions-App zu erstellen und zu verwalten.
• VirtualMetric DataStream-Konfiguration: Sie müssen VirtualMetric DataStream mit Authentifizierungsanmeldeinformationen konfigurieren, um eine Verbindung mit dem Director-Proxy herzustellen. Der Director-Proxy fungiert als sichere Brücke zwischen VirtualMetric DataStream und Azure-Diensten.
• Zieldienste Azure: Konfigurieren Sie Ihre Ziel-Azure-Dienste, z. B. Microsoft Sentinel Datensammlungsendpunkte, Azure Data Explorer Cluster oder Azure Speicherkonten, an die der Directorproxy Daten weiterleitet.

Setupanweisungen:

Bereitstellen des VirtualMetric Director-Proxys

Stellen Sie die Azure-Funktions-App bereit, die als sicherer Proxy zwischen VirtualMetric DataStream und Microsoft Sentinel dient.

Voraussetzungen und Bereitstellungsreihenfolge

Empfohlene Bereitstellungsreihenfolge:

Für eine optimale Konfiguration sollten Sie zuerst die Bereitstellung der Zielconnectors in Betracht ziehen:

1. Bereitstellen Microsoft Sentinel Connectors: Stellen Sie zuerst den VirtualMetric DataStream für Microsoft Sentinel Connector bereit, um die erforderlichen Datensammlungsendpunkte und -regeln zu erstellen.

2. Bereitstellen Microsoft Sentinel Data Lake-Connectors (optional): Wenn Sie Microsoft Sentinel Data Lake-Tabellen verwenden, stellen Sie den VirtualMetric DataStream für Microsoft Sentinel Data Lake-Connector bereit.

3. Bereitstellen des Directorproxys (dieser Schritt): Der Directorproxy kann dann mit Ihren Microsoft Sentinel-Zielen konfiguriert werden. Hinweis: Diese Reihenfolge wird empfohlen, ist aber nicht erforderlich. Sie können den Director-Proxy unabhängig bereitstellen und später mit Ihren Zielen konfigurieren.

Bereitstellen Azure Funktions-App

Stellen Sie die VirtualMetric Director-Proxy-Azure Funktions-App mithilfe der Schaltfläche Bereitstellen in Azure bereit.

1. Bereitstellen in Azure:

   • Klicken Sie unten auf die Schaltfläche In Azure bereitstellen, um die Funktions-App bereitzustellen:
   • portal.azure.com

2. Konfigurieren von Bereitstellungsparametern:

   • Abonnement: Wählen Sie Ihr Azure-Abonnement aus.
   • Ressourcengruppe: Wählen Sie dieselbe Ressourcengruppe wie Ihr Microsoft Sentinel Arbeitsbereich aus, oder erstellen Sie eine neue Ressourcengruppe.
   • Region: Wählen Sie die Azure Region aus (sollte mit Ihrer Microsoft Sentinel Arbeitsbereichsregion übereinstimmen)
   • Name der Funktions-App: Geben Sie einen eindeutigen Namen für die Funktions-App an (z. B. "vmetric-director-proxy").

3. Bereitstellung abschließen:

   • Klicken Sie auf Überprüfen + erstellen , um die Parameter zu überprüfen.
   • Klicken Sie auf Erstellen , um die Funktions-App bereitzustellen.
   • Warten Sie, bis die Bereitstellung abgeschlossen ist (in der Regel 3-5 Minuten).
   • Beachten Sie die Funktions-App-URL: https://<function-app-name>.azurewebsites.net

Konfigurieren von Funktions-App-Berechtigungen

Weisen Sie der verwalteten Identität der Funktions-App die erforderlichen Berechtigungen für den Zugriff auf Microsoft Sentinel Ressourcen zu.

1. Aktivieren sie System-Assigned verwaltete Identität:

   • Navigieren Sie im Azure-Portal zu Ihrer bereitgestellten Funktions-App.
   • Wechseln Sie unter Einstellungen zu Identität.
   • Schalten Sie status für systemseitig zugewiesene Identität auf Ein um.
   • Klicken Sie auf Speichern und bestätigen.

2. Navigieren Sie zu Ressourcengruppe:

   • Wechseln Sie zu der Ressourcengruppe, die Ihren Microsoft Sentinel Arbeitsbereich und Datensammlungsendpunkte enthält.

3. Zuweisen erforderlicher Rollen:

   • Zugriffssteuerung öffnen (IAM)
   • Klicken Sie auf + Hinzufügen > Rollenzuweisung hinzufügen.
   • Weisen Sie der systemseitig zugewiesenen verwalteten Identität der Funktions-App die folgenden Rollen zu:

• Herausgeber von Überwachungsmetriken: Zum Senden von Daten an Datensammlungsendpunkte
• Überwachungsleser: Zum Lesen der Konfiguration von Datensammlungsregeln

4. Wählen Sie die Identität der Funktions-App aus:

   • Wählen Sie auf der Registerkarte Mitglieder die Option Verwaltete Identität aus.
   • Wählen Sie Funktions-App und dann Ihre bereitgestellte Director-Proxyfunktions-App aus.
   • Abschließen der Rollenzuweisung

5. Abrufen des Funktions-App-Zugriffstokens (optional für die Funktionsschlüsselauthentifizierung):

   • Navigieren Sie zu Ihrer Funktions-App.
   • Wechseln Sie unter Funktionen zu App-Schlüsseln .
   • Kopieren des Standardhostschlüssels oder Erstellen eines neuen Funktionsschlüssels für die Authentifizierung

Konfigurieren der VirtualMetric DataStream-Integration

Richten Sie VirtualMetric DataStream ein, um Sicherheitstelemetriedaten über den Director-Proxy an Microsoft Sentinel zu senden.

1. Zugreifen auf VirtualMetric DataStream-Konfiguration:

   • Melden Sie sich bei Ihrem VirtualMetric DataStream-Verwaltungskonsole an.
   • Navigieren Sie zum Abschnitt Ziele .
   • Klicken Sie auf Microsoft Sentinel Ziele.
   • Klicken Sie auf Neues Ziel hinzufügen, oder bearbeiten Sie ein vorhandenes Microsoft Sentinel Ziel.

2. Allgemeine Einstellungen konfigurieren:

   • Name: Geben Sie einen Namen für Ihr Ziel ein (z. B. "sentinel-with-proxy").
   • Beschreibung: Geben Sie optional eine Beschreibung für die Zielkonfiguration an.

3. Konfigurieren der Azure-Authentifizierung: Für die Dienstprinzipalauthentifizierung:

   • Verwaltete Identität für Azure: Deaktiviert beibehalten
   • Mandanten-ID: Geben Sie Ihre Azure Active Directory-Mandanten-ID ein.
   • Client-ID: Geben Sie ihre Dienstprinzipalanwendungs-ID ein.
   • Geheimer Clientschlüssel: Geben Sie den geheimen Clientschlüssel ihres Dienstprinzipals für Azure verwaltete Identität ein:
   • Verwaltete Identität für Azure: Auf Aktiviert festgelegt

4. Konfigurieren des Directorproxys (auf Azure Registerkarte Eigenschaften):

   • Endpunktadresse: Geben Sie die Funktions-App-URL aus Schritt 2 (Format: ) ein. https://<function-app-name>.azurewebsites.net
   • Zugriffstoken: Geben Sie den Hostschlüssel der Funktions-App aus Schritt 3 ein (optional bei Verwendung einer verwalteten Identität).

5. Konfigurieren Stream Eigenschaften:

   • Endpunkt: Geben Sie den DCE-Protokollerfassungs-URI (Format: https://<dce-name>.<region>.ingest.monitor.azure.com) ein.
   • Streams: Wählen Sie Auto für die automatische Streamerkennung aus, oder konfigurieren Sie bei Bedarf bestimmte Datenströme.

6. Überprüfen Sie die Datenerfassung in Microsoft Sentinel:

   • Zurück zu Ihrem Log Analytics-Arbeitsbereich
   • Führen Sie Beispielabfragen aus, um zu bestätigen, dass Daten empfangen werden:

     CommonSecurityLog
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Überprüfen Sie die Dashboard Microsoft Sentinel Übersicht auf neue Datenquellen und Ereignisanzahl.

---

VMRayThreatIntelligence (mit Azure Functions)

Unterstützt von:VMRay

Der VMRayThreatIntelligence-Connector generiert und speist automatisch Threat Intelligence für alle Übermittlungen an VMRay, wodurch die Bedrohungserkennung und Die Reaktion auf Vorfälle in Sentinel verbessert wird. Diese nahtlose Integration ermöglicht es Teams, proaktiv auf neue Bedrohungen zu reagieren.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ThreatIntelligenceIndicator	Ja	Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure-Abonnement: Azure Abonnement mit der Rolle Besitzer ist erforderlich, um eine Anwendung in azure active directory() zu registrieren und der App in der Ressourcengruppe die Rolle Mitwirkender zuzuweisen.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: VMRay-API-Schlüssel ist erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der VMRay-API herzustellen, um VMRay Threat IOCs in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage Kosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Blob Storage Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Bereitstellen des VMRay Threat Intelligence-Connectors

1. Stellen Sie sicher, dass Sie über alle erforderlichen Voraussetzungen verfügen: Client-ID, Mandanten-ID, Geheimer Clientschlüssel, VMRay-API-Schlüssel und VMRay-Basis-URL.

2. Befolgen Sie diese Anweisungen, um die Client-ID, den geheimen Clientschlüssel und die Mandanten-ID abzurufen.

3. Klicken Sie für den Flex-Verbrauchsplan unten auf die Schaltfläche Bereitstellen in Azure:

   aka.ms

4. Klicken Sie für den Premium-Plan unten auf die Schaltfläche Bereitstellen in Azure:

   aka.ms.

---

VMware Carbon Black Cloud über AWS S3 (über Codeless Connector Framework)

Unterstützt von:Microsoft

Der VMware Carbon Black Cloud über AWS S3-Datenconnector bietet die Möglichkeit, Watchlist-, Warnungen-, Authentifizierungs- und Endpunktereignisse über AWS S3 zu erfassen und an normalisierte ASIM-Tabellen zu streamen. Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CarbonBlack_Alerts_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Umgebung: Sie müssen die folgenden AWS-Ressourcen definiert und konfiguriert haben: S3, Simple Queue Service (SQS), IAM-Rollen und Berechtigungsrichtlinien
• Umgebung: Sie müssen über ein Carbon Black-Konto und die erforderlichen Berechtigungen verfügen, um eine An AWS S3-Buckets weitergeleitete Daten zu erstellen. Weitere Informationen finden Sie in der Dokumentation zur Carbon Black-Datenweiterleitung.

Setupanweisungen:

1. AWS CloudFormation-Bereitstellung Zum Konfigurieren des Zugriffs auf AWS wurden zwei Vorlagen generiert, um die AWS-Umgebung für das Senden von Protokollen aus dem S3-Bucket an Ihren Log Analytics-Arbeitsbereich einzurichten.

Erstellen Sie für jede Vorlage Stack in AWS:

1. Wechseln Sie zu AWS CloudFormation Stacks.
2. Wählen Sie in AWS die Option "Vorlagendatei hochladen" aus, und klicken Sie auf "Datei auswählen". Auswählen der heruntergeladenen Vorlage
3. Klicken Sie auf "Weiter" und "Stapel erstellen".

• Vorlage 1: OpenID Connect-Authentifizierungsbereitstellung: <Variablenwert zum Zeitpunkt der Installation angegeben>
• Vorlage 2: Aws Carbon Black-Ressourcenbereitstellung: <Variablenwert zur Installationszeit> angegeben Beim Bereitstellen der Vorlage "Vorlage 2: BEREITSTELLUNG von AWS Carbon Black-Ressourcen" benötigen Sie einige Parameter.

• Stapelname: Ein Stapelname Ihrer Wahl (wird in der Liste der Stapel in AWS angezeigt)
• Rollenname: Muss mit dem Präfix "OIDC_" beginnen, hat einen Standardwert.
• Bucketname: Bucketname Ihrer Wahl, wenn Sie bereits über einen vorhandenen Bucket verfügen, fügen Sie den Namen hier ein.
• CreateNewBucket: Wenn Sie bereits über einen Bucket verfügen, den Sie für diesen Connector verwenden möchten, wählen Sie "false" für diese Option aus. Andernfalls wird aus diesem Stapel ein Bucket mit dem Namen erstellt, den Sie in "Bucketname" eingegeben haben.
• Region: Dies ist die Region der AWS-Ressourcen, die auf der Zuordnung von Carbon Black basieren. Weitere Informationen finden Sie in der Carbon Black-Dokumentation.
• SQSQueuePrefix: Der Stapel erstellt mehrere Warteschlangen. Dieses Präfix wird jeder dieser Warteschlangen hinzugefügt.
• WorkspaceID: Verwenden Sie die unten angegebene Arbeitsbereichs-ID.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation> angegeben wurde. Navigieren Sie zur Registerkarte "Ausgaben", und sehen Sie: Rollen-ARN, S3-Bucket und 4 SQS-Ressourcen erstellt. Sie benötigen diese Ressourcen im nächsten Schritt, wenn Sie die Datenweiterleitungen von Carbon Black und den Datenconnector konfigurieren.

2. Carbon Black-Konfiguration der Datenweiterleitung Nachdem alle AWS-Ressourcen erstellt wurden, müssen Sie Carbon Black so konfigurieren, dass die Ereignisse an die AWS-Buckets weitergeleitet werden, damit Microsoft Sentinel sie erfassen können. Befolgen Sie die Dokumentation von Carbon Black zum Erstellen einer "Datenweiterleitung" . Verwenden Sie die erste empfohlene Option. Wenn Sie zur Eingabe eines Bucketnamens aufgefordert werden, verwenden Sie den bucket, der im vorherigen Schritt erstellt wurde. Sie müssen für jede Weiterleitung das Präfix "S3" hinzufügen. Verwenden Sie diese Zuordnung:

   Ereignistyp	Präfix S3
   Warnung	carbon-black-cloud-forwarder/Alerts
   Authentifizierungsereignisse	carbon-black-cloud-forwarder/Auth
   Endpunktereignisse	carbon-black-cloud-forwarder/endpoint
   Watchlisttreffer	carbon-black-cloud-forwarder/Watchlist

2.1. Testen Sie Ihre Datenweiterleitung (optional) Um zu überprüfen, ob die Datenweiterleitung wie erwartet konfiguriert ist, suchen Sie im Portal von Carbon Black nach der Datenweiterleitung, die Sie gerade erstellt haben, und klicken Sie unter der Spalte "Aktionen" auf die Schaltfläche "Test Forwarder". Dadurch wird eine "HealthCheck"-Datei im S3-Bucket generiert. Dies sollte sofort angezeigt werden.

3. Neue Sammler verbinden Um AWS S3 für Microsoft Sentinel zu aktivieren, klicken Sie auf die Schaltfläche "Neuen Collector hinzufügen", geben Sie die erforderlichen Informationen ein, die ARN-Rolle und die SQS-URL werden in Schritt 1 erstellt. Beachten Sie, dass Sie die richtige SQS-URL eingeben und den entsprechenden Ereignistyp aus der Dropdownliste auswählen müssen. Wenn Sie z. B. Warnungsereignisse erfassen möchten, müssen Sie die Warnungs-SQS-URL kopieren und den Ereignistyp "Warnungen" in auswählen. die Dropdownliste

• Datenconnectors Grid (im Portal konfigurieren)

---

Windows DNS-Ereignisse über AMA

Unterstützt von:Microsoft Corporation

Mit dem Windows DNS-Protokollconnector können Sie mithilfe des Azure Monitoring Agent (AMA) ganz einfach alle Analyseprotokolle von Ihren Windows DNS-Servern in Ihren Microsoft Sentinel-Arbeitsbereich streamen. Wenn Sie diese Daten in Microsoft Sentinel haben, können Sie Probleme und Sicherheitsbedrohungen wie die folgenden identifizieren:

• Es wird versucht, schädliche Domänennamen aufzulösen.
• Veraltete Ressourcendatensätze.
• Häufig abgefragte Domänennamen und talkative DNS-Clients.
• Angriffe, die auf dem DNS-Server ausgeführt werden.

Sie erhalten die folgenden Einblicke in Ihre Windows DNS-Server aus Microsoft Sentinel:

• Alle Protokolle werden an einem zentralen Ort zentralisiert.
• Anforderungslast auf DNS-Servern.
• Fehler bei der dynamischen DNS-Registrierung.

Windows-DNS-Ereignisse werden von Advanced SIEM Information Model (ASIM) unterstützt und streamen Daten in die Tabelle ASimDnsActivityLogs. Weitere Informationen.

Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ASimDnsActivityLogs	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Windows-Firewall

Unterstützt von:Microsoft Corporation

Die Windows-Firewall ist eine Microsoft Windows-Anwendung, die Informationen filtert, die aus dem Internet auf Ihr System eintreffen und potenziell schädliche Programme blockiert. Die Software blockiert die kommunikation der meisten Programme durch die Firewall. Benutzer fügen der Liste der zulässigen Programme einfach ein Programm hinzu, damit es über die Firewall kommunizieren kann. Wenn Sie ein öffentliches Netzwerk verwenden, kann die Windows-Firewall das System auch schützen, indem sie alle unerwünschten Versuche blockiert, eine Verbindung mit Ihrem Computer herzustellen. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

Windows-Firewallereignisse über AMA

Unterstützt von:Microsoft Corporation

Die Windows-Firewall ist eine Microsoft Windows-Anwendung, die Informationen filtert, die aus dem Internet auf Ihr System eintreffen und potenziell schädliche Programme blockieren. Die Firewallsoftware blockiert die Kommunikation der meisten Programme durch die Firewall. Verwenden Sie zum Streamen der von Ihren Computern gesammelten Anwendungsprotokolle der Windows-Firewall den Azure Monitor-Agent (AMA), um diese Protokolle an den Microsoft Sentinel-Arbeitsbereich zu streamen.

Ein konfigurierter Datensammlungsendpunkt (DATA Collection Endpoint, DCE) muss mit der Datensammlungsregel (Data Collection Rule, DCR) verknüpft werden, die für die AMA zum Sammeln von Protokollen erstellt wurde. Für diesen Connector wird automatisch eine DCE in derselben Region wie der Arbeitsbereich erstellt. Wenn Sie bereits eine DCE verwenden, die in derselben Region gespeichert ist, ist es möglich, die standardmäßig erstellte DCE zu ändern und Ihre vorhandene DCE über die API zu verwenden. DCEs können sich in Ihren Ressourcen mit dem Präfix SentinelDCE im Ressourcennamen befinden.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Datensammlungsendpunkte in Azure Monitor
• Microsoft Sentinel Dokumentation

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

---

Weitergeleitete Windows-Ereignisse

Unterstützt von:Microsoft Corporation

Sie können alle Protokolle der Windows-Ereignisweiterleitung (Windows Event Forwarding, WEF) von den Windows-Servern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie Azure Monitor Agent (AMA) verwenden. Mit dieser Verbindung können Sie Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Dadurch erhalten Sie mehr Einblick in das Netzwerk Ihrer organization und verbessern Ihre Sicherheitsfunktionen. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
WindowsEvent	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Windows-Sicherheit-Ereignisse über AMA

Unterstützt von:Microsoft Corporation

Sie können alle Sicherheitsereignisse von den Windows-Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Mit dieser Verbindung können Sie Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Dadurch erhalten Sie mehr Einblick in das Netzwerk Ihrer organization und verbessern Ihre Sicherheitsfunktionen. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityEvent	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

WithSecure Elements-API (Azure-Funktion)

Unterstützt von:WithSecure

WithSecure Elements ist die einheitliche cloudbasierte Cybersicherheitsplattform, die entwickelt wurde, um Risiken, Komplexität und Ineffizienz zu reduzieren.

Erhöhen Sie Ihre Sicherheit von Ihren Endpunkten auf Ihre Cloudanwendungen. Schütze dich gegen jede Art von Cyberbedrohung, von gezielten Angriffen bis hin zu Zero-Day-Ransomware.

WithSecure Elements kombiniert leistungsstarke prädiktive, präventive und reaktionsfähige Sicherheitsfunktionen , die alle über ein einzelnes Security Center verwaltet und überwacht werden. Unser modularer Aufbau und flexible Preismodelle geben Ihnen die Freiheit, sich weiterzuentwickeln. Mit unserem Know-how und unseren Erkenntnissen werden Sie immer befähigen – und Sie werden nie allein sein.

Mit Microsoft Sentinel Integration können Sie Sicherheitsereignissedaten aus der WithSecure Elements-Lösung mit Daten aus anderen Quellen korrelieren, sodass Sie einen umfassenden Überblick über Ihre gesamte Umgebung erhalten und schneller auf Bedrohungen reagieren können.

Mit dieser Lösung wird Azure Function für Ihren Mandanten bereitgestellt und ruft in regelmäßigen Abständen die WithSecure Elements-Sicherheitsereignisse ab.

Weitere Informationen finden Sie auf unserer Website unter: https://www.withsecure.com.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
WsSecurityEvents_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Mit Anmeldeinformationen für secure Elements-API-Client: Clientanmeldeinformationen sind erforderlich. Weitere Informationen finden Sie in der Dokumentation.

Setupanweisungen:

1. Erstellen von API-Anmeldeinformationen für "WithSecure Elements"

Befolgen Sie die Benutzerhandbuch , um Anmeldeinformationen für die Elements-API zu erstellen. Speichern Sie Anmeldeinformationen an einem sicheren Ort.

2. Erstellen Microsoft Entra Anwendung

Erstellen Sie neue Microsoft Entra Anwendung und Anmeldeinformationen. Befolgen Sie die Anweisungen , und speichern Sie die Werte für Verzeichnis-ID (Mandant), Objekt-ID, Anwendungs-ID (Client-ID) und Geheimer Clientschlüssel (aus dem Feld "Clientanmeldeinformationen"). Denken Sie daran, den geheimen Clientschlüssel an einem sicheren Ort zu speichern.

3. Bereitstellen der Funktions-App

HINWEIS: Dieser Connector verwendet Azure Functions, um Protokolle aus WithSecure Elements zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Speichern Sie Microsoft Entra Clientanmeldeinformationen und Anmeldeinformationen der WithSecure Elements-API sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

WICHTIG: Bevor Sie den WithSecure Elements-Connector bereitstellen, verfügen Sie über den Arbeitsbereichsnamen (kann von folgendem kopiert werden), Daten aus Microsoft Entra (Verzeichnis-ID (Mandant), Objekt-ID, Anwendungs-ID (Client-ID) und geheimer Clientschlüssel) sowie die Anmeldeinformationen des WithSecure Elements-Clients.

• Arbeitsbereichsname: <Variablenwert, der zur Installationszeit angegeben wird>

Bereitstellen aller Ressourcen im Zusammenhang mit dem Connector

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID, Entra Client-ID, Entra geheimen Clientschlüssel, Entra Mandanten-ID, Element-API-Client-ID und Geheimer Clientschlüssel der Element-API ein.

Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation. 4. Sie können auch optionale Felder ausfüllen: Element-API-URL, Engine, Engine Group. Verwenden Sie den Standardwert Elements-API-URL, es sei denn, Sie haben einen Sonderfall. Engine und Engine Group werden Sicherheitsereignisse-Anforderungsparametern zugeordnet. Geben Sie diese Parameter ein, wenn Sie nur an Ereignissen aus einer bestimmten Engine oder Engine-Gruppe interessiert sind, falls Sie alle Sicherheitsereignisse erhalten möchten, die Felder mit Standardwerten belassen. 5. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 6. Klicken Sie zum Bereitstellen auf Kaufen .

---

Wiz (mit Azure Functions)

Unterstützt von:Wiz

Mit dem Wiz-Connector können Sie wiz Issues, Vulnerability Findings und Überwachungsprotokolle ganz einfach an Microsoft Sentinel senden.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL)	Nein	Nein
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL)	Nein	Nein
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL)	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Anmeldeinformationen des Wiz-Dienstkontos: Stellen Sie sicher, dass Sie über die Client-ID und den geheimen Clientschlüssel Ihres Wiz-Dienstkontos, die API-Endpunkt-URL und die Authentifizierungs-URL verfügen. Anweisungen finden Sie in der Wiz-Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector: Verwendet Azure Functions, um eine Verbindung mit der Wiz-API herzustellen, um Wiz-Probleme, Sicherheitsrisikoergebnisse und Überwachungsprotokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise. Erstellt eine Azure Key Vault mit allen erforderlichen Parametern, die als Geheimnisse gespeichert sind.

SCHRITT 1 : Abrufen Ihrer Wiz-Anmeldeinformationen

Befolgen Sie die Anweisungen in der Wiz-Dokumentation , um die erquirierten Anmeldeinformationen abzurufen.

SCHRITT 2: Bereitstellen des Connectors und der zugehörigen Azure-Funktion

WICHTIG: Bevor Sie den Wiz-Connector bereitstellen, verwenden Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden) sowie die Wiz-Anmeldeinformationen aus dem vorherigen Schritt.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: Bereitstellen mithilfe der ARM-Vorlage (Azure Resource Manager)

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die folgenden Parameter ein:

• Wählen Sie KeyVaultName und FunctionName für die neuen Ressourcen aus.

• Geben Sie die folgenden Wiz-Anmeldeinformationen aus Schritt 1 ein: WizAuthUrl, WizEndpointUrl, WizClientId und WizClientSecret

• Geben Sie die Arbeitsbereichsanmeldeinformationen AzureLogsAnalyticsWorkspaceId und AzureLogAnalyticsWorkspaceSharedKey ein.

