Microsoft Sentinel-Datenconnectors
Nachdem Sie Microsoft Sentinel in Ihren Arbeitsbereich integriert haben, beginnen Sie mithilfe der Datenconnectors mit der Erfassung Ihrer Daten in Microsoft Sentinel. Microsoft Sentinel bietet viele standardmäßig verfügbare Connectors für Microsoft-Dienste, die in Echtzeit integriert werden. Beispielsweise ist der Microsoft Defender XDR-Connector ein Dienst-zu-Dienst-Connector, mit dem Daten aus Office 365, Microsoft Entra ID, Microsoft Defender for Identity und Microsoft Defender for Cloud Apps integriert werden können.
Integrierte Connectors ermöglichen die Anbindung an das breitere Sicherheitsökosystem für Nicht-Microsoft-Produkte. Beispielsweise können Sie Syslog, Common Event Format (CEF) oder REST-APIs verwenden, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
Wichtig
Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Mit Lösungen bereitgestellte Datenconnectors
Microsoft Sentinel-Lösungen stellen Pakete mit Sicherheitsinhalten bereit, darunter beispielsweise Datenconnectors, Arbeitsmappen, Analyseregeln oder Playbooks. Wenn Sie eine Lösung mit einem Datenconnector bereitstellen, erhalten Sie den Datenconnector zusammen mit den zugehörigen Inhalten in derselben Bereitstellung.
Auf der Seite Microsoft Sentinel-Seite Datenconnectors sind die installierten oder verwendeten Datenconnectors aufgelistet.
Zum Hinzufügen weiterer Datenconnectors installieren Sie die Lösung, die dem Datenconnector über den Inhaltshub zugeordnet ist. Weitere Informationen finden Sie in den folgenden Artikeln:
- Suchen Ihres Microsoft Sentinel-Datenconnectors
- Informationen zu Microsoft Sentinel-Inhalten und -Lösungen
- Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte
- Microsoft Sentinel Content Hub-Katalog
- Auf Advanced Security Information Model (ASIM) beruhende Domänenlösungen für Microsoft Sentinel
REST-API-Integration für Datenconnectors
Viele Sicherheitslösungen bieten eine Reihe von APIs zum Abrufen von Protokolldateien und anderen Sicherheitsdaten aus ihrem Produkt oder Dienst. Diese APIs stellen eine Verbindung mit Microsoft Sentinel mit einer der folgenden Methoden her:
- Die Datenquellen-APIs sind mit der Codeless Connector Platform konfiguriert.
- Der Datenconnector verwendet die Log Ingestion-API für Azure Monitor als Teil einer Azure-Funktion oder -Logik-App.
Weitere Informationen zur Verbindung mit Azure Functions finden Sie in den folgenden Artikeln:
- Verbinden Ihrer Datenquelle mit Microsoft Sentinel mithilfe von Azure Functions
- Dokumentation zu Azure Functions
- Azure Functions – Preise
Weitere Informationen zum Herstellen einer Verbindung mit Logik-Apps finden Sie unter Verbinden mit Logik-Apps.
Agent-basierte Integration für Datenconnectors
Microsoft Sentinel kann vom Azure Monitor-Dienst bereitgestellte Agents (auf denen Microsoft Sentinel basiert) verwenden, um Daten aus jeder Datenquelle zu sammeln, die echtzeitbasiertes Protokollstreaming durchführen kann. Beispielsweise stellen die meisten lokalen Datenquellen eine Verbindung über Agent-basierte Integration her.
In den folgenden Abschnitten werden die verschiedenen Typen von Agent-basierten Microsoft Sentinel-Datenconnectors beschrieben. Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um Verbindungen mit Agent-basierten Mechanismen zu konfigurieren.
Syslog und Common Event Format (CEF)
Sie können Ereignisse von Linux-basierten, Syslog unterstützenden Geräten mithilfe des Azure Monitor-Agents (AMA) in Microsoft Sentinel streamen. Protokollformate variieren, aber viele Quellen unterstützen CEF-basierte Formatierung. Je nach Gerätetyp wird der Agent entweder direkt auf dem Gerät oder auf einem dedizierten Linux-basierten Server für die Protokollweiterleitung installiert. Die AMA empfängt einfache Syslog- oder CEF-Ereignismeldungen vom Syslog-Daemon über UDP. Der Syslog-Daemon leitet Ereignisse intern an den Agent weiter, kommuniziert je nach Version über TCP oder UDS (Unix Domain Sockets). Der AMA überträgt diese Ereignisse dann an den Microsoft Sentinel-Arbeitsbereich.
Hier sehen Sie einen einfachen Flow, der zeigt, wie Microsoft Sentinel Syslog-Daten streamt:
- Der integrierte Syslog-Daemon des Geräts sammelt lokale Ereignisse der angegebenen Typen und leitet die Ereignisse lokal an den Agent weiter.
- Der Agent streamt die Ereignisse in Ihren Log Analytics-Arbeitsbereich.
- Nach erfolgreicher Konfiguration werden Syslog-Nachrichten in der Log Analytics Syslog-Tabelle und CEF-Nachrichten in der Tabelle CommonSecurityLog angezeigt.
Weitere Informationen finden Sie unter Connectors „Syslog über AMA“ und „CEF (Common Event Format) über AMA“ für Microsoft Sentinel.
Benutzerdefinierte Protokolle
Für einige Datenquellen können Sie Protokolle als Dateien auf Windows- oder Linux-Computern mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents sammeln.
Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents eine Verbindung herzustellen. Nach erfolgreicher Konfiguration werden die Daten in benutzerdefinierten Tabellen angezeigt.
Weitere Informationen finden Sie unter Benutzerdefinierte Protokolle über AMA-Datenconnector – Konfigurieren der Datenerfassung in Microsoft Sentinel über spezielle Anwendungen.
Dienst-zu-Dienst-Integration für Datenconnectors
Microsoft Sentinel verwendet Azure Foundation, um sofort einsatzbereiten Dienst-zu-Dienst-Support für Microsoft-Dienste und Amazon Web Services bereitzustellen.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Verbinden von Microsoft Sentinel mit Azure-, Windows-, Microsoft- und Amazon-Diensten
- Suchen Ihres Microsoft Sentinel-Datenconnectors
Datenconnectorsupport
Sowohl Microsoft als auch andere Organisationen erstellen Microsoft Sentinel-Datenconnectors. Jeder Datenconnector verfügt über einen der folgenden Supporttypen, die auf der Datenconnectorseite in Microsoft Sentinel aufgeführt sind:
Supporttyp | BESCHREIBUNG |
---|---|
Von Microsoft unterstützt | Gilt für:
Partner und die Community unterstützen Datenconnectors, die von einer anderen Partei als Microsoft erstellt werden. |
Von Partnern unterstützt | Gilt für Datenconnectors, die von anderen Parteien als Microsoft erstellt wurden. Das Partnerunternehmen bietet Support oder Wartung für diese Datenconnectors. Das Partnerunternehmen kann ein unabhängiger Softwarehersteller (ISV), ein Anbieter verwalteter Dienste (Managed Service Provider, MSP/MSSP), ein Systemintegrator (SI) oder eine beliebige Organisation sein, deren Kontaktinformationen auf der Microsoft Sentinel-Seite für diesen Datenconnector bereitgestellt werden. Wenden Sie sich bei Problemen mit einem vom Partner unterstützten Datenconnector an den angegebenen Supportkontakt für den Datenconnector. |
Von der Community unterstützt | Gilt für Datenconnectors, die von Microsoft oder Partnerentwicklern erstellt wurden und für die auf der Datenconnectorseite in Microsoft Sentinel keine Kontakte für den Support und die Verwaltung des Datenconnectors aufgeführt sind. Bei Fragen oder Problemen mit diesen Datenconnectors können Sie in der Microsoft Sentinel GitHub-Communityein Problem erstellen. |
Weitere Informationen finden Sie unter Unterstützung für einen Datenconnector.
Nächste Schritte
Weitere Informationen zu Datenconnectors finden Sie in den folgenden Artikeln:
- Verbinden von Datenquellen mit Microsoft Sentinel mithilfe von Datenconnectors
- Suchen Ihres Microsoft Sentinel-Datenconnectors
- Ressourcen zum Erstellen benutzerdefinierter Microsoft Sentinel-Connectors
Eine grundlegende Referenz zu Infrastructure-as-Code (IaC) von Bicep, Azure Resource Manager und Terraform zum Bereitstellen von Datenconnectors in Microsoft Sentinel finden Sie in der IaC-Referenz zum Microsoft Sentinel-Datenconnector.