Connector für Sicherheitsereignisprotokolle der Microsoft Active Directory-Domänencontroller für Microsoft Sentinel
[Option 3 und 4] – Verwenden des Azure Monitor-Agents: Sie können einen Teil der oder alle Sicherheitsereignisprotokolle der Domänencontroller der Windows-Computer streamen, die mit Ihrem Microsoft Sentinel-Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Diese Verbindung ermöglicht es Ihnen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | SecurityEvent |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Community |
Abfragebeispiele
Alle Überwachungsprotokolle
SecurityEvent
| sort by TimeGenerated
Voraussetzungen
Stellen Sie für die Integration in die Sicherheitsereignisprotokolle für Microsoft Active Directory-Domänencontroller sicher, dass Folgendes vorhanden ist:
- ****: Azure Log Analytics wird ausgemustert. Für die Sammlung von Daten Azure-fremder VMs wird Azure Arc empfohlen. Weitere Informationen
- Detaillierte Dokumentation: >HINWEIS: Eine detaillierte Dokumentation zum Installationsverfahren und zur Nutzung finden Sie hier.
Installationsanweisungen des Anbieters
Hinweis
Die Lösung basiert auf Optionen. Dadurch können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen ein sehr hohes Datenvolumen generieren können. Wählen Sie die Optionen aus, die Sie bereitstellen möchten – je nachdem, was Sie sammeln bzw. in Ihren Arbeitsmappen, Analyseregeln und Suchfunktionen nachverfolgen möchten. Jede Option ist unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki zur Microsoft Exchange-Sicherheit.
Dieser Datenconnector ist Option 3 und 4 im Wiki.
- Laden Sie die Agents herunter, die zum Sammeln von Protokollen für Microsoft Sentinel erforderlich sind, und installieren Sie sie.
Der Servertyp (Exchange-Server, Mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.
Sicherheitsprotokolle von Domänencontrollern
Wählen Sie aus, wie Sicherheitsprotokolle von Domänencontrollern gestreamt werden sollen. Wenn Sie Option 3 implementieren möchten, müssen Sie nur einen DC am selben Standort auswählen, an dem sich auch Exchange-Server befinden. Wenn Sie Option 4 implementieren möchten, können Sie alle DCs Ihrer Gesamtstruktur auswählen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.