• Wählen Sie die Wiz-Datentypen aus, die Sie an Microsoft Sentinel senden möchten, und wählen Sie mindestens einen unter Wiz-Probleme, Sicherheitsrisikoergebnisse und Überwachungsprotokolle aus.

• (optional) Folgen Sie der Wiz-Dokumentation , um IssuesQueryFilter, VulnerbailitiesQueryFilter und AuditLogsQueryFilter hinzuzufügen.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.
5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung der Azure-Funktion

Befolgen Sie die Wiz-Dokumentation , um den Connector manuell bereitzustellen.

---

Workday-Benutzeraktivität

Unterstützt von:Microsoft Corporation

Der Workday User Activity-Datenconnector bietet die Möglichkeit, Benutzeraktivitätsprotokolle aus der Workday-API in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ASimAuditEventLogs	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Zugriff auf die Workday-Benutzeraktivitäts-API: Zugriff auf die Workday-Benutzeraktivitäts-API über Oauth ist erforderlich. Der API-Client muss über den Bereich System verfügen und von einem Konto mit Systemüberwachungsberechtigungen autorisiert werden.

Setupanweisungen:

Stellen Sie eine Verbindung mit Workday her, um mit dem Sammeln von Benutzeraktivitätsprotokollen in Microsoft Sentinel

1. Greifen Sie in Workday auf die Aufgabe "Mandanteneinrichtung – Sicherheit bearbeiten" zu, überprüfen Sie den Abschnitt "OAuth 2.0-Einstellungen", und stellen Sie sicher, dass das Kontrollkästchen "OAuth 2.0-Clients aktiviert" aktiviert ist.
2. Greifen Sie in Workday auf die Aufgabe "Mandanteneinrichtung bearbeiten – System" zu, überprüfen Sie den Abschnitt "Benutzeraktivitätsprotokollierung", und stellen Sie sicher, dass das Kontrollkästchen "Protokollierung von Benutzeraktivitäten aktivieren" aktiviert ist.
3. Greifen Sie in Workday auf die Aufgabe "API-Client registrieren" zu.
4. Definieren Sie den Clientnamen, wählen Sie "Client Grant Type": "Authorization Code Grant" (Autorisierungscodezuweisung) aus, und wählen Sie dann "Zugriffstokentyp": "Bearer" aus.
5. Geben Sie den "Umleitungs-URI" im folgenden Formular ein.
6. Wählen Sie im Abschnitt "Bereich (Funktionsbereiche)" die Option "System" aus, und klicken Sie unten auf OK.
7. Kopieren Sie die Client-ID und den geheimen Clientschlüssel, bevor Sie von der Seite weg navigieren, und speichern Sie sie sicher.
8. Geben Sie in Sentinel auf der Connectorseite die erforderlichen Token-, Autorisierungs- und Benutzeraktivitätsprotokolle-Endpunkte sowie Client-ID und geheimen Clientschlüssel aus dem vorherigen Schritt an. Klicken Sie dann auf "Verbinden".
9. Ein Workday-Popupfenster wird angezeigt, um die OAuth2-Authentifizierung und -Autorisierung des API-Clients abzuschließen. Hier müssen Sie Anmeldeinformationen für das Workday-Konto mit den Berechtigungen "Systemüberwachung" in Workday angeben (entweder Workday-Konto oder Integrationssystembenutzer).
10. Sobald dies abgeschlossen ist, wird die Meldung angezeigt, um Ihren API-Client zu autorisieren.

• Tokenendpunkt: (https://wd2-impl-services1.workday.com/ccx/oauth2/{tenantName}/token)
• Autorisierungsendpunkt: (https://impl.workday.com/{tenantName}/authorize)
• **Endpunkt für Benutzeraktivitätsprotokolle, endet mit /activityLogging **: (https://wd2-impl-services1.workday.com/ccx/api/privacy/v1/{tenantName}/activityLogging)

---

Workplace from Facebook (using Azure Functions)

Unterstützt von:Microsoft Corporation

Der Workplace-Datenconnector bietet die Möglichkeit, allgemeine Workplace-Ereignisse über Webhooks in Microsoft Sentinel zu erfassen. Webhooks ermöglichen benutzerdefinierten Integrations-Apps, Ereignisse in Workplace zu abonnieren und Updates in Echtzeit zu empfangen. Wenn eine Änderung in Workplace auftritt, wird eine HTTPS POST-Anforderung mit Ereignisinformationen an eine Rückrufdatenconnector-URL gesendet. Weitere Informationen finden Sie in der Dokumentation zu Webhooks . Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Workplace_Facebook_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Webhooks Anmeldeinformationen/Berechtigungen: WorkplaceAppSecret, WorkplaceVerifyToken, Rückruf-URL sind für funktionierende Webhooks erforderlich. Weitere Informationen zum Konfigurieren von Webhooks und zum Konfigurieren von Berechtigungen finden Sie in der Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Datenconnector verwendet Azure Functions basierend auf dem HTTP-Trigger für wartende POST-Anforderungen mit Protokollen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Functions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt Log Analytics/Microsoft Sentinel Protokolle, klicken Sie auf Funktionen, suchen Sie nach dem Alias WorkplaceFacebook, und laden Sie den Funktionscode, oder klicken Sie hier in der zweiten Zeile der Abfrage, geben Sie die Hostnamen Ihrer Workplace Facebook-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert in der Regel 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

SCHRITT 1 : Konfigurationsschritte für den Arbeitsplatz

Befolgen Sie die Anweisungen zum Konfigurieren von Webhooks.

1. Melden Sie sich beim Workplace mit Admin Benutzeranmeldeinformationen an.
2. Klicken Sie im bereich Admin auf Integrationen.
3. Klicken Sie in der Ansicht Alle Integrationen auf Benutzerdefinierte Integration erstellen.
4. Geben Sie den Namen und die Beschreibung ein, und klicken Sie auf Erstellen.
5. Zeigen Sie im Bereich Integrationsdetails das App-Geheimnis und den Kopiervorgang an.
6. Legen Sie im Bereich Integrationsberechtigungen alle Leseberechtigungen fest. Weitere Informationen finden Sie auf der Berechtigungsseite .
7. Fahren Sie nun mit SCHRITT 2 fort, um die Schritte (die unter Option 1 oder 2 aufgeführt sind) zum Bereitstellen der Azure-Funktion auszuführen.
8. Geben Sie die angeforderten Parameter und auch ein Token ihrer Wahl ein. Kopieren Sie dieses Token/ Notieren Sie es für den nächsten Schritt.
9. Nachdem die Bereitstellung von Azure Functions erfolgreich abgeschlossen wurde, öffnen Sie die Seite Funktions-App, wählen Sie Ihre App aus, wechseln Sie zu Funktionen, klicken Sie auf Funktions-URL abrufen, und kopieren Sie diese / Notieren Sie sich die App für den nächsten Schritt.
10. Zurück von Facebook zum Arbeitsplatz. Legen Sie im Bereich Webhooks konfigurieren auf jeder Registerkarte die Rückruf-URL auf denselben Wert fest, den Sie oben in Punkt 9 kopiert haben, und überprüfen Sie das Token als denselben Wert, den Sie oben in Punkt 8 kopiert haben, der während SCHRITT 2 der Azure Functions Bereitstellung abgerufen wurde.
11. Klicken Sie auf Speichern.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordneten Azure Functions

WICHTIG: Bevor Sie den Workplace-Datenconnector bereitstellen, verwenden Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Workplace-Datenconnectors mithilfe von ARM Tempate.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie workplaceVerifyToken (kann ein beliebiger Ausdruck sein, kopieren und speichern Sie es für SCHRITT 1), WorkplaceAppSecret und deploy. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen . 6. Nachdem Sie die Seite Funktions-App bereitgestellt haben, wählen Sie Ihre App aus, wechseln Sie zu Funktionen, klicken Sie auf Funktions-URL abrufen kopieren Sie sie, und folgen Sie S.7 aus SCHRITT 1.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Sophos Endpoint Protection-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

Schritt 1: Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

XBOW-Sicherheitsplattform (über Azure-Funktion)

Unterstützt von:XBOW

Der XBOW-Datenconnector erfasst Ressourcenmomentaufnahmen, Sicherheitsrisikoergebnisse und Bewertungsaktivitäten von der XBOW-Sicherheitsplattform in Microsoft Sentinel. Eine Azure-Funktion fragt die XBOW-API auf einem Timer ab und pusht JSON-Momentaufnahmen von Ressourcen in XbowAssets_CL, angereicherte Ergebnisse (mit Beweisen, PoC-Rezepten, Auswirkungen und Entschärfungen) in XbowFindings_CLund Bewertungslebenszyklusereignisse in XbowAssessments_CL, wobei die Azure Monitor Ingestion API (DCE/DCR) verwendet wird.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
XbowAssets_CL	Nein	Nein
XbowFindings_CL	Nein	Nein
XbowAssessments_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• XBOW-API-Token: Ein persönliches XBOW-Zugriffstoken ist erforderlich. Generieren Sie in der XBOW-Konsole unter Einstellungen > Persönliche Zugriffstoken. Legen Sie das Token auf den organization fest, den Sie überwachen möchten.
• XBOW-Organisations-ID: Die Organisations-ID aus Ihrem XBOW-Konto. Suchen Sie es in der XBOW-Konsolen-URL oder über die API.
• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Benutzerdefinierte Voraussetzungen, falls erforderlich, andernfalls dieses Zolltag löschen: Beschreibung für alle benutzerdefinierten Voraussetzungen
• Azure AD-App-Registrierung: Eine Azure AD-App-Registrierung (Dienstprinzipal) ist erforderlich. Sie müssen dieser App-Registrierung nach der Bereitstellung manuell die Rolle Herausgeber von Überwachungsmetriken für die Datensammlungsregel (Data Collection Rule, DCR) zuweisen.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions und die Azure Monitor-Erfassungs-API (DCE/DCR), um XBOW-Ressourcen, -Ergebnisse und -Bewertungen in Microsoft Sentinel zu erfassen. Die ARM-Vorlage erstellt automatisch den Datensammlungsendpunkt, benutzerdefinierte Protokolltabellen (XbowAssets_CL, XbowFindings_CLund XbowAssessments_CL), die Datensammlungsregel und die Funktions-App. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise und Azure Preisübersicht.

(Optionaler Schritt) Speichern Sie Ihre XBOW-API-Token- und App-Registrierungsanmeldeinformationen sicher in Azure Key Vault. Befolgen Sie diese Anweisungen, um Azure Key Vault Verweise mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Generieren eines XBOW-API-Tokens

1. Melden Sie sich bei der XBOW-Konsole mit Administratorzugriff an.
2. Klicken Sie auf ihr Profilsymbol (oben rechts), und wählen Sie Einstellungen aus.
3. Klicken Sie auf der linken Seitenleiste auf Persönliche Zugriffstoken.
4. Klicken Sie auf Neues Token generieren, geben Sie einen Namen ein, und wählen Sie den bereich organization aus.
5. Kopieren Sie Ihr Token, und speichern Sie es sicher – es wird nicht mehr angezeigt.
6. Notieren Sie sich Ihre Organisations-ID aus der XBOW-Konsole oder aus der URL, wenn Sie Ihre organization anzeigen.

SCHRITT 2: Erstellen einer Azure AD-App-Registrierung und Gewähren einer DCR-Rolle

1. Navigieren Sie im Azure-Portal zu Azure Active Directory > App-Registrierungen > Neue Registrierung.
2. Geben Sie einen Namen (z. B. ) an, Xbow-Sentinel-Connectorund registrieren Sie sich.
3. Erstellen Sie unter Zertifikate & Geheimnisse einen neuen geheimen Clientschlüssel. Notieren Sie sich die Mandanten-ID, die Client-ID und den geheimen Clientschlüssel.
4. Stellen Sie den Connector mithilfe von Schritt 3 unten bereit, und kehren Sie dann hierher zurück.
5. Öffnen Sie die bereitgestellte Datensammlungsregel (aus den Bereitstellungsausgaben oder durch Suchen in der Ressourcengruppe).
6. Wechseln Sie zu Zugriffssteuerung (IAM) > Rollenzuweisung hinzufügen.
7. Wählen Sie die Rolle Herausgeber von Überwachungsmetriken aus.
8. Weisen Sie den Zugriff auf die oben erstellte App-Registrierung (Dienstprinzipal) zu.
9. Warten Sie einige Minuten auf die RBAC-Weitergabe, bevor Sie die Erfassung überprüfen.

SCHRITT 3 : Bereitstellen der Azure-Funktions-App

Klicken Sie auf Bereitstellen in Azure, und geben Sie die Parameter ein. Die Vorlage erstellt automatisch die Tabellen Datensammlungsendpunkt, XbowAssets_CL, XbowFindings_CLund XbowAssessments_CL sowie die Datensammlungsregel und die Funktions-App.

aka.ms

Auszufüllende Parameter:

Parameter	Beschreibung
WorkspaceName	Name Ihres Log Analytics-/Microsoft Sentinel-Arbeitsbereichs
XbowApiToken	Persönliches XBOW-Zugriffstoken aus Schritt 1
XbowOrgId	XBOW-Organisations-ID aus Schritt 1
TenantId	Azure AD-Mandanten-ID aus Schritt 2
ClientId	App-Registrierungsclient-ID aus Schritt 2
ClientSecret	Geheimer Clientschlüssel für die App-Registrierung aus Schritt 2
AppInsightsWorkspaceResourceID	Vollständige Ressourcen-ID des Log Analytics-Arbeitsbereichs (aus Log Analytics-Arbeitsbereichseigenschaften>)
FunctionAppLocation	Optionaler Azure Region für Funktions-App-Ressourcen (standardmäßig der Speicherort der Ressourcengruppe)

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Zero Networks Segment (Push)

Unterstützt von:Zero Networks

Mit dem Zero Networks Segment-Pushconnector können Zero Networks Überwachungen, Netzwerkaktivitäten, Identitätsaktivitäten und RPC-Aktivitäten direkt an Microsoft Sentinel in Echtzeit senden. Stellen Sie den Connector bereit, um eine Datensammlungsregel (Data Collection Rule, DCR) und Microsoft Entra App zu erstellen. Konfigurieren Sie dann Ihre Zero Networks-Anwendung mit den Verbindungsdetails für Pushereignisse.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ZNAudit_CL	Ja	Ja
ZNNetworkActivity_CL	Ja	Ja
ZNIdentityActivity_CL	Ja	Ja
ZNRPCActivity_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. In der Regel ist Entra Rolle "Anwendungsentwickler" oder höher erforderlich.
• Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Herausgeber von Überwachungsmetriken" zur Datensammlungsregel (Data Collection Rule, DCR). In der Regel ist Azure Rolle RBAC-Besitzer oder Benutzerzugriffsadministrator erforderlich.

Setupanweisungen:

1. Erstellen von ARM-Ressourcen und Bereitstellen der erforderlichen Berechtigungen

Stellen Sie den Pushconnector bereit, um eine Log Analytics-Tabelle, eine Datensammlungsregel (Data Collection Rule, DCR), einen Datensammlungsendpunkt (Data Collection Endpoint, DCE) und Microsoft Entra App zu erstellen. Konfigurieren Sie dann Ihre Zero Networks-Anwendung mit den Verbindungsdetails.

Automatisierte Konfiguration Wenn Sie auf "Bereitstellen" klicken, werden eine DCR und eine DCE erstellt. Anschließend wird eine Microsoft Entra App-Registrierung mit geheimem Clientschlüssel erstellt und Berechtigungen für den DCR erteilt. Ihre Anwendung kann daten dann sicher mit OAuth 2.0-Clientanmeldeinformationen senden.

2. Konfigurieren Ihrer Zero Networks-Anwendung

Verwenden Sie die folgenden Werte, um Ihre Zero Networks-Anwendung so zu konfigurieren, dass Überwachungen, Netzwerkaktivitäten, Identitätsaktivitäten und RPC-Aktivitäten per Push an Microsoft Sentinel werden.

• Mandanten-ID (Verzeichnis-ID):< Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra Anwendungs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Entra Anwendungsgeheimnis: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Datensammlungsendpunkt-URI: <Variablenwert, der zur Installationszeit angegeben wird>
• Unveränderliche ID der Datensammlungsregel: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Stream: Überwachungen: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Stream: Netzwerkaktivitäten: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>
• Stream: Identitätsaktivitäten: <Variablenwert, der zur Installationszeit angegeben wird>
• Stream: RPC-Aktivitäten: <Zum Zeitpunkt der Installation bereitgestellter Variablenwert>

---

Zero Networks Segment Audit

Unterstützt von:Zero Networks

Der Zero Networks Segment Audit-Datenconnector bietet die Möglichkeit, Zero Networks Audit-Ereignisse über die REST-API in Microsoft Sentinel zu erfassen. Dieser Datenconnector verwendet Microsoft Sentinel native Abruffunktion.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ZNSegmentAuditNativePoller_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Zero Networks-API-Token: ZeroNetworksAPIToken ist für die REST-API erforderlich. Lesen Sie den API-Leitfaden, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

Setupanweisungen:

Verbinden von Zero Networks mit Microsoft Sentinel

Geben Sie die URL der Zero Networks-API ein (z. B. portal.zeronetworks.com). Der Connector fügt https:// und /api/v1/audit automatisch hinzu. Geben Sie dann Ihren API-Schlüssel an, und klicken Sie auf Verbinden.

• ZERO NETWORKS-API-URL: (portal.zeronetworks.com)
• ApiKey: (ApiKey)
• Verbindung aktivieren/deaktivieren
• Datenconnectors Grid (im Portal konfigurieren)

---

ZeroFox CTI

Unterstützt von:ZeroFox

Die ZeroFox CTI-Datenconnectors bieten die Möglichkeit, die verschiedenen ZeroFox Cyber Threat Intelligence-Warnungen in Microsoft Sentinel zu erfassen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ZeroFox_CTI_advanced_dark_web_CL	Nein	Nein
ZeroFox_CTI_botnet_CL	Nein	Nein
ZeroFox_CTI_breaches_CL	Nein	Nein
ZeroFox_CTI_C2_CL	Nein	Nein
ZeroFox_CTI_compromised_credentials_CL	Nein	Nein
ZeroFox_CTI_credit_cards_CL	Nein	Nein
ZeroFox_CTI_dark_web_CL	Nein	Nein
ZeroFox_CTI_discord_CL	Nein	Nein
ZeroFox_CTI_disruption_CL	Nein	Nein
ZeroFox_CTI_email_addresses_CL	Nein	Nein
ZeroFox_CTI_exploits_CL	Nein	Nein
ZeroFox_CTI_irc_CL	Nein	Nein
ZeroFox_CTI_malware_CL	Nein	Nein
ZeroFox_CTI_national_ids_CL	Nein	Nein
ZeroFox_CTI_phishing_CL	Nein	Nein
ZeroFox_CTI_phone_numbers_CL	Nein	Nein
ZeroFox_CTI_ransomware_CL	Nein	Nein
ZeroFox_CTI_telegram_CL	Nein	Nein
ZeroFox_CTI_threat_actors_CL	Nein	Nein
ZeroFox_CTI_vulnerabilities_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• ZeroFox API Anmeldeinformationen/Berechtigungen: ZeroFox Username, ZeroFox Personal Access Token sind für zeroFox CTI REST API erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der ZeroFox CTI-REST-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1 – Abrufen von ZeroFox-Anmeldeinformationen:

Befolgen Sie diese Anweisungen zum Einrichten der Protokollierung und Abrufen von Anmeldeinformationen.

1. Melden Sie sich auf der ZeroFox-Website an. Mit Ihrem Benutzernamen und Kennwort 2– Klicken Sie auf die Schaltfläche Einstellungen, und wechseln Sie zum Abschnitt Datenconnectors. 3 – Wählen Sie die Registerkarte API-DATENFEEDs aus, und wechseln Sie zum unteren Rand der Seite, und wählen Sie im Feld API-Informationen die Option Zurücksetzen>> aus<<, um ein persönliches Zugriffstoken zu erhalten, das zusammen mit Ihrem Benutzernamen verwendet werden soll.

SCHRITT 2: Bereitstellen der Azure Function-Datenconnectors mithilfe der vorlage Azure Resource Manager:

WICHTIG: Bevor Sie den ZeroFox CTI-Datenconnector bereitstellen, haben Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können von den folgenden Kopiert werden) sofort verfügbar.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Vorbereiten von Ressourcen für die Bereitstellung.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe, den Log Analytics-Arbeitsbereich und den standort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den ZeroFox-Benutzernamen, das persönliche ZeroFox-Zugriffstoken ein.

5. Klicken Sie zum Bereitstellen auf Überprüfen + erstellen .

---

ZeroFox Enterprise – Warnungen (Abfragen von CCF)

Unterstützt von:ZeroFox

Sammelt Warnungen von der ZeroFox-API.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ZeroFoxAlertPoller_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• ZeroFox Personal Access Token (PAT): Ein ZeroFox PAT ist erforderlich. Sie können sie unter Datenconnectors-API-Datenfeeds> abrufen.

Setupanweisungen:

Verbinden von ZeroFox mit Microsoft Sentinel

Verbinden von ZeroFox mit Microsoft Sentinel

• Geben Sie Ihre ZeroFox PAT an: (Zerofox PAT)
• Verbindung aktivieren/deaktivieren

---

Zimperium Mobile Threat Defense

Unterstützt von:Zimperium

Der Zimperium Mobile Threat Defense-Connector bietet Ihnen die Möglichkeit, das Zimperium-Bedrohungsprotokoll mit Microsoft Sentinel zu verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Dadurch erhalten Sie mehr Einblick in die mobile Bedrohungslandschaft Ihrer organization und verbessern Ihre Sicherheitsfunktionen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ZimperiumThreatLog_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Setupanweisungen:

Konfigurieren und Verbinden von Zimperium MTD

1. Klicken Sie in zConsole auf der Navigationsleiste auf Verwalten .
2. Klicken Sie auf die Registerkarte Integrationen .
3. Klicken Sie auf die Schaltfläche Threat Reporting und dann auf die Schaltfläche Integrationen hinzufügen .
4. Erstellen Sie die Integration:

• Wählen Sie unter den verfügbaren Integrationen Microsoft Microsoft Sentinel aus.
• Geben Sie Ihre Arbeitsbereichs-ID und den Primärschlüssel aus den folgenden Feldern ein, und klicken Sie auf Weiter.
• Geben Sie einen Namen für Ihre Microsoft Sentinel Integration ein.
• Wählen Sie eine Filterebene für die Bedrohungsdaten aus, die Sie per Push an Microsoft Sentinel übertragen möchten.
• Klicken Sie auf Fertig stellen.

5. Weitere Anweisungen finden Sie im Zimperium-Kundensupportportal.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

Zoomberichte (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Zoom Reports-Datenconnector bietet die Möglichkeit, Zoom Reports-Ereignisse über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Zoom_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: AccountID, ClientID und ClientSecret sind für die Zoom-API erforderlich. Weitere Informationen finden Sie unter Zoom-API. Befolgen Sie die Anweisungen für Zoom-API-Konfigurationen.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Zoom-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt Log Analytics/Microsoft Sentinel Protokolle, klicken Sie auf Funktionen, suchen Sie nach dem Alias Zoom, laden Sie den Funktionscode, oder klicken Sie hier. Die Aktivierung der Funktion dauert in der Regel 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

SCHRITT 1: Konfigurationsschritte für die Zoom-API

Befolgen Sie die Anweisungen , um die Anmeldeinformationen abzurufen.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Zoom Reports-Datenconnector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Zoom Audit-Datenconnectors mithilfe von ARM Tempate.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie AccountID, ClientID, ClientSecret, WorkspaceID, WorkspaceKey, Funktionsname ein, und klicken Sie auf Überprüfen + erstellen. 4. Klicken Sie abschließend zum Bereitstellen auf Erstellen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Zoom Reports-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

Schritt 1: Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z.B. ZoomXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zum Azure-Portal für die Konfiguration der Funktions-App.

Schritt 2: Konfigurieren der Funktions-App

1. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): AccountID ClientSecret WorkspaceID WorkspaceIDKey logAnalyticsUri (optional) Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.
4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Zoom Reports Connector (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit dem Zoom Reports-Datenconnector können Sie Zoom Reports-Daten über die Zoom-REST-API v2 in Microsoft Sentinel erfassen, sodass Sie die Zoom-Nutzung in Ihren organization überwachen und überwachen können. Dieser Connector verwendet Server-zu-Server-OAuth-Kontoanmeldeinformationen für die Authentifizierung und unterstützt die Erfassung mehrerer Berichtstypen, einschließlich täglicher Nutzungsberichte für Besprechungsstatistiken und Nutzungsmetriken, Benutzerberichte für aktive/inaktive Benutzerhostinformationen, Telefonieberichte für Telefonienutzungsstatistiken, Cloudaufzeichnungs-Nutzungsberichte für Cloudspeicher und Aufzeichnung der Nutzung, Vorgangsprotokolle für administrative Vorgänge und Überwachungspfade. und Aktivitätsprotokolle für Benutzeranmeldungs-/Abmeldeaktivitäten. Jeder Berichtstyp wird in einer separaten Abrufkonfiguration mit automatischer Paginierungsunterstützung mithilfe von NextPageToken gesammelt. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework und unterstützt DCR-basierte Erfassungszeittransformationen für eine optimierte Abfrageleistung.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
ZoomV2_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Zoom-API-Zugriff: Zugriff auf zoom-REST-API v2 mit Kontoanmeldeinformationen

Setupanweisungen:

1. Zoomkonfiguration

Konfigurieren der Server-zu-Server-OAuth-App und Sammeln von Anmeldeinformationen

Schritt 1: Einrichten der OAuth-App "Zoom Server-to-Server" folgen Sie unter Erstellen einer App. Stellen Sie sicher, dass Sie Ihrer App Berichtsbezogene Bereiche hinzufügen:

• report:read:list_users:admin
• report:read:cloud_recording:admin
• report:read:daily_usage:admin
• report:read:operation_logs:admin
• report:read:telephone:admin
• report:read:user_activities:admin

Weitere Informationen finden Sie unter Zoom Server-to-Server OAuth-Dokumentation und Berichts-APIs.

Schritt 2: Abrufen ihrer App-Anmeldeinformationen

Suchen Ihrer App-Anmeldeinformationen (Konto-ID, Client-ID und geheimer Clientschlüssel) auf Ihrer Personal app management Seite im Zoom App Marketplace

Sicherheitshinweise

• Sicheres Speichern von Konto-ID, Client-ID und geheimer Clientschlüssel

• Regelmäßiges Rotieren von Anmeldeinformationen für erhöhte Sicherheit

  • Client-ID: (Zoom App-Client-ID)
  • Geheimer Clientschlüssel: (Geheimer Zoom-App-Clientschlüssel)
  • Konto-ID: (Ihre Zoom-Konto-ID)
  • Tokenbasis-URL: (https://zoom.us/oauth/token)
  • API-Basis-URL: (https://api.zoom.us/v2)

2. Verbinden

Aktivieren des Zoom Reports-Connectors

Aktivieren des Connectors

Überprüfen Sie Ihre Zoom-App-Anmeldeinformationen in Schritt 2, und aktivieren Sie dann den Connector, um mit dem Sammeln von Zoom-Berichtsdaten zu beginnen.

Überwachung

Überprüfen Sie den Dateneingang mithilfe der folgenden Abfragen:

Überprüfen Sie alle Berichtstypen:

ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType

Überprüfen Sie einen bestimmten Berichtstyp:

ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10

Überwachen der Connectorintegrität:

ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc

• Verbindung aktivieren/deaktivieren

---

Veraltete Sentinel-Datenconnectors

Hinweis

In der folgenden Tabelle sind die veralteten und Legacydatenconnectors aufgeführt. Veraltete Connectors werden nicht mehr unterstützt.

[Veraltet] Auth0 Logs (using Azure Function) (using Azure Functions)

Unterstützt von:Microsoft Corporation

Der Datenconnector Auth0 Logs (mit Azure Function) bietet die Möglichkeit, Auth0-Protokollereignisse in Microsoft Sentinel

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Auth0AM_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: API-Token ist erforderlich. Weitere Informationen finden Sie unter API-Token.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit den Auth0-Verwaltungs-APIs herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Auth0 Management-API

Befolgen Sie die Anweisungen, um die Anmeldeinformationen abzurufen.

1. Navigieren Sie im Auth0-Dashboard zu Anwendungen>.
2. Wählen Sie Ihre Anwendung aus. Hierbei sollte es sich um eine "Machine-to-Machine"-Anwendung handeln, die mindestens mit den Berechtigungen read:logs und read:logs_users konfiguriert ist.
3. Domäne, ClientID, geheimer Clientschlüssel kopieren

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Auth0 Access Management-Datenconnector bereitstellen, müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel verwenden (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Auth0 Access Management-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie domäne, ClientID, Geheimer Clientschlüssel, AzureSentinelWorkspaceId, AzureSentinelSharedKey ein. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Auth0 Access Management-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. Auth0AMXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

[Veraltet] GitHub Enterprise-Überwachungsprotokoll

Unterstützt von:Microsoft Corporation

Der GitHub-Überwachungsprotokollconnector bietet die Möglichkeit, GitHub-Protokolle in Microsoft Sentinel zu erfassen. Indem Sie GitHub-Überwachungsprotokolle mit Microsoft Sentinel verbinden, können Sie diese Daten in Arbeitsmappen anzeigen, sie verwenden, um benutzerdefinierte Warnungen zu erstellen und Ihren Untersuchungsprozess zu verbessern.

Hinweis: Wenn Sie gitHub-abonnierte Ereignisse in Microsoft Sentinel erfassen möchten, lesen Sie den GitHub-Connector (mit Webhooks) im Katalog "Datenconnectors".

HINWEIS: Dieser Datenconnector ist veraltet. Ziehen Sie in Betracht, zum CCF-Datenconnector zu wechseln, der in der Lösung verfügbar ist und die Erfassung über die veraltete HTTP-Datensammler-API ersetzt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
GitHubAuditLogPolling_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Persönliches GitHub-API-Zugriffstoken: Sie benötigen ein persönliches GitHub-Zugriffstoken, um den Abruf für das organization Überwachungsprotokoll zu aktivieren. Sie können entweder ein klassisches Token mit dem Bereich "read:org" oder ein differenziertes Token mit dem Bereich "Administration: Read-only" verwenden.
• GitHub Enterprise-Typ: Dieser Connector funktioniert nur mit GitHub Enterprise Cloud. GitHub Enterprise Server wird nicht unterstützt.

Setupanweisungen:

Verbinden des GitHub Enterprise-Überwachungsprotokolls auf Organisationsebene mit Microsoft Sentinel

Aktivieren Sie GitHub-Überwachungsprotokolle. Befolgen Sie diese Anleitung , um Ihr persönliches Zugriffstoken zu erstellen oder zu finden.

---

[Veraltet] Infoblox SOC Insight Data Connector über Legacy-Agent

Unterstützt von:Infoblox

Mit dem Infoblox SOC Insight Data Connector können Sie Ihre Infoblox BloxOne SOC Insight-Daten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie & Korrelation, Warnungen und Threat Intelligence-Anreicherung für jedes Protokoll nutzen.

Dieser Datenconnector erfasst Infoblox SOC Insight CDC-Protokolle in Ihrem Log Analytics-Arbeitsbereich mithilfe des älteren Log Analytics-Agents.

Microsoft empfiehlt die Installation von Infoblox SOC Insight Data Connector über AMA Connector. Der Legacyconnector verwendet den Log Analytics-Agent, der am 31. August 2024 veraltet ist und nur dort installiert werden sollte, wo AMA nicht unterstützt wird.

Die Verwendung von MMA und AMA auf demselben Computer kann zu Protokollduplizierung und zusätzlichen Erfassungskosten führen. Weitere Informationen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CommonSecurityLog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Setupanweisungen:

Arbeitsbereichsschlüssel

Um die Playbooks als Teil dieser Lösung zu verwenden, suchen Sie unten Ihre Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel .

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Arbeitsbereichsschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Parser

Dieser Datenconnector basiert auf einem Parser, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, InfobloxCDC_SOCInsights die mit der Microsoft Sentinel Solution bereitgestellt wird.

SOC Insights

Bei diesem Datenconnector wird davon ausgegangen, dass Sie Zugriff auf Infoblox BloxOne Threat Defense SOC Insights haben. Weitere Informationen zu SOC Insights finden Sie hier.

Infoblox Cloud Data Connector

Dieser Datenconnector geht davon aus, dass bereits ein Infoblox Data Connector-Host im Infoblox Cloud Services Portal (CSP) erstellt und konfiguriert wurde. Da der Infoblox-Datenconnector ein Feature von BloxOne Threat Defense ist, ist Der Zugriff auf ein entsprechendes BloxOne Threat Defense-Abonnement erforderlich. Weitere Informationen und Lizenzierungsanforderungen finden Sie in diesem Schnellstarthandbuch .

1. Konfiguration des syslog-Agents Linux

Installieren und konfigurieren Sie den Linux-Agent, um Ihre CEF-Syslog-Nachrichten (Common Event Format) zu sammeln und an Microsoft Sentinel weiterzuleiten.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.

1.1 Auswählen oder Erstellen eines Linux Computers

Wählen Oder erstellen Sie einen Linux Computer, der Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel sich dieser Computer in Ihrer lokalen Umgebung, Azure oder anderen Clouds befinden kann.

1.2 Installieren des CEF-Collectors auf dem Linux Computer

Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux Computer, und konfigurieren Sie den Computer so, dass er den erforderlichen Port überwacht und Nachrichten an Ihren Microsoft Sentinel Arbeitsbereich weiterleitt. Der CEF-Collector sammelt CEF-Nachrichten an Port 514 TCP.

1. Stellen Sie sicher, dass Python auf Ihrem Computer installiert ist, indem Sie den folgenden Befehl verwenden: python -version.

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um den zum Zeitpunkt der Installation angegebenen CEF-Collector zu installieren und anzuwenden:<>

2. Konfigurieren Sie im Infoblox Cloud Services Portal Infoblox BloxOne so, dass CEF-Syslog-Daten an den Infoblox Cloud Data Connector gesendet werden, um sie an den Syslog-Agent weiterzuleiten.

Führen Sie die folgenden Schritte aus, um infoblox CDC so zu konfigurieren, dass BloxOne-Daten über den Linux Syslog-Agent an Microsoft Sentinel gesendet werden.

1. Navigieren Sie zu Datenconnector verwalten>.
2. Klicken Sie oben auf die Registerkarte Zielkonfiguration .
3. Klicken Sie auf Syslog erstellen>.

• Name: Geben Sie dem neuen Ziel einen aussagekräftigen Namen, z. B. Microsoft-Sentinel-Destination.
• Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung.
• Status: Legen Sie den Status auf Aktiviert fest.
• Format: Legen Sie das Format auf CEF fest.
• FQDN/IP: Geben Sie die IP-Adresse des Linux Geräts ein, auf dem der Linux-Agent installiert ist.
• Port: Übernehmen Sie die Portnummer 514.
• Protokoll: Wählen Sie ggf. das gewünschte Protokoll und zertifizierungsstellenzertifikat aus.
• Klicken Sie auf Speichern und schließen.

4. Klicken Sie oben auf die Registerkarte Datenverkehrsflusskonfiguration .
5. Klicken Sie auf Erstellen.

• Name: Geben Sie dem neuen Datenverkehrsfluss einen aussagekräftigen Namen, z. B. Microsoft-Sentinel-Flow.
• Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung.
• Status: Legen Sie den Status auf Aktiviert fest.
• Erweitern Sie den Abschnitt Dienstinstanz .
• Dienstinstanz: Wählen Sie die gewünschte Dienstinstanz aus, für die der Datenconnector-Dienst aktiviert ist.
• Erweitern Sie den Abschnitt Quellkonfiguration .
• Quelle: Wählen Sie BloxOne-Cloudquelle aus.
• Wählen Sie den Protokolltyp Interne Benachrichtigungen aus.
• Erweitern Sie den Abschnitt Zielkonfiguration .
• Wählen Sie das soeben erstellte Ziel aus.
• Klicken Sie auf Speichern und schließen.

6. Lassen Sie die Konfiguration einige Zeit für die Aktivierung ein.

3. Überprüfen der Verbindung

Befolgen Sie die Anweisungen, um Ihre Konnektivität zu überprüfen:

Öffnen Sie Log Analytics, um zu überprüfen, ob die Protokolle mithilfe des CommonSecurityLog-Schemas empfangen werden.

Es kann etwa 20 Minuten dauern, bis die Verbindung Daten an Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Verbindungsüberprüfungsskript aus:

1. Stellen Sie mit dem folgenden Befehl sicher, dass Python auf Ihrem Computer installiert ist: python -version

2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen.

• Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:: <Variablenwert, der zur Installationszeit angegeben wurde>

**4. Schützen Ihres Computers **

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihres organization konfigurieren.

Weitere Informationen >

---

[Veraltet] IONIX-Sicherheitsprotokolle (Push)

Unterstützt von:IONIX

⚠️ Dieser Connector ist veraltet und wird im Juni 2026 entfernt. Verwenden Sie stattdessen den neuen Connector "IONIX Security Logs (via Codeless Connector Framework)", der automatische tägliche Abrufe ermöglicht, ohne dass eine manuelle Konfiguration im IONIX-Portal erforderlich ist.

---

Der IONIX Security Logs-Datenconnector erfasst Protokolle aus dem IONIX-System direkt in Sentinel. Mit dem Connector können Benutzer ihre Daten visualisieren, Warnungen und Vorfälle erstellen und Sicherheitsuntersuchungen verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CyberpionActionItems_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• IONIX-Abonnement: Für IONIX-Protokolle ist ein Abonnement und ein Konto erforderlich. Eine kann hier erworben werden.

Setupanweisungen:

Befolgen Sie die Anweisungen zum Integrieren von IONIX-Sicherheitswarnungen in Sentinel.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

---

[Veraltet] Suche

Unterstützt von:Lookout

Der Lookout-Datenconnector bietet die Möglichkeit, Lookout-Ereignisse über die mobile Risiko-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation . Der Lookout-Datenconnector bietet die Möglichkeit, Ereignisse abzurufen, die bei der Untersuchung potenzieller Sicherheitsrisiken und mehr helfen.

