Gegevensbronnen verbinden met Microsoft Sentinel met behulp van gegevensconnectors

22-07-2025
Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Als u gegevensbronnen wilt verbinden met Microsoft Sentinel, moet u data connectors installeren en configureren. In dit artikel wordt over het algemeen uitgelegd hoe u gegevensconnectors installeert die beschikbaar zijn in de Microsoft Sentinel Content Hub om gegevens op te nemen en te analyseren voor verbeterde detectie van bedreigingen.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.

Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Vereiste voorwaarden

Voordat u begint, moet u ervoor zorgen dat u over de juiste toegang beschikt en dat u of iemand in uw organisatie de bijbehorende oplossing installeert.

U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.
Installeer de oplossing die de gegevensconnector van de Content Hub in Microsoft Sentinel bevat. Voor meer informatie, zie Microsoft Sentinel-inhoud out-of-the-box ontdekken en beheren.

Een gegevensconnector inschakelen

Nadat u of iemand in uw organisatie de oplossing hebt geïnstalleerd die de gegevensconnector bevat die u nodig hebt, configureert u de gegevensconnector om te beginnen met het opnemen van gegevens.

Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuraties>Dataverbindingen. Voor Microsoft Sentinel in Azure Portal selecteert u gegevensconnectors onder Configuratie.
Zoek en selecteer de connector. Als u de gewenste gegevensconnector niet ziet, controleert u nogmaals of de relevante oplossing is geïnstalleerd in de Inhoudshub.
Selecteer de connectortpagina openen.
- Defender-portal
- Azure-portal
Controleer de vereisten voor uw gegevensconnector en zorg ervoor dat aan deze vereisten wordt voldaan.
Volg de stappen die worden beschreven in de sectie Configuraties voor uw gegevensconnector.

Voor sommige connectors vindt u specifiekere configuratiegegevens in de sectie Gegevens verzamelen in de documentatie van Microsoft Sentinel.
- Microsoft Sentinel verbinden met Azure-, Windows-, Microsoft- en Amazon-services
- Vereisten voor dataconnector

Gegevensretentie en -lagen configureren

Als u zich hebt aangemeld bij Microsoft Sentinel Data Lake (preview), kunt u de gegevensretentie en het indelen in niveaus voor de gegevensconnector configureren. De data lake bestaat uit een analyselaag: uw huidige Microsoft Sentinel-werkruimten en een data lake-laag waar u gegevens maximaal 12 jaar kunt opslaan. Zie Onboarding naar Microsoft Sentinel Data Lake voor meer informatie over onboarding.

Wanneer u een connector inschakelt, worden de gegevens standaard verzonden naar de analyselaag en gespiegeld in de Data Lake-laag. Configureer gegevensretentie in elke laag of verzend de gegevens alleen naar de Data Lake-laag. Retentie en gelaagdheid worden beheerd via de connectorinstellingen of met behulp van de Tabelbeheerpagina in het Defender-portal. Zie Gegevenslagen en retentie beheren in de Microsoft Defender-portal (preview) voor meer informatie over tabelbeheer en -retentie.

Zodra u uw connector hebt ingesteld, configureert u gegevensbewaring en gegevenssegmentatie door de volgende stappen te volgen.

Selecteer op de pagina Connectordetails in de sectie Tabelbeheer de tabel die u wilt beheren.
Het tabelvenster wordt weergegeven met de huidige bewaarinstellingen.
Als u retentie wilt configureren, selecteert u Tabel beheren.
Het deelvenster Tabel beheren wordt weergegeven met de huidige bewaarinstellingen. U kunt de bewaarinstellingen voor de analyselaag en de Data Lake-laag wijzigen. De standaardinstelling is om de gegevens te spiegelen aan de Data Lake-laag met dezelfde retentie als de analyselaag.
Selecteer onder Retentie van analyse de bewaarperiode voor de analyselaag.
Als u de Data Lake-laag wilt configureren, selecteert u een bewaarperiode in de vervolgkeuzelijst Totale bewaarperiode .
Als u de laag alleen wilt wijzigen in data lake, selecteert u de Data lake-laag en selecteert u een bewaarperiode in de vervolgkeuzelijst Retentie . Als u deze optie selecteert, wordt verdere opname naar de analyselaag gestopt.
Selecteer Opslaan om de wijzigingen op te slaan.

Nadat u de gegevensconnector hebt geconfigureerd, kan het enige tijd duren voordat de gegevens worden opgenomen in Microsoft Sentinel. Het duurt 90 tot 120 minuten voordat gegevens in de data lake worden opgenomen. Wanneer de gegevensconnector is verbonden, ziet u een samenvatting van de gegevens in de grafiek Ontvangen gegevens en de connectiviteitsstatus van de gegevenstypen.

Schermopname van een pagina van een gegevensconnector met de status verbonden en grafiek waarin de ontvangen gegevens worden weergegeven.

Uw gegevens zoeken

Nadat u de connector hebt ingeschakeld, begint de connector gegevens te streamen naar de tabelschema's die zijn gerelateerd aan de gegevenstypen die u hebt geconfigureerd.

Voer in de Defender-portal query's uit op gegevens op de pagina Geavanceerde opsporing of in Azure Portal om gegevens op te vragen op de pagina Logboeken .
Navigeer naar Data Lake Explorer, gebruik KQL-query's om gegevens in de datalake te bevragen. Zie KQL en microsoft Sentinel data lake (preview) voor meer informatie.

Ondersteuning zoeken voor een gegevensconnector

Zowel Microsoft als andere organisaties ontwikkelen Microsoft Sentinel-gegevensconnectors. Zoek de ondersteuningsmedewerker op de pagina van de gegevensconnector in Microsoft Sentinel.

Op de Microsoft Sentinel-gegevensconnectorspagina selecteert u de relevante connector.
Als u toegang wilt krijgen tot ondersteuning en onderhoud voor de connector, gebruikt u de koppeling voor ondersteuningscontactpersoon in het veld Ondersteund door in het zijpaneel voor de connector.

Voor meer informatie, zie ondersteuning voor gegevensconnectoren.

Zie de volgende artikelen voor meer informatie over oplossingen en gegevensconnectors in Microsoft Sentinel.

Aanvullende resources

Documentatie

Microsoft Sentinel-gegevensconnectors

Meer informatie over ondersteunde gegevensconnectors, zoals Microsoft Defender XDR (voorheen Microsoft 365 Defender), Microsoft 365 en Office 365, Microsoft Entra ID, ATP en Defender voor Cloud Apps naar Microsoft Sentinel.
Aanbevolen procedures voor het verzamelen van gegevens in Microsoft Sentinel

Meer informatie over aanbevolen procedures voor het verbinden van gegevensbronnen met Microsoft Sentinel.
Uw Microsoft Sentinel-gegevensconnector zoeken

Meer informatie over specifieke configuratiestappen voor Microsoft Sentinel-gegevensconnectors.
Microsoft Sentinel-inhoudshubcatalogus

Meer informatie over domeinspecifieke oplossingen die beschikbaar zijn in de inhoudshub voor Microsoft Sentinel en waar u de volledige lijst met oplossingen kunt vinden.
Out-of-the-box-inhoud van Microsoft Sentinel detecteren en implementeren vanuit Content Hub

Meer informatie over het zoeken en implementeren van sentinel verpakte oplossingen met gegevensconnectors, analyseregels, opsporingsquery's, werkmappen en andere inhoud.
Overzicht van Microsoft Sentinel-inhoud en -oplossingen

Ontdek inhoud en oplossingen van Microsoft Sentinel, inclusief gegevensconnectors en analysehulpprogramma's, om uw beveiligingsbewerkingen te verbeteren. Meer informatie vindt u vandaag nog.
Aangepaste gegevensopname en -transformatie in Microsoft Sentinel

Meer informatie over hoe de functies voor aangepaste logboekopname en gegevenstransformatie van Azure Monitor u kunnen helpen bij het ophalen van gegevens in Microsoft Sentinel en deze op de gewenste manier vormgeven.
Microsoft Sentinel verbinden met Azure-, Windows- en Microsoft-services

Meer informatie over het verbinden van Microsoft Sentinel met Azure- en Microsoft 365-cloudservices en met Windows Server-gebeurtenislogboeken.

Training

Module

Gegevens verbinden met Microsoft Sentinel met behulp van gegevensconnectors - Training

Gegevens verbinden met Microsoft Sentinel met behulp van gegevensconnectors

Certificering

Microsoft Gecertificeerd: Beveiligingsoperatiesanalist Associate - Certifications

Bedreigingen onderzoeken, zoeken en beperken met Behulp van Microsoft Sentinel, Microsoft Defender voor Cloud en Microsoft 365 Defender.

Delen via