Konfigurieren von Datenconnectors in Microsoft Sentinel
Nachdem Sie Microsoft Sentinel in Ihren Arbeitsbereich integriert haben, beginnen Sie mithilfe der Datenconnectors mit der Erfassung Ihrer Daten in Microsoft Sentinel. Microsoft Sentinel bietet viele standardmäßig verfügbare Connectors für Microsoft-Dienste, die in Echtzeit integriert werden. Beispielsweise ist der Microsoft 365 Defender-Connector ein Dienst-zu-Dienst-Connector, mit dem Daten aus Microsoft 365, Microsoft Entra ID, Microsoft Defender for Identity und Microsoft Defender für Cloud-Apps integriert werden können.
Integrierte Connectors ermöglichen die Anbindung an das breitere Sicherheitsökosystem für Nicht-Microsoft-Produkte. Beispielsweise können Sie Syslog, Common Event Format (CEF) oder REST-APIs verwenden, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.
Auf der Microsoft Sentinel-Seite Datenconnectors wird die gesamte Liste der Connectors sowie deren Status für Ihren Arbeitsbereich angezeigt. In Kürze wird auf dieser Seite nur noch die Liste der verwendeten Datenconnectors angezeigt.
Hinweis
Zum Hinzufügen weiterer Datenconnectors installieren Sie die Lösung, die dem Datenconnector über den Inhaltshub zugeordnet ist.
Aktualisieren eines Datenconnectors
Wählen Sie auf der Seite Datenconnectors den aktiven oder benutzerdefinierten Connector aus, den Sie verbinden möchten, und wählen Sie dann Connectorseite öffnen aus. Wenn der gewünschte Datenconnector nicht angezeigt wird, installieren Sie die dazugehörige Lösung aus dem Inhaltshub.
Sobald Sie alle Voraussetzungen erfüllen, die auf der Registerkarte Anweisungen aufgeführt sind, wird auf der Connectorseite beschrieben, wie die Daten in Microsoft Sentinel aufgenommen werden. Es kann einige Zeit dauern, bis die Daten eintreffen.
Nach erfolgreicher Verbindungsherstellung werden eine Zusammenfassung der Daten im Diagramm Empfangene Daten sowie der Konnektivitätsstatus der Datentypen angezeigt.
REST-API-Integration für Datenconnectors
Viele Sicherheitstechnologien stellen eine Reihe von APIs zum Abrufen von Protokolldateien zur Verfügung, und einige Datenquellen können diese APIs verwenden, um eine Verbindung mit Microsoft Sentinel herzustellen.
Datenconnectors, die APIs verwenden, können entweder auf Anbieterseite oder mit Azure Functions integriert werden, wie in den folgenden Abschnitten beschrieben.
REST-API-Integration auf Anbieterseite
Eine API-Integration, die vom Anbieter erstellt wird, stellt eine Verbindung mit den Anbieterdatenquellen her und pusht Daten mithilfe der Azure Monitor-Datensammler-API in benutzerdefinierte Protokolltabellen von Microsoft Sentinel.
REST-API-Integration mit Azure Functions
Integrationen, die Azure Functions verwenden, um eine Verbindung mit einer Anbieter-API herzustellen, formatieren zuerst die Daten und senden sie dann mithilfe der Azure Monitor-Datensammler-API an benutzerdefinierte Protokolltabellen von Microsoft Sentinel.
Agent-basierte Integration für Datenconnectors
Microsoft Sentinel kann das Syslog-Protokoll verwenden, um einen Agent mit einer beliebigen Datenquelle zu verbinden, die Protokollstreaming in Echtzeit durchführen kann. Beispielsweise stellen die meisten lokalen Datenquellen eine Verbindung über Agent-basierte Integration her.
In den folgenden Abschnitten werden die verschiedenen Typen von Agent-basierten Microsoft Sentinel-Datenconnectors beschrieben. Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um Verbindungen mit Agent-basierten Mechanismen zu konfigurieren.
syslog
Sie können Ereignisse von Linux-basierten, Syslog unterstützenden Geräten mithilfe des Azure Monitor-Agents (AMA) in Microsoft Sentinel streamen. Je nach Gerätetyp wird der Agent entweder direkt auf dem Gerät oder auf einem dedizierten Linux-basierten Server für die Protokollweiterleitung installiert. Der AMA empfängt Ereignisse vom Syslog-Daemon über UDP. Der Syslog-Daemon leitet Ereignisse intern an den Agent weiter und kommuniziert dabei über UDS (Unix Domain Sockets). Der AMA überträgt diese Ereignisse dann an den Microsoft Sentinel-Arbeitsbereich.
Hier sehen Sie einen einfachen Flow, der zeigt, wie Microsoft Sentinel Syslog-Daten streamt.
- Der integrierte Syslog-Daemon des Geräts sammelt lokale Ereignisse der angegebenen Typen und leitet die Ereignisse lokal an den Agent weiter.
- Der Agent streamt die Ereignisse in Ihren Log Analytics-Arbeitsbereich.
- Nach erfolgreicher Konfiguration werden die Daten in der Log Analytics-Syslog-Tabelle angezeigt.
Common Event Format (CEF)
Protokollformate variieren, aber viele Quellen unterstützen CEF-basierte Formatierung. Der Microsoft Sentinel-Agent, bei dem es sich tatsächlich um den Log Analytics-Agent handelt, konvertiert CEF-formatierte Protokolle in ein Format, das Log Analytics erfassen kann.
Richten Sie für Datenquellen, die Daten in CEF ausgeben, den Syslog-Agent ein, und konfigurieren Sie dann den CEF-Datenfluss. Nach erfolgreicher Konfiguration werden die Daten in der Tabelle CommonSecurityLog angezeigt.
Benutzerdefinierte Protokolle
Für einige Datenquellen können Sie Protokolle als Dateien auf Windows- oder Linux-Computern mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents sammeln.
Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents eine Verbindung herzustellen. Nach erfolgreicher Konfiguration werden die Daten in benutzerdefinierten Tabellen angezeigt.
Dienst-zu-Dienst-Integration für Datenconnectors
Microsoft Sentinel verwendet Azure Foundation, um sofort einsatzbereiten Service-to-Service-Support für Microsoft-Dienste und Amazon Web Services bereitzustellen.
Bereitstellen von Datenconnectors im Rahmen einer Lösung
Microsoft Sentinel-Lösungen stellen Pakete mit Sicherheitsinhalten bereit, darunter beispielsweise Datenconnectors, Arbeitsmappen, Analyseregeln oder Playbooks. Wenn Sie eine Lösung mit einem Datenconnector bereitstellen, erhalten Sie den Datenconnector zusammen mit den zugehörigen Inhalten in derselben Bereitstellung.
Datenconnectorsupport
Sowohl Microsoft als auch andere Organisationen erstellen Microsoft Sentinel-Datenconnectors. Jeder Datenconnector verfügt über einen dieser Supporttypen:
| Supporttyp | Beschreibung |
|---|---|
| Wird von Microsoft unterstützt | Gilt für Datenkonnektoren für Datenquellen, bei denen Microsoft der Datenanbieter und Ersteller ist. Ein paar von Microsoft erstellte Datenconnectors für Nicht-Microsoft-Datenquellen. Microsoft unterstützt und verwaltet Datenconnectors in dieser Kategorie in Übereinstimmung mit Microsoft Azure-Supportplänen. Partner oder die Community unterstützen Datenconnectors, die von einer anderen Partei als Microsoft erstellt werden. |
| Unterstützte Partner | Gilt für Datenconnectors, die von anderen Parteien als Microsoft erstellt wurden. Das Partnerunternehmen bietet Support oder Wartung für diese Datenconnectors. Das Partnerunternehmen kann ein unabhängiger Softwarehersteller, ein Managed Service Provider, ein Systemintegrator oder eine Organisation sein, deren Kontaktinformationen auf der Microsoft Sentinel-Seite für diesen Datenkonnektor bereitgestellt werden. Wenden Sie sich bei Problemen mit einem durch Partner unterstützten Datenkonnektor an den angegebenen Supportkontakt des Datenkonnektors. |
| Unterstützte Community | Gilt für Datenconnectors, die von Microsoft oder Partnerentwicklern erstellt wurden und für die auf der angegebenen Datenconnectorseite in Microsoft Sentinel keine Kontakte für den Support und die Verwaltung des Datenconnectors aufgeführt sind. |