HINWEIS: Dieser Datenconnector ist veraltet. Ziehen Sie in Betracht, zum CCF-Datenconnector zu wechseln, der in der Lösung verfügbar ist und die Erfassung über die veraltete HTTP-Datensammler-API ersetzt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Lookout_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Anmeldeinformationen/Berechtigungen der API für mobile Risiken: EnterpriseName & ApiKey sind für die mobile Risiko-API erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

Setupanweisungen:

HINWEIS: Dieser Lookout-Datenconnector verwendet Azure Functions, um eine Verbindung mit der Mobile Risk-API herzustellen, um seine Ereignisse in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartete LookoutEvents zu funktionieren, die mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1: Konfigurationsschritte für die mobile Risiko-API

Befolgen Sie die Anweisungen , um die Anmeldeinformationen abzurufen.

SCHRITT 2: Befolgen Sie die unten beschriebenen Anweisungen, um den Lookout-Datenconnector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie mit der Bereitstellung des Lookout-Datenconnectors beginnen, stellen Sie sicher, dass die Arbeitsbereichs-ID und der Arbeitsbereichsschlüssel bereit sind (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Arbeitsbereichsschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

arm-Vorlage (Azure Resource Manager)

Führen Sie die folgenden Schritte für die automatisierte Bereitstellung des Lookout-Datenconnectors mithilfe einer ARM-Vorlage aus.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie den Funktionsnamen, die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den Unternehmensnamen & API-Schlüssel ein, und stellen Sie sie bereit. 4. Klicken Sie zum Bereitstellen auf Erstellen .

---

[Veraltet] Microsoft Exchange-Protokolle und -Ereignisse

Unterstützt von:Community

Als veraltet gekennzeichnet, verwenden Sie die "ESI-Opt"-Dataconnectors. Sie können alle Exchange-Überwachungsereignisse, IIS-Protokolle, HTTP-Proxyprotokolle und Sicherheitsereignisprotokolle von den Windows-Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Mit dieser Verbindung können Sie Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Dies wird von Microsoft Exchange-Sicherheitsarbeitsmappen verwendet, um Sicherheitserkenntnisse ihrer lokalen Exchange-Umgebung bereitzustellen.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Event	Ja	Nein
SecurityEvent	Ja	Ja
W3CIISLog	Ja	Nein
MessageTrackingLog_CL	Ja	Ja
ExchangeHttpProxy_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Azure Log Analytics veraltet ist, wird zum Sammeln von Daten von nicht Azure VMs Azure Arc empfohlen. Weitere Informationen
• Ausführliche Dokumentation: >HINWEIS: Ausführliche Dokumentation zu Installationsverfahren und Verwendung finden Sie hier.

Setupanweisungen:

HINWEIS: Diese Lösung basiert auf Optionen. Auf diese Weise können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen eine sehr große Menge an Daten generieren können. Je nachdem, was Sie erfassen, in Ihren Arbeitsmappen, Analyseregeln und Huntingfunktionen nachverfolgen möchten, wählen Sie die Optionen aus, die Sie bereitstellen möchten. Jede Option ist für eine von der anderen unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki "Microsoft Exchange-Sicherheit".

1. Herunterladen und Installieren der Agents, die zum Sammeln von Protokollen für Microsoft Sentinel

Der Servertyp (Exchange-Server, mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.

Bereitstellen von Monitor-Agents

Dieser Schritt ist nur erforderlich, wenn Sie ihre Exchange-Server/Domänencontroller zum ersten Mal integrieren.

Wählen Sie aus, welchen Agent Sie auf Ihren Servern installieren möchten, um Protokolle zu sammeln:

[Bevorzugt] Azure Monitor-Agent über Azure Arc

Bereitstellen des Azure Arc-Agents Weitere Informationen

Installieren Azure Log Analytics-Agents (veraltet am 31.08.2024)

1. Laden Sie den Azure Log Analytics-Agent herunter, und wählen Sie die Bereitstellungsmethode im folgenden Link aus.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

2. Bereitstellen von Protokollen mithilfe ausgewählter Optionen

[Option 1] MS Exchange-Verwaltungsprotokollsammlung

Auswählen, wie Ms Exchange Admin Überwachungsereignisprotokolle gestreamt werden sollen

MS Exchange Admin Überwachungsereignisprotokolle

Datensammlungsregeln: Wenn Azure Monitor-Agent verwendet wird

Aktivieren der Datensammlungsregel Microsoft Exchange Admin Protokolle von Überwachungsereignissen werden nur von Windows-Agents gesammelt.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des DCR.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie den Arbeitsbereichsnamen "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

A. Erstellen von DCR, Typ Ereignisprotokoll

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, wählen Sie Windows als Plattformtyp aus, und geben Sie der DCR einen Namen.
4. Geben Sie auf der Registerkarte Ressourcen Ihre Exchange-Server ein.
5. Fügen Sie unter "Sammeln und übermitteln" den Datenquellentyp "Windows-Ereignisprotokolle" hinzu, und wählen Sie die Option "Benutzerdefiniert" aus, geben Sie "MSExchange-Verwaltung" als Ausdruck ein, und fügen Sie ihn hinzu.
6. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

Datensammlungsregeln: Wenn der Ältere Azure Log Analytics-Agent verwendet wird

Konfigurieren der zu sammelnden Protokolle

Konfigurieren Sie die Ereignisse, die Sie erfassen möchten, und deren Schweregrade.

1. Wählen Sie unter Verwaltung der Arbeitsbereichs-Legacy-Agents die Option Windows-Ereignisprotokolle aus.
2. Klicken Sie auf Windows-Ereignisprotokoll hinzufügen, und geben Sie MSExchange-Verwaltung als Protokollnamen ein.
3. Sammeln von Fehler-, Warnungs- und Informationstypen
4. Klicken Sie auf Speichern.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

[Option 2] Sicherheits-/Anwendungs-/Systemprotokolle von Exchange-Servern

Auswählen des Streamens von Sicherheits-/Anwendungs-/Systemprotokollen von Exchange-Servern

Sammlung von Sicherheitsereignisprotokollen

Datensammlungsregeln – Sicherheitsereignisprotokolle

Aktivieren der Datensammlungsregel für Sicherheitsprotokolle Sicherheitsereignisseprotokolle werden nur von Windows-Agents gesammelt.

1. Hinzufügen von Exchange-Servern auf der Registerkarte "Ressourcen ".
2. Wählen Sie Sicherheitsprotokollebene aus.

Die allgemeine Ebene ist die erforderliche Mindeststufe. Wählen Sie "Allgemein" oder "Alle Sicherheitsereignisse" für die DCR-Definition aus.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Sammlung von Anwendungs- und Systemereignisprotokollen

Datensammlungsregeln: Wenn Azure Monitor-Agent verwendet wird

Aktivieren der Datensammlungsregel Anwendungs- und Systemereignisprotokolle werden nur von Windows-Agents gesammelt.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des DCR.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie den Arbeitsbereichsnamen "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

A. Erstellen von DCR, Typ Ereignisprotokoll

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, wählen Sie Windows als Plattformtyp aus, und geben Sie der DCR einen Namen.
4. Geben Sie auf der Registerkarte Ressourcen Ihre Exchange-Server ein.
5. Fügen Sie unter "Sammeln und übermitteln" den Datenquellentyp "Windows-Ereignisprotokolle" hinzu, und wählen Sie die Option "Basic" aus.
6. Wählen Sie unter Anwendung die Optionen "Kritisch", "Fehler" und "Warnung" aus. Wählen Sie unter System die Option Kritisch/Fehler/Warnung/Informationen aus.
7. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

Datensammlungsregeln: Wenn der Ältere Azure Log Analytics-Agent verwendet wird

Konfigurieren der zu sammelnden Protokolle

Konfigurieren Sie die Ereignisse, die Sie erfassen möchten, und deren Schweregrade.

1. Wählen Sie unter Erweiterte Einstellungen des Arbeitsbereichs Konfiguration die Option Daten und dann Windows-Ereignisprotokolle aus.
2. Klicken Sie auf Windows-Ereignisprotokoll hinzufügen, und suchen Sie nach Anwendung als Protokollnamen.
3. Klicken Sie auf Windows-Ereignisprotokoll hinzufügen, und suchen Sie nach System als Protokollnamen.
4. Sammeln von Fehlertypen (für alle), Warnung (für alle) und Informationen (für System)
5. Klicken Sie auf Speichern.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

[Option 3 und 4] Sicherheitsprotokolle von Domänencontrollern

Wählen Sie aus, wie Sicherheitsprotokolle von Domänencontrollern gestreamt werden sollen. Wenn Sie Option 3 implementieren möchten, müssen Sie nur dc am gleichen Standort wie Exchange-Server auswählen. Wenn Sie Option 4 implementieren möchten, können Sie alle DOmänencontroller Ihrer Gesamtstruktur auswählen.

[Option 3] Nur Domänencontroller am gleichen Standort wie Exchange-Server für den nächsten Schritt auflisten

Dies schränkt die Menge der dateninjizierten Daten ein, aber einige Incidents können nicht erkannt werden.

[Option 4] Auflisten aller Domänencontroller Ihrer Active-Directory-Gesamtstruktur für den nächsten Schritt

Dies ermöglicht das Erfassen aller Sicherheitsereignisse.

Sammlung von Sicherheitsereignisprotokollen

Datensammlungsregeln – Sicherheitsereignisprotokolle

Aktivieren der Datensammlungsregel für Sicherheitsprotokolle Sicherheitsereignisseprotokolle werden nur von Windows-Agents gesammelt.

1. Ausgewählte DOmänencontroller auf der Registerkarte "Ressourcen " hinzufügen.
2. Wählen Sie Sicherheitsprotokollebene aus.

Die allgemeine Ebene ist die erforderliche Mindeststufe. Wählen Sie "Allgemein" oder "Alle Sicherheitsereignisse" für die DCR-Definition aus.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

[Option 5] IIS-Protokolle von Exchange-Servern

Auswählen, wie IIS-Protokolle von Exchange-Servern gestreamt werden sollen

Datensammlungsregeln: Wenn Azure Monitor-Agent verwendet wird

Aktivieren der Datensammlungsregel IIS-Protokolle werden nur von Windows-Agents gesammelt.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung von DCE und DCR.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Sie können den vorgeschlagenen Namen des DCE ändern.

4. Klicken Sie zum Bereitstellen auf Erstellen .

B. Bereitstellen einer Datenverbindungsregel

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsendpunkt.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, und geben Sie dem DCE einen Namen.
4. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

B. DcR erstellen, IIS-Protokoll eingeben

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, wählen Sie Windows als Plattformtyp aus, und geben Sie der DCR einen Namen. Wählen Sie die erstellte DCE aus.
4. Geben Sie auf der Registerkarte Ressourcen Ihre Exchange-Server ein.
5. Fügen Sie unter "Sammeln und übermitteln" den Datenquellentyp "IIS-Protokolle" hinzu (Geben Sie keinen Pfad ein, wenn der Iis-Protokollpfad standardmäßig konfiguriert ist). Klicken Sie auf "Datenquelle hinzufügen".
6. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

Datensammlungsregeln: Wenn der Ältere Azure Log Analytics-Agent verwendet wird

Konfigurieren der zu sammelnden Protokolle

Konfigurieren Sie die Ereignisse, die Sie erfassen möchten, und deren Schweregrade.

1. Wählen Sie unter Erweiterte Einstellungen des Arbeitsbereichs Konfiguration die Option Daten und dann IIS-Protokolle aus.
2. Aktivieren Von IIS-Protokolldateien im W3C-Format sammeln
3. Klicken Sie auf Speichern.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

[Option 6] Nachrichtennachverfolgung von Exchange-Servern

Auswählen des Streamens der Nachrichtennachverfolgung von Exchange-Servern

Datensammlungsregeln: Wenn Azure Monitor-Agent verwendet wird

Aktivieren der Datensammlungsregel Nachrichtennachverfolgung werden nur von Windows-Agents gesammelt.

Hinweis: Achtung, benutzerdefinierte Protokolle im Monitor-Agent befinden sich in der Vorschau. Die Bereitstellung funktioniert derzeit (März 2023) nicht wie erwartet.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung von DCE und DCR.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Sie können den vorgeschlagenen Namen des DCE ändern.

4. Klicken Sie zum Bereitstellen auf Erstellen .

B. Bereitstellen einer Datenverbindungsregel und einer benutzerdefinierten Tabelle

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsendpunkt.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, und geben Sie dem DCE einen Namen wie ESI-ExchangeServers.
4. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

B. Erstellen einer benutzerdefinierten DCR-Tabelle

1. Laden Sie die Beispieldatei von Microsoft Sentinel GitHub herunter.

2. Navigieren Sie im Azure-Portal zu Workspace Analytics, und wählen Sie Ihren Zielarbeitsbereich aus.

3. Klicken Sie auf "Tabellen", klicken Sie oben auf + Erstellen, und wählen Sie Neues benutzerdefiniertes Protokoll (DCR-Based) aus.

4. Geben Sie auf der Registerkarte Grundlagen im Tabellennamen MessageTrackingLog ein, erstellen Sie eine Datensammlungsregel mit dem Namen DCR-Option6-MessageTrackingLogs (z. B.), und wählen Sie den zuvor erstellten Datensammlungsendpunkt aus.

5. Wählen Sie auf der Registerkarte Schema und Transformation die heruntergeladene Beispieldatei aus, und klicken Sie auf Transformations-Editor.

6. Im Transformationsfeld Geben Sie die folgende KQL-Anforderung ein: source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = [''connector-id'] event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=[' schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'] '], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], ['schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']

7. Klicken Sie auf "Ausführen" und nach "Anwenden".

8. Klicken Sie auf Weiter und dann auf Erstellen.

C. Ändern des erstellten DCR, Geben Sie benutzerdefiniertes Protokoll ein.

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Wählen Sie die zuvor erstellte DCR aus, z. B. DCR-Option6-MessageTrackingLogs.
3. Geben Sie auf der Registerkarte Ressourcen Ihre Exchange-Server ein.
4. Fügen Sie unter Datenquellen den Datenquellentyp "Benutzerdefinierte Textprotokolle" hinzu, und geben Sie "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" im Dateimuster "MessageTrackingLog_CL" in Tabellenname ein. 6.in Feld "Transformieren", Geben Sie die folgende KQL-Anforderung ein: source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event -id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'] '], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], ['schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
5. Klicken Sie auf "Datenquelle hinzufügen".

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

Datensammlungsregeln: Wenn der Ältere Azure Log Analytics-Agent verwendet wird

Konfigurieren der zu sammelnden Protokolle

1. Wählen Sie unter Arbeitsbereichseinstellungen die Option Tabellen aus, klicken Sie auf + Erstellen und dann auf Neues benutzerdefiniertes Protokoll (MMA-basiert).
2. Wählen Sie Beispieldatei MessageTracking Sample aus, und klicken Sie auf Weiter.
3. Wählen Sie Windows aus, und geben Sie den Pfad C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log ein. Klicken Sie auf "Weiter".
4. Geben Sie MessageTrackingLog als Tabellenname ein, und klicken Sie auf Weiter.
5. Klicken Sie auf Speichern.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

[Option 7] HTTP-Proxy von Exchange-Servern

Auswählen des Streamens des HTTP-Proxys von Exchange-Servern

Datensammlungsregeln: Wenn Azure Monitor-Agent verwendet wird

Aktivieren der Datensammlungsregel Nachrichtennachverfolgung werden nur von Windows-Agents gesammelt.

Hinweis: Achtung, benutzerdefinierte Protokolle im Monitor-Agent befinden sich in der Vorschau. Die Bereitstellung funktioniert derzeit (März 2023) nicht wie erwartet.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung von DCE und DCR.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Sie können den vorgeschlagenen Namen des DCE ändern.

4. Klicken Sie zum Bereitstellen auf Erstellen .

B. Bereitstellen einer Datenverbindungsregel

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID "and/oder Other required fields" ein.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um eine Datensammlungsregel manuell bereitzustellen.

A. Erstellen einer DCE (falls noch nicht für Exchange-Server erstellt)

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsendpunkt.
2. Klicken Sie oben auf + Erstellen .
3. Füllen Sie auf der Registerkarte Grundlagen die erforderlichen Felder aus, und geben Sie dem DCE einen Namen.
4. "Nehmen Sie bei Bedarf weitere bevorzugte Konfigurationsänderungen vor", und klicken Sie dann auf Erstellen.

B. Erstellen einer benutzerdefinierten DCR-Tabelle

1. Laden Sie die Beispieldatei von Microsoft Sentinel GitHub herunter.
2. Navigieren Sie im Azure-Portal zu Workspace Analytics, und wählen Sie Ihren Zielarbeitsbereich aus.
3. Klicken Sie auf "Tabellen", klicken Sie oben auf + Erstellen, und wählen Sie Neues benutzerdefiniertes Protokoll (DCR-Based) aus.
4. Geben Sie auf der Registerkarte Grundlagen exchangeHttpProxy im Tabellennamen ein, erstellen Sie eine Datensammlungsregel mit dem Namen DCR-Option7-HTTPProxyLogs (z. B.), und wählen Sie den zuvor erstellten Datensammlungsendpunkt aus.
5. Wählen Sie auf der Registerkarte Schema und Transformation die heruntergeladene Beispieldatei aus, und klicken Sie auf Transformations-Editor.
6. Geben Sie im Transformationsfeld die folgende KQL-Anforderung ein: *source | extend TimeGenerated = todatetime(DateTime) | Project-away DateTime

8. Klicken Sie auf "Ausführen" und nach "Anwenden".
9. Klicken Sie auf Weiter und dann auf Erstellen.

C. Ändern des erstellten DCR, Geben Sie benutzerdefiniertes Protokoll ein.

1. Navigieren Sie im Azure-Portal zu Azure Datensammlungsregeln.
2. Wählen Sie die zuvor erstellte DCR aus, z. B. DCR-Option7-HTTPProxyLogs.
3. Geben Sie auf der Registerkarte Ressourcen Ihre Exchange-Server ein.
4. Fügen Sie unter Datenquellen den Datenquellentyp "Benutzerdefinierte Textprotokolle" hinzu, und geben Sie "C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log" im Dateimuster "ExchangeHttpProxy_CL" in Tabellenname ein. 6.in Feld Transform geben Sie die folgende KQL-Anforderung ein: source | extend TimeGenerated = todatetime(DateTime) | project-away DateTime
5. Klicken Sie auf "Datenquelle hinzufügen".

Zuweisen des DCR zu allen Exchange-Servern

Hinzufügen aller Exchange-Server zum DCR

Datensammlungsregeln: Wenn der Ältere Azure Log Analytics-Agent verwendet wird

Konfigurieren der zu sammelnden Protokolle

1. Wählen Sie unter Arbeitsbereichseinstellungen die Option Tabellen aus, klicken Sie auf + Erstellen und dann auf Neues benutzerdefiniertes Protokoll (MMA-basiert).
2. Wählen Sie Beispieldatei MessageTracking Sample aus, und klicken Sie auf Weiter.
3. Wählen Sie Windows aus, und geben Sie alle folgenden Pfade ein: C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log, C:\Program Files\Microsoft\Exchange Server\V15\ Logging\HttpProxy\Oab*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log und C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log . Klicken Sie auf "Weiter".
4. Geben Sie ExchangeHttpProxy als Tabellenname ein, und klicken Sie auf Weiter.
5. Klicken Sie auf Speichern.

• Installations-Agent: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren. Parser werden automatisch mit der Lösung bereitgestellt. Führen Sie die Schritte zum Erstellen des Kusto Functions-Alias aus: ExchangeAdminAuditLogs

Parser werden während der Bereitstellung der Lösung automatisch bereitgestellt. Wenn Sie die Bereitstellung manuell durchführen möchten, führen Sie die folgenden Schritte aus.

Manuelle Parserbereitstellung

1. Herunterladen der Parserdatei

Die neueste Version der Datei ExchangeAdminAuditLogs

2. Erstellen der Parserfunktion ExchangeAdminAuditLogs

Kopieren Sie im Protokollanalyse-Explorer Ihrer Microsoft Sentinel den Inhalt der Datei in den Protokoll-Explorer.

3. Speichern des Parsers ExchangeAdminAuditLogs-Funktion

Klicken Sie auf die Schaltfläche Speichern. Für diesen Parser ist kein Parameter erforderlich. Klicken Sie erneut auf Speichern.

---

[Veraltet] Okta Single Sign-On (mit Azure-Funktion) (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Okta Single Sign-On-Connector (SSO) (mit Azure Function) bietet die Möglichkeit, Überwachungs- und Ereignisprotokolle aus der Okta-API in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in diese Protokolltypen in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Überwachungs- und Untersuchungsfunktionen zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Okta_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• Okta-API-Token: Ein Okta-API-Token ist erforderlich. Weitere Informationen zur Okta-Systemprotokoll-API finden Sie in der Dokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit Okta SSO herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

HINWEIS: Dieser Connector wurde aktualisiert. Wenn Sie zuvor eine frühere Version bereitgestellt haben und aktualisieren möchten, löschen Sie die vorhandene Okta Azure-Funktion, bevor Sie diese Version erneut bereitstellen.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Okta SSO-API

Befolgen Sie diese Anweisungen , um ein API-Token zu erstellen.

Hinweis: Weitere Informationen zu den von Okta erzwungenen Ratenbegrenzungsbeschränkungen finden Sie in der Dokumentation.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den Okta-SSO-Connector bereitstellen, verfügen Sie über die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können aus den folgenden Beispielen kopiert werden) sowie das Okta SSO-API-Autorisierungstoken, das sofort verfügbar ist.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Diese Methode stellt eine automatisierte Bereitstellung des Okta SSO-Connectors mithilfe eines ARM-Tempate-Elements bereit.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, das API-Token und den URI ein.

• Verwenden Sie das folgende Schema für den uri Wert: https://<OktaDomain>/api/v1/logs?since= Ersetzen Sie <OktaDomain> durch Ihre Domäne. Klicken Sie hier , um weitere Informationen zum Identifizieren Ihres Okta-Domänennamespaces zu erhalten. Es ist nicht erforderlich, dem URI einen Zeitwert hinzuzufügen. Die Funktions-App fügt die anfängliche Startzeit der Protokolle dynamisch an UTC 0:00 für den aktuellen UTC-Datums- als Uhrzeitwert im richtigen Format an den URI an.
• Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.
5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Okta SSO-Connector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

Schritt 1: Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden fünf (5) Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): apiToken workspaceID WorkspaceKey URI logAnalyticsUri (optional)

• Verwenden Sie das folgende Schema für den uri Wert: https://<OktaDomain>/api/v1/logs?since= Ersetzen Sie <OktaDomain> durch Ihre Domäne. Klicken Sie hier , um weitere Informationen zum Identifizieren Ihres Okta-Domänennamespaces zu erhalten. Es ist nicht erforderlich, dem URI einen Zeitwert hinzuzufügen. Die Funktions-App fügt die anfängliche Startzeit der Protokolle dynamisch an UTC 0:00 für den aktuellen UTC-Datums- als Uhrzeitwert im richtigen Format an den URI an.
• Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.
• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://< CustomerId.ods.opinsights.azure.us>.

5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

[Veraltet] SentinelOne (mit Azure-Funktion) (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der SentinelOne-Datenconnector bietet die Möglichkeit, allgemeine SentinelOne-Serverobjekte wie Bedrohungen, Agents, Anwendungen, Aktivitäten, Richtlinien, Gruppen und weitere Ereignisse über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der API-Dokumentation https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview . Der Connector ermöglicht den Ereignisabruf, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SentinelOne_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: SentinelOneAPIToken ist erforderlich. Weitere Informationen zur API im finden Sie in der https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewDokumentation.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit der SentinelOne-API herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt Log Analytics/Microsoft Sentinel Protokolle, klicken Sie auf Funktionen, suchen Sie nach dem Alias SentinelOne, laden Sie den Funktionscode, oder klicken Sie hier. Die Aktivierung der Funktion dauert in der Regel 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

SCHRITT 1: Konfigurationsschritte für die SentinelOne-API

Befolgen Sie die Anweisungen, um die Anmeldeinformationen abzurufen.

1. Melden Sie sich bei der SentinelOne-Verwaltungskonsole mit Admin Benutzeranmeldeinformationen an.
2. Klicken Sie in der Verwaltungskonsole auf Einstellungen.
3. Klicken Sie in der Ansicht EINSTELLUNGEN auf BENUTZER.
4. Klicken Sie auf Neuer Benutzer.
5. Geben Sie die Informationen für den neuen Konsolenbenutzer ein.
6. Wählen Sie unter Rolle die Option Admin aus.
7. Klicken Sie auf SPEICHERN.
8. Speichern Sie die Anmeldeinformationen des neuen Benutzers für die Verwendung im Datenconnector.

HINWEIS: - Admin Zugriff kann mithilfe benutzerdefinierter Rollen delegiert werden. Weitere Informationen zur benutzerdefinierten RBAC finden Sie in der Dokumentation zu SentinelOne.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den SentinelOne-Datenconnector bereitstellen, müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel verwenden (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des SentinelOne Audit-Datenconnectors mithilfe eines ARM-Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie SentinelOneAPIToken, SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) und deploy ein. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittweisen Anweisungen, um den SentinelOne Reports-Datenconnector manuell mit Azure Functions (Bereitstellung über Visual Studio Code) bereitzustellen.

1. Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie VS Code. Wählen Sie im Hauptmenü Datei und dann Ordner öffnen aus.

3. Wählen Sie den Ordner der obersten Ebene aus extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das symbol Azure und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.

5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:

   a. Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (Wählen Sie nicht die Option Erweitert aus).

   d. Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie einen namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. SOneXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11 aus.

   f. Wählen Sie einen Speicherort für neue Ressourcen aus. Um eine bessere Leistung und niedrigere Kosten zu erzielen, wählen Sie dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.

7. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

8. Konfigurieren der Funktions-App

9. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

10. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.

11. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

[Veraltet] Sophos Endpoint Protection (mit Azure-Funktion) (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Sophos Endpoint Protection-Datenconnector bietet die Möglichkeit, Sophos-Ereignisse in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zu Sophos Central Admin.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SophosEP_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• REST-API-Anmeldeinformationen/-berechtigungen: API-Token ist erforderlich. Weitere Informationen finden Sie unter API-Token.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit den Sophos Central-APIs herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

HINWEIS: Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet SophosEPEvent zu funktionieren, das mit der Microsoft Sentinel Solution bereitgestellt wird.

SCHRITT 1 : Konfigurationsschritte für die Sophos Central-API

Befolgen Sie die Anweisungen, um die Anmeldeinformationen abzurufen.

1. Navigieren Sie in Sophos Central Admin zu Globale Einstellungen > API-Tokenverwaltung.
2. Um ein neues Token zu erstellen, klicken Sie in der oberen rechten Ecke des Bildschirms auf Token hinzufügen .
3. Wählen Sie einen Tokennamen aus, und klicken Sie auf Speichern. Die API-Tokenzusammenfassung für dieses Token wird angezeigt.
4. Klicken Sie auf Kopieren, um Ihre API-Zugriffs-URL + Header aus dem Abschnitt API-Tokenzusammenfassung in die Zwischenablage zu kopieren.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Geben Sie vor der Bereitstellung des Sophos Endpoint Protection-Datenconnectors die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel an (können wie folgt kopiert werden).

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Sophos Endpoint Protection-Datenconnectors mithilfe eines ARM Tempate-Elements.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe ohne Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie die Sophos-API-Zugriffs-URL und header, AzureSentinelWorkspaceId, AzureSentinelSharedKey ein. 4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den Sophos Endpoint Protection-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

Schritt 1: Bereitstellen einer Funktions-App

HINWEIS: Sie müssen VS-Code für Azure Funktionsentwicklung vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach der erfolgreichen Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

Schritt 2: Konfigurieren der Funktions-App

1. Wechseln Sie zu Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.
3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.
4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri (optional)

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

5. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

[Veraltet] VMware Carbon Black Cloud (mit Azure-Funktion) (mit Azure Functions)

Unterstützt von:Microsoft

Der VMware Carbon Black Cloud-Connector bietet die Möglichkeit, Carbon Black-Daten in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in Überwachungs-, Benachrichtigungs- und Ereignisprotokolle in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Überwachungs- und Untersuchungsfunktionen zu verbessern.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
CarbonBlackEvents_CL	Nein	Nein
CarbonBlackNotifications_CL	Nein	Nein
CarbonBlackAuditLogs_CL	Nein	Nein

Unterstützung von Datensammlungsregeln: Derzeit nicht unterstützt

Voraussetzungen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
• VMware Carbon Black API-Schlüssel: Carbon Black-API- und/oder SIEM-Api-Schlüssel sind erforderlich. Weitere Informationen zur Carbon Black-API finden Sie in der Dokumentation.
• Für Überwachungs- und Ereignisprotokolle sind eine API-Id und ein Schlüssel der Api-Zugriffsebene Carbon Black erforderlich.
• Für Benachrichtigungswarnungen ist eine API-ID und ein Schlüssel der Carbon Black SIEM-Zugriffsebene erforderlich.
• Amazon S3-REST-API-Anmeldeinformationen/Berechtigungen: AWS-Zugriffsschlüssel-ID, AWS-Geheimer Zugriffsschlüssel, AWS S3-Bucketname, Ordnername im AWS S3-Bucket sind für die Amazon S3-REST-API erforderlich.

Setupanweisungen:

HINWEIS: Dieser Connector verwendet Azure Functions, um eine Verbindung mit VMware Carbon Black herzustellen, um seine Protokolle in Microsoft Sentinel zu pullen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

(Optionaler Schritt) Sicheres Speichern von Arbeitsbereichs- und API-Autorisierungsschlüsseln oder Token in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die VMware Carbon Black-API

Befolgen Sie diese Anweisungen , um einen API-Schlüssel zu erstellen.

SCHRITT 2: Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Bevor Sie den VMware Carbon Black-Connector bereitstellen, müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel (können wie folgt kopiert werden) sowie die Autorisierungsschlüssel der VMware Carbon Black-API sofort verfügbar sein.

• Arbeitsbereichs-ID: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>
• Primärschlüssel: <Variablenwert, der zum Zeitpunkt der Installation angegeben wird>

Option 1: ARM-Vorlage (Azure Resource Manager)

Diese Methode stellt eine automatisierte Bereitstellung des VMware Carbon Black-Connectors mithilfe eines ARM-Tempate-Elements bereit.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   aka.msaka.ms

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Standort aus.

3. Geben Sie arbeitsbereichs-ID, Arbeitsbereichsschlüssel, Protokolltypen, API-ID(s), API-Schlüssel, Carbon Black Org Key, S3 Bucket Name, AWS Access Key ID, AWS Secret Access Key, EventPrefixFolderName, AlertPrefixFolderName ein, und überprüfen Sie den URI.

• Geben Sie den URI ein, der Ihrer Region entspricht. Die vollständige Liste der API-URLs finden Sie hier.
• Das Standardzeitintervall ist so festgelegt, dass die Daten der letzten fünf (5) Minuten abgerufen werden. Wenn das Zeitintervall geändert werden muss, wird empfohlen, den Timertrigger der Funktions-App entsprechend zu ändern (in der function.json-Datei, nach der Bereitstellung), um überlappende Datenerfassung zu verhindern.
• Carbon Black erfordert einen separaten Satz von API-ID/Schlüsseln, um Benachrichtigungswarnungen zu erfassen. Geben Sie die WERTE für DIE SIEM-API-ID/-Schlüssel ein, oder lassen Sie die Werte leer, falls dies nicht erforderlich ist.
• Hinweis: Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.

4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Ich stimme den oben genannten Geschäftsbedingungen zu.
5. Klicken Sie zum Bereitstellen auf Kaufen .

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um den VMware Carbon Black-Connector manuell mit Azure Functions bereitzustellen.

1. Erstellen einer Funktions-App

2. Navigieren Sie im Azure-Portal zu Funktions-App, und wählen Sie + Hinzufügen aus.

3. Stellen Sie auf der Registerkarte Grundlagen sicher, dass der Runtimestapel auf PowerShell Core festgelegt ist.

4. Stellen Sie auf der Registerkarte Hosting sicher, dass der Plantyp Verbrauch (serverlos) ausgewählt ist.

5. Nehmen Sie ggf. weitere bevorzugte Konfigurationsänderungen vor, und klicken Sie dann auf Erstellen.

6. Importieren von Funktions-App-Code

7. Wählen Sie in der neu erstellten Funktions-App im linken Bereich Funktionen aus, und klicken Sie auf + Hinzufügen.

8. Wählen Sie Timertrigger aus.

9. Geben Sie einen eindeutigen Funktionsnamen ein, und ändern Sie bei Bedarf den Cron-Zeitplan. Der Standardwert ist so festgelegt, dass die Funktions-App alle 5 Minuten ausgeführt wird. (Hinweis: Der Timertrigger sollte mit dem timeInterval folgenden Wert übereinstimmen, um überlappende Daten zu verhindern). Klicken Sie auf Erstellen.

10. Klicken Sie im linken Bereich auf Code + Test .

11. Kopieren Sie den Code der Funktions-App , und fügen Sie ihn in den Funktions-App-Editor run.ps1 ein.

12. Klicken Sie auf Speichern.

13. Konfigurieren der Funktions-App

14. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

15. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

16. Fügen Sie jede der folgenden dreizehn bis sechzehn (13-16) Anwendungseinstellungen einzeln hinzu: mit ihren jeweiligen Zeichenfolgenwerten (Groß-/Kleinschreibung beachten): apiId apiKey workspaceID workspaceKey timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Optional) logAnalyticsUri (optional)

• Geben Sie den URI ein, der Ihrer Region entspricht. Die vollständige Liste der API-URLs finden Sie hier. Der uri Wert muss dem folgenden Schema folgen: https://<API URL>.conferdeploy.net - Es ist nicht erforderlich, dem URI ein Zeitsuffix hinzuzufügen. Die Funktions-App fügt den Zeitwert dynamisch im richtigen Format an den URI an.
• Legen Sie ( timeInterval in Minuten) auf den Standardwert von 5 fest, um dem Standardmäßigen Timertrigger für alle 5 Minuten zu entsprechen. Wenn das Zeitintervall geändert werden muss, wird empfohlen, den Timertrigger der Funktions-App entsprechend zu ändern, um überlappende Datenerfassung zu verhindern.
• Carbon Black erfordert einen separaten Satz von API-ID/Schlüsseln, um Benachrichtigungswarnungen zu erfassen. Geben Sie bei Bedarf die SIEMapiId Werte und SIEMapiKey ein, oder lassen Sie sie aus, falls nicht erforderlich.
• Hinweis: Wenn Sie Azure Key Vault verwenden, verwenden Sie anstelle@Microsoft.KeyVault(SecretUri={Security Identifier})der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.
• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie z. B. für die öffentliche Cloud den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an:https://<CustomerId>.ods.opinsights.azure.us

4. Nachdem alle Anwendungseinstellungen eingegeben wurden, klicken Sie auf Speichern.

---

Island Enterprise Browser Admin Events (Legacy)

Unterstützt von:Island

Dies ist ein Legacyconnector und wird nicht mehr empfohlen. Verwenden Sie stattdessen den Island Enterprise Browser V2-Datenconnector , der Benutzer-, Administrator- und Systemereignisse innerhalb eines einzelnen Connectors unterstützt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Island_Admin_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Insel-API-Schlüssel: Ein Insel-API-Schlüssel ist erforderlich.

Setupanweisungen:

Verbinden von Island mit Microsoft Sentinel

Dies ist ein Legacyconnector. Eine vollständige Einrichtungsanleitung finden Sie in der offiziellen Inseldokumentation (erfordert anmeldung bei der Island Management Console).

---

Island Enterprise Browser User Events (Legacy)

Unterstützt von:Island

Dies ist ein Legacyconnector und wird nicht mehr empfohlen. Verwenden Sie stattdessen den Island Enterprise Browser V2-Datenconnector , der Benutzer-, Administrator- und Systemereignisse innerhalb eines einzelnen Connectors unterstützt.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Island_User_CL	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

Voraussetzungen:

• Insel-API-Schlüssel: Ein Insel-API-Schlüssel ist erforderlich.

Setupanweisungen:

Verbinden von Island mit Microsoft Sentinel

Dies ist ein Legacyconnector. Eine vollständige Einrichtungsanleitung finden Sie in der offiziellen Inseldokumentation (erfordert anmeldung bei der Island Management Console).

---

Sicherheitsereignisse über Legacy-Agent

Unterstützt von:Microsoft Corporation

Sie können alle Sicherheitsereignisse von den Windows-Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Mit dieser Verbindung können Sie Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Dadurch erhalten Sie mehr Einblick in das Netzwerk Ihrer organization und verbessern Ihre Sicherheitsfunktionen. Weitere Informationen finden Sie in der Microsoft Sentinel-Dokumentation.

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityEvent	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Abonnementbasierte Microsoft Defender für Cloud (Legacy)

Unterstützt von:Microsoft Corporation

Microsoft Defender für Cloud ist ein Sicherheitsverwaltungstool, mit dem Sie Bedrohungen in Azure-, Hybrid- und Multi-Cloud-Workloads erkennen und schnell darauf reagieren können. Mit diesem Connector können Sie Ihre Sicherheitswarnungen aus Microsoft Defender für Cloud in Microsoft Sentinel streamen, sodass Sie Defender-Daten in Arbeitsmappen anzeigen, sie abfragen können, um Warnungen zu erzeugen sowie Incidents zu untersuchen und darauf zu reagieren.

Weitere Informationen>

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
SecurityAlert	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Syslog über Legacy-Agent

Unterstützt von:Microsoft Corporation

Syslog ist ein Ereignisprotokoll, das für Linux üblich ist. Anwendungen senden Nachrichten, die möglicherweise auf dem lokalen Computer gespeichert oder an einen Syslog-Collector übermittelt werden. Wenn der Agent für Linux installiert ist, konfiguriert er den lokalen Syslog-Daemon für die Weiterleitung von Nachrichten an den Agent. Der Agent sendet die Nachricht dann an den Arbeitsbereich.

Weitere Informationen >

Log Analytics-Tabellen:

Tabelle	DCR-Unterstützung	Nur-Lake-Erfassung
Syslog	Ja	Ja

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformations-DCR

---

Nächste Schritte

Weitere Informationen finden Sie unter:

• Microsoft Sentinel-Lösungskatalog
• Threat Intelligence-Integration in Microsoft Sentinel