Erfassen von Protokolldaten mit Datenconnectors

  • 4 Minuten

Zum Sammeln von Protokolldaten müssen Sie Ihre Datenquellen mit Microsoft Sentinel-Datenconnectors verbinden. Die Datenconnectors sind in Content Hub-Lösungen enthalten, die von Microsoft Sentinel bereitgestellt werden.

Screen shot of Microsoft Sentinel Content Hub page.

Nachdem Sie eine Content Hub-Lösung installiert haben, werden die installierten Datenconnectors in Microsoft Sentinel im Configuration | Data connectors-Menüabschnitt angezeigt. Wenn Sie die Option zum Öffnen der Connectorseite ausgewählt haben, wird die detaillierte Connectorseite in eine linke und eine rechte Hälfte geteilt.

Screen shot of Microsoft Sentinel Detailed Connector Page.

Im linken Bereich finden Sie Informationen zum Connector, den Connectorstatus und den Zeitpunkt, zu dem zuletzt ein Protokoll empfangen wurde (sofern eine Verbindung bestand). Im unteren Bereich auf der linken Seite finden Sie die Datentypen. Der Data Types listet die Tabellen auf, in die der Connector schreibt.

In der rechten Hälfte befindet sich die Registerkarte „Anweisungen“. Diese kann je nach Connector variieren. Im Allgemeinen werden dort Einzelheiten zu den Voraussetzungen und zur Konfiguration angezeigt. Wählen Sie „Konfiguration“ aus, um eine Verbindung mit der Datenquelle herzustellen. Auf der Registerkarte „Nächste Schritte“ finden Sie Verweise auf Arbeitsmappen, Beispielabfragen und Analysevorlagen. Datenconnectors lassen sich lediglich trennen oder deaktivieren, sie können jedoch nicht gelöscht werden.

Hinweis

Content Hub-Lösungen können auch Arbeitsmappen, Analyseregeln und Hunting-Abfragen installieren. Arbeitsmappen und Analyseregelvorlagen für Standardconnectors sind bereits in der Sentinel-Umgebung verfügbar.