Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Monitor Logs dient als Datenplattform für Microsoft Sentinel. Alle in Microsoft Sentinel erfassten Protokolle werden in einem Log Analytics-Arbeitsbereich gespeichert, und in Kusto-Abfragesprache (KQL) geschriebene Protokollabfragen werden verwendet, um Bedrohungen zu erkennen und Ihre Netzwerkaktivität zu überwachen.
Log Analytics bietet Ihnen mit benutzerdefinierten Datenerfassungs- und Datensammlungsregeln (DATA Collection Rules, DCRs) ein hohes Maß an Kontrolle über die Daten, die in Ihrem Arbeitsbereich erfasst werden. DcRs ermöglichen es Ihnen, Ihre Daten sowohl zu sammeln als auch zu bearbeiten, bevor sie in Ihrem Arbeitsbereich gespeichert werden. DCRs formatieren und senden Daten sowohl an Log Analytics-Standardtabellen als auch an anpassbare Tabellen für Datenquellen, die eindeutige Protokollformate erzeugen.
Filter- und Splittransformationen können zur Erfassungszeit auf Daten angewendet werden, um Rauschen zu reduzieren und Daten an die entsprechende Speicherebene weiterzuleiten. Für diese Transformationen müssen Sie keinen DCR erstellen und sind im Defender-Portal auf der Tabellenverwaltungsseite des Microsoft Sentinel definiert. Weitere Informationen finden Sie unter Filtern und Teilen von Transformationen in Microsoft Sentinel.
Azure-Überwachungstools für die benutzerdefinierte Datenerfassung in Microsoft Sentinel
Microsoft Sentinel verwendet die folgenden Azure Monitor-Tools, um die benutzerdefinierte Datenerfassung zu steuern:
Transformationen werden in DCRs definiert und wenden KQL-Abfragen auf eingehende Daten an, bevor sie in Ihrem Arbeitsbereich gespeichert werden. Diese Transformationen können irrelevante Daten herausfiltern, vorhandene Daten mit Analysen oder externen Daten anreichern oder vertrauliche oder personenbezogene Informationen maskieren.
Mit der Protokollerfassungs-API können Sie Protokolle im benutzerdefinierten Format aus einer beliebigen Datenquelle an Ihren Log Analytics-Arbeitsbereich senden und diese Protokolle entweder in bestimmten Standardtabellen oder in von Ihnen erstellten benutzerdefinierten Tabellen speichern. Sie haben die vollständige Kontrolle über die Erstellung dieser benutzerdefinierten Tabellen, bis hin zur Angabe der Spaltennamen und -typen. Die API verwendet DCRs zum Definieren, Konfigurieren und Anwenden von Transformationen auf diese Datenflüsse.
Hinweis
Log Analytics-Arbeitsbereiche, die für Microsoft Sentinel aktiviert sind, unterliegen unabhängig davon, wie viele Daten die Transformation filtert, nicht Azure Monitor filtert. Für Transformationen in Microsoft Sentinel gelten jedoch die gleichen Einschränkungen wie für Azure Monitor. Weitere Informationen finden Sie unter Einschränkungen und Überlegungen.
DCR-Unterstützung in Microsoft Sentinel
Erfassungszeittransformationen werden in Datensammlungsregeln (Data Collection Rules, DCRs) definiert, die den Datenfluss in Azure Monitor steuern. DCRs werden von AMA-basierten Sentinel Connectors und Workflows mithilfe der Protokollerfassungs-API verwendet. Jede DCR enthält die Konfiguration für ein bestimmtes Datensammlungsszenario, und mehrere Connectors oder Quellen können eine einzelne DCR gemeinsam nutzen.
Arbeitsbereichstransformations-DCRs unterstützen Workflows, die sonst keine DCRs verwenden. Arbeitsbereichstransformations-DCRs enthalten Transformationen für alle unterstützten Tabellen und werden auf den gesamten Datenverkehr angewendet, der an diese Tabelle gesendet wird.
Weitere Informationen finden Sie unter:
- Datensammlungstransformationen in Azure Monitor
- Protokollerfassungs-API in Azure-Überwachungsprotokollen
- Datensammlungsregeln in Azure Monitor
Anwendungsfälle und Beispielszenarien
Der Artikel Beispieltransformationen in Azure Monitor enthält Beschreibungen und Beispielabfragen für häufige Szenarien mit Erfassungszeittransformationen in Azure Monitor. Szenarien, die für Microsoft Sentinel besonders nützlich sind, sind:
Reduzieren Sie die Datenkosten. Filtern Sie die Datensammlung nach Zeilen oder Spalten, um die Erfassungs- und Speicherkosten zu reduzieren.
Normalisieren von Daten. Normalisieren Sie Protokolle mit dem Advanced Security Information Model (ASIM), um die Leistung normalisierter Abfragen zu verbessern. Weitere Informationen finden Sie unter Normalisierung der Erfassungszeit.
Anreichern von Daten. Mit Erfassungszeittransformationen können Sie analysen verbessern, indem Sie Ihre Daten mit zusätzlichen Spalten anreichern, die der konfigurierten KQL-Transformation hinzugefügt werden. Zusätzliche Spalten können analysierte oder berechnete Daten aus vorhandenen Spalten enthalten.
Entfernen Sie vertrauliche Daten. Erfassungszeittransformationen können verwendet werden, um personenbezogene Informationen zu maskieren oder zu entfernen, z. B. das Maskieren aller Ziffern bis auf die letzten Ziffern einer Sozialversicherungsnummer oder einer Gutschrift Karte Nummer.
Datenerfassungsfluss in Microsoft Sentinel
Die folgende Abbildung zeigt, wo die Datentransformation zur Erfassungszeit in den Datenerfassungsfluss in Microsoft Sentinel eintritt. Bei diesen Daten kann es sich um unterstützte Standardtabellen oder in einer bestimmten Gruppe benutzerdefinierter Tabellen handelt.
Diese Abbildung zeigt die Cloudpipeline, die die Datensammlungskomponente von Azure Monitor darstellt. Weitere Informationen finden Sie zusammen mit anderen Datensammlungsszenarien unter Datensammlungsregeln (Data Collection Rules, DCRs) in Azure Monitor.
Microsoft Sentinel sammelt Daten aus mehreren Quellen im Log Analytics-Arbeitsbereich.
- Daten, die vom Protokollerfassungs-API-Endpunkt oder Azure Monitor-Agent (AMA) gesammelt werden, werden von einem bestimmten DCR verarbeitet, der eine Transformation zur Erfassungszeit umfassen kann.
- Daten aus integrierten Datenconnectors werden in Log Analytics mithilfe einer Kombination aus hartcodierten Workflows und Erfassungszeittransformationen in der Arbeitsbereichs-DCR verarbeitet.
In der folgenden Tabelle wird die DCR-Unterstützung für Microsoft Sentinel-Datenconnectortypen beschrieben:
| Datenconnectortyp | DCR-Unterstützung |
|---|---|
|
Azure Monitor-Agent-Protokolle (AMA), z. B.: |
Mindestens ein DCRs, der dem Agent zugeordnet ist |
| Direkte Erfassung über die Protokollerfassungs-API | Im API-Aufruf angegebene DCR |
|
Integrierter API-basierter Datenconnector, z. B.: |
DCR, der für den Connector erstellt wurde |
| Auf Diagnoseeinstellungen basierende Verbindungen | Arbeitsbereichstransformations-DCR mit unterstützten Ausgabetabellen |
|
Integrierte API-basierte Datenconnectors, z. B.: |
Derzeit nicht unterstützt |
|
Integrierte Dienst-zu-Dienst-Datenconnectors, z. B.: |
Arbeitsbereichstransformations-DCR für Tabellen, die Transformationen unterstützen |
Verwandte Inhalte
Weitere Informationen finden Sie unter: