Einführung
Sie möchten Common Event Format-Protokolldaten (CEF) mithilfe des bereitgestellten Datenconnectors an einen Microsoft Sentinel-Arbeitsbereich senden.
Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. und müssen Protokolldaten von lokalen Netzwerkappliances erfassen. Sie können den Common Event Format-Connector verwenden, da die Daten der Netzwerkappliances in einem strukturierten Format bereitgestellt werden.
Sie installieren einen lokalen Linux-Host, der als Weiterleitung fungiert und die Protokolldaten sendet. Als Nächstes befolgen Sie die Anleitung auf der Seite des Common Event Format-Connectors, um das Bereitstellungsskript auf dem Linux-Host auszuführen. Der letzte Schritt besteht darin, die Netzwerkappliances so zu konfigurieren, dass sie ihre Protokolle an Ihren Linux-Host weiterleiten. Nun senden die Netzwerkappliances Protokolle an den neuen Linux-Host. Der Linux-Host wiederum leitet die Protokolle an den Microsoft Sentinel-Arbeitsbereich weiter.
Am Ende dieses Moduls können Sie mithilfe des bereitgestellten Datenconnectors Common Event Format-Protokolldaten (CEF) an den Microsoft Sentinel-Arbeitsbereich senden.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Erläutern der Bereitstellungsoptionen des Common Event Format-Connectors in Microsoft Sentinel
- Ausführen des Bereitstellungsskripts für den CEF-Connector
Voraussetzungen
Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen
Sie benötigen Hilfe? Lesen Sie unseren Leitfaden zur Problembehandlung, oder geben Sie spezifisches Feedback, indem Sie ein Problem melden.