Einführung
Sie möchten Common Event Format-Protokolldaten (CEF) mithilfe des bereitgestellten Datenconnectors an einen Microsoft Sentinel-Arbeitsbereich senden.
Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. und müssen Protokolldaten von lokalen Netzwerkappliances erfassen. Sie können den Common Event Format-Connector verwenden, da die Daten der Netzwerkappliances in einem strukturierten Format bereitgestellt werden.
Sie installieren einen lokalen Linux-Host, der als Weiterleitung fungiert und die Protokolldaten sendet. Als Nächstes befolgen Sie die Anleitung auf der Seite des Common Event Format-Connectors, um das Bereitstellungsskript auf dem Linux-Host auszuführen. Der letzte Schritt besteht darin, die Netzwerkappliances so zu konfigurieren, dass sie ihre Protokolle an Ihren Linux-Host weiterleiten. Nun senden die Netzwerkappliances Protokolle an den neuen Linux-Host. Der Linux-Host wiederum leitet die Protokolle an den Microsoft Sentinel-Arbeitsbereich weiter.
Am Ende dieses Moduls können Sie mithilfe des bereitgestellten Datenconnectors Common Event Format-Protokolldaten (CEF) an den Microsoft Sentinel-Arbeitsbereich senden.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Erläutern der Bereitstellungsoptionen des Common Event Format-Connectors in Microsoft Sentinel
- Ausführen des Bereitstellungsskripts für den CEF-Connector
Voraussetzungen
Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen