Freigeben über

Verwenden von auf Diagnoseeinstellungen basierenden Verbindungen, um Microsoft Sentinel mit anderen Microsoft-Diensten verbinden

  • Artikel

In diesem Artikel erfahren Sie, wie Sie auf Diagnoseeinstellungen basierende Verbindungen verwenden, um eine Verbindung mit Microsoft Sentinel herzustellen. Microsoft Sentinel verwendet Azure als Grundlage, um integrierte Dienst-zu-Dienst-Unterstützung für die Datenerfassung aus zahlreichen Azure- und Microsoft 365-Diensten, Amazon Web Services und verschiedenen Windows Server-Diensten bereitzustellen. Es gibt einige verschiedene Methoden, mit denen diese Verbindungen hergestellt werden.

Dieser Artikel enthält Informationen, die für die Gruppe von Datenconnectors gelten, die auf Diagnoseeinstellungen basierende Verbindungen verwenden. Einige dieser Arten von Connectors werden mithilfe von Azure Policy verwaltet. Verwenden Sie für die anderen Connectors dieses Typs die Anleitung für eigenständige Connectors.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Voraussetzungen

Um Daten mithilfe eines eigenständigen, auf Diagnoseeinstellungen basierenden Connectors in Microsoft Sentinel zu erfassen, benötigen Sie Lese- und Schreibberechtigungen für den Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist.

Um Daten mithilfe von auf Diagnoseeinstellungen basierenden Connectors in Microsoft Sentinel zu erfassen, die über Azure Policy verwaltet werden, müssen auch die folgenden Voraussetzungen erfüllt sein:

  • Wenn Sie Azure Policy verwenden möchten, um eine Richtlinie zum Protokollstreaming auf Ihre Ressourcen anzuwenden, müssen Sie die Rolle „Besitzer“ für den Zuweisungsbereich der Richtlinie besitzen.

  • Die folgenden Voraussetzungen gelten je nach dem verwendeten Connector:

    Datenconnector Lizenzierung, Kosten und andere Informationen
    Azure-Aktivität Dieser Connector verwendet jetzt die Diagnoseeinstellungspipeline. Bei Verwendung der Legacymethode müssen die vorhandenen Abonnements von der Legacymethode getrennt werden, bevor der neue Azure-Aktivitätsprotokollconnector eingerichtet wird.

    1. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Option Datenconnectors aus. Klicken Sie in der Liste mit Connectoren auf Azure-Aktivität und dann unten rechts auf die Schaltfläche Connectorseite öffnen.
    2. Überprüfen Sie auf der Registerkarte Anweisungen im Abschnitt Konfiguration in Schritt 1 die Liste Ihrer vorhandenen Abonnements, die mit der Legacymethode verbunden sind, und trennen Sie alle auf einmal, indem Sie unten auf die Schaltfläche Alle trennen klicken.
    3. Setzen Sie die Einrichtung des neuen Connectors gemäß der Anleitung in diesem Abschnitt fort.
    Azure DDoS Protection - Konfigurierter Azure-DDoS-Standardschutzplan
    - Konfiguriertes virtuelles Netzwerk mit aktiviertem Azure-DDoS-Standardschutz
    - Möglicherweise fallen weitere Gebühren an.
    - Der Status des Azure DDoS Protection-Datenconnectors ändert sich nur in Verbunden, wenn die geschützten Ressourcen einem DDoS-Angriff ausgesetzt sind.
    Azure Storage-Konto Die (übergeordnete) Speicherkontoressource enthält andere (untergeordnete) Ressourcen für jeden Speichertyp: Dateien, Tabellen, Warteschlangen und Blobs.
    Beim Konfigurieren von Diagnosen für ein Speicherkonto müssen Sie Folgendes auswählen und konfigurieren:

    - Die übergeordnete Kontoressource, die die Metrik Transaktion exportiert
    - Die einzelnen untergeordneten Speichertypressourcen zum Exportieren aller Protokolle und Metriken

    Es werden nur die Speichertypen angezeigt, für die Sie tatsächlich Ressourcen definiert haben.

Herstellen einer Verbindung über einen eigenständigen, auf Diagnoseeinstellungen basierenden Connector

In dieser Vorgehensweise wird beschrieben, wie Sie mithilfe von Datenconnectors, die eigenständige Verbindungen basierend auf Diagnoseeinstellungen verwenden, eine Verbindung mit Microsoft Sentinel herstellen.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus.

  2. Wählen Sie Ihren Ressourcentyp aus dem Katalog der Datenconnectors aus, und wählen Sie dann im Vorschaubereich Connectorseite öffnen aus.

  3. Wählen Sie auf der Connectorseite im Abschnitt Konfiguration den Link aus, um die Ressourcenkonfigurationsseite zu öffnen.

    Wenn eine Liste der Ressourcen des gewünschten Typs angezeigt wird, wählen Sie den Link für eine Ressource aus, deren Protokolle Sie erfassen möchten.

  4. Wählen Sie im Navigationsmenü der Ressource Diagnoseeinstellungen aus.

  5. Wählen Sie am Ende der Liste + Diagnoseeinstellung hinzufügen aus.

  6. Geben Sie auf dem Bildschirm Diagnoseeinstellungen einen Namen in das Feld Name der Diagnoseeinstellungen ein.

    Aktivieren Sie das Kontrollkästchen An Log Analytics senden. Darunter werden zwei neue Felder angezeigt. Wählen Sie das relevante Abonnement und den Log Analytics-Arbeitsbereich (in dem sich Microsoft Sentinel befindet) aus.

  7. Aktivieren Sie die Kontrollkästchen der Protokolltypen und Metriken, die Sie erfassen möchten. Unsere empfohlenen Optionen für jeden Ressourcentyp finden Sie im Abschnitt für den Connector der Ressource auf der Referenzseite für Datenconnectors.

  8. Wählen Sie im oberen Bereich des Bildschirms Speichern aus.

Weitere Informationen finden Sie auch unter Erstellen von Diagnoseeinstellungen zum Senden von Metriken und Protokollen der Azure Monitor-Plattform an verschiedene Ziele in der Azure Monitor-Dokumentation.

Herstellen einer Verbindung über einen auf Diagnoseeinstellungen basierenden Connector, der über Azure Policy verwaltet wird

In dieser Vorgehensweise wird beschrieben, wie Sie mithilfe von Datenconnectors, die Verbindungen basierend auf Diagnoseeinstellungen verwenden und über Azure Policy verwaltet werden, eine Verbindung mit Microsoft Sentinel herstellen.

Connectors dieses Typs verwenden Azure Policy, um eine einzelne Diagnoseeinstellungskonfiguration auf eine Sammlung von Ressourcen eines einzelnen Typs anzuwenden, die als Bereich definiert sind. Sie können die Protokolltypen, die von einem bestimmten Ressourcentyp erfasst werden, auf der linken Seite der Connectorseite für diese Ressource unter Datentypen anzeigen.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus.

  2. Wählen Sie Ihren Ressourcentyp aus dem Katalog der Datenconnectors aus, und wählen Sie dann im Vorschaubereich Connectorseite öffnen aus.

  3. Erweitern Sie auf der Connectorseite im Abschnitt Konfiguration alle dort angezeigten Expander, und wählen Sie die Schaltfläche Azure Policy-Zuweisungs-Assistenten starten aus.

    Der Richtlinienzuweisungs-Assistent wird geöffnet, um eine neue Richtlinie zu erstellen, wobei der Richtlinienname bereits ausgefüllt ist.

    1. Wählen Sie auf der Registerkarte Grundlagen unter Bereich die Schaltfläche mit den drei Punkten aus, um Ihr Abonnement (und optional eine Ressourcengruppe) auszuwählen. Sie können auch eine Beschreibung hinzufügen.

    2. In der Registerkarte Parameter:

      • Deaktivieren Sie das Kontrollkästchen Nur Parameter anzeigen, die Eingaben erfordern.
      • Wenn die Felder Auswirkung und Einstellung angezeigt werden, lassen Sie diese unverändert.
      • Wählen Sie in der Dropdownliste Log Analytics-Arbeitsbereich Ihren Microsoft Sentinel-Arbeitsbereich aus.
      • Die übrigen Dropdownfelder stellen die verfügbaren Diagnoseprotokolltypen dar. Behalten Sie für alle Protokolltypen, die erfasst werden sollen, die Einstellung TRUE bei.

    3. Die Richtlinie wird auf Ressourcen angewendet, die in Zukunft hinzugefügt werden. Wählen Sie zum Anwenden der Richtlinie auf Ihre vorhandenen Ressourcen die Registerkarte Wartung aus, und aktivieren Sie das Kontrollkästchen Wartungstask erstellen.

    4. Klicken Sie auf der Registerkarte Überprüfen + erstellen auf Erstellen. Damit ist die Richtlinie dem ausgewählten Bereich zugewiesen.

Mit diesem Datenconnectortyp werden die Indikatoren für den Konnektivitätsstatus (ein Farbstreifen im Datenconnector-Katalog sowie Verbindungssymbole neben den Datentypnamen) nur dann als verbunden (grün) angezeigt, wenn Daten innerhalb der letzten 14 Tage erfasst wurden. Nachdem 14 Tage ohne Datenerfassung vergangen sind, wird der Connector als „getrennt“ angezeigt. In dem Moment, in dem weitere Daten den Connector passieren, wird der Status wieder in verbunden geändert.

Sie können die Daten für jeden Ressourcentyp mithilfe der Tabellennamen suchen und abfragen, die im Abschnitt für den Connector der Ressource auf der Referenzseite für Datenconnectors angezeigt werden. Weitere Informationen finden Sie unter Erstellen von Diagnoseeinstellungen zum Senden von Metriken und Protokollen der Azure Monitor-Plattform an verschiedene Ziele in der Azure Monitor-Dokumentation.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter: