Einführung

Abgeschlossen

Syslog-Protokolldaten werden mithilfe des bereitgestellten Datenconnectors an den Microsoft Sentinel-Arbeitsbereich gesendet.

Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. und müssen Protokolldaten von lokalen Netzwerkappliances sammeln. Dazu müssen Sie den Syslog-Connector verwenden, da die Daten der Netzwerkappliances unstrukturiert bereitgestellt werden.

Sie installieren einen lokalen Linux-Host, der als Weiterleitung fungiert und die Protokolldaten sendet. Befolgen Sie als Nächstes die Anleitung auf der Seite des Syslog-Connectors, um das Skript für die Bereitstellung des Linux-Hosts auszuführen. Der letzte Schritt besteht darin, die Netzwerkappliances so zu konfigurieren, dass sie ihre Protokolle an Ihren Linux-Host weiterleiten.

Nun senden die Netzwerkappliances Protokolle an den neuen Linux-Host. Der Linux-Host wiederum leitet die Protokolle an den Microsoft Sentinel-Arbeitsbereich weiter. Sie erstellen mithilfe einer KQL-Funktion einen Parser, um dem Security Operations-Team das Abfragen der Protokolldatensätze mit den unstrukturierten Zeichenfolgendaten zu erleichtern.

Am Ende dieses Moduls können Sie mithilfe des bereitgestellten Datenconnectors Syslog-Protokolldaten an den Microsoft Sentinel-Arbeitsbereich senden.

Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:

  • Beschreiben der Bereitstellungsoptionen für den Syslog-Connector in Microsoft Sentinel
  • Ausführen des Connectorbereitstellungsskripts zum Senden von Daten an Microsoft Sentinel
  • Konfigurieren der Integration des Agents für Microsoft Sentinel
  • Erstellen einer Analyse mithilfe von KQL in Microsoft Sentinel

Voraussetzungen

Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen