Einführung
Syslog-Protokolldaten werden mithilfe des bereitgestellten Datenconnectors an den Microsoft Sentinel-Arbeitsbereich gesendet.
Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. und müssen Protokolldaten von lokalen Netzwerkappliances sammeln. Dazu müssen Sie den Syslog-Connector verwenden, da die Daten der Netzwerkappliances unstrukturiert bereitgestellt werden.
Sie installieren einen lokalen Linux-Host, der als Weiterleitung fungiert und die Protokolldaten sendet. Befolgen Sie als Nächstes die Anleitung auf der Seite des Syslog-Connectors, um das Skript für die Bereitstellung des Linux-Hosts auszuführen. Der letzte Schritt besteht darin, die Netzwerkappliances so zu konfigurieren, dass sie ihre Protokolle an Ihren Linux-Host weiterleiten.
Nun senden die Netzwerkappliances Protokolle an den neuen Linux-Host. Der Linux-Host wiederum leitet die Protokolle an den Microsoft Sentinel-Arbeitsbereich weiter. Sie erstellen mithilfe einer KQL-Funktion einen Parser, um dem Security Operations-Team das Abfragen der Protokolldatensätze mit den unstrukturierten Zeichenfolgendaten zu erleichtern.
Am Ende dieses Moduls können Sie mithilfe des bereitgestellten Datenconnectors Syslog-Protokolldaten an den Microsoft Sentinel-Arbeitsbereich senden.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Beschreiben der Bereitstellungsoptionen für den Syslog-Connector in Microsoft Sentinel
- Ausführen des Connectorbereitstellungsskripts zum Senden von Daten an Microsoft Sentinel
- Konfigurieren der Integration des Agents für Microsoft Sentinel
- Erstellen einer Analyse mithilfe von KQL in Microsoft Sentinel
Voraussetzungen
Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen
Sie benötigen Hilfe? Lesen Sie unseren Leitfaden zur Problembehandlung, oder geben Sie spezifisches Feedback, indem Sie ein Problem melden.