Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nachdem Sie Microsoft Sentinel in Ihren Arbeitsbereich eingebunden haben, verwenden Sie Datenkonnektoren, um Ihre Daten in Microsoft Sentinel zu erfassen. Microsoft Sentinel enthält viele sofort einsatzbereite Connectors für Microsoft-Dienste, die in Echtzeit integriert werden können. Zum Beispiel ist der Microsoft Defender XDR-Connector ein Service-zu-Service-Connector, der Daten aus Office 365, Microsoft Entra ID, Microsoft Defender for Identity und Microsoft Defender for Cloud Apps integriert.
Integrierte Connectors ermöglichen die Verbindung mit dem breiteren Sicherheitsökosystem für Nicht-Microsoft-Produkte. Verwenden Sie beispielsweise Syslog, common Event Format (CEF) oder REST-APIs, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.
Hinweis
Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel-Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.
Wichtig
Gemäß der Ankündigung für 2024 wird die Legacy-HTTP-Datensammler-API nach dem 14. September 2026 nicht mehr unterstützt. Datenquellen, benutzerdefinierte Integrationen oder Connectors, die die HTTP-Datensammler-API verwenden, sollten zu einer unterstützten Alternative wechseln, um potenzielle Erfassungsunterbrechungen nach diesem Datum zu vermeiden.
Wenn Sie derzeit die HTTP-Datensammler-API verwenden, empfehlen wir Ihnen, mit der Planung Ihrer Migration zur Protokollerfassungs-API oder dem Codeless Connector Framework (CCF) zu beginnen, um eine unterbrechungsfreie Datenerfassung, verbesserte Zuverlässigkeit, Skalierbarkeit und langfristige Unterstützung sicherzustellen.
Überlegungen zur Datenverwaltung für Microsoft Sentinel Data Lake
Die folgenden Überlegungen müssen in Ihre Compliance- und Datenverwaltungsplanung berücksichtigt werden:
DSGVO und Datenaufbewahrung
- Mandantenadministratoren können Rechte gemäß DSGVO mithilfe der Funktion „Purge“ für die Analysestufe wahrnehmen. Dies wirkt sich nicht auf die Data Lake-Ebene aus.
- Bestimmte Datensätze können nicht aus dem Sentinel Data Lake gelöscht werden. Der Data Lake behält erfasste Daten für den definierten Aufbewahrungszeitraum bei, auch wenn die Daten in der Quelle oder auf der Analyseebene gelöscht werden.
Purview Integration. Änderungen an Purview-Einstellungen haben keine Auswirkungen auf Daten, die im Sentinel Data Lake gespeichert sind.
Speicherort Sentinel Data Lake-Speicherorte werden vom Mandantenadministrator ausgewählt und können sich vom primären Speicherort der Quelldienste unterscheiden.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Mit Lösungen bereitgestellte Datenkonnektoren
Microsoft Sentinel-Lösungen bieten gebündelte Sicherheitsinhalte, einschließlich Datenkonnektoren, Arbeitsmappen, Analyseregeln, Playbooks und mehr. Wenn Sie eine Lösung mit einem Datenkonnektor bereitstellen, erhalten Sie den Datenkonnektor zusammen mit den zugehörigen Inhalten in derselben Bereitstellung.
Auf der Seite „Microsoft Sentinel“ Datenkonnektoren werden die installierten oder aktuell verwendeten Datenkonnektoren aufgelistet.
Um weitere Datenkonnektoren hinzuzufügen, installieren Sie die dem Datenkonnektor zugeordnete Lösung aus dem Content Hub. Weitere Informationen finden Sie in den folgenden Artikeln:
- Finden Sie Ihren Microsoft Sentinel-Datenconnector
- Informationen zu Microsoft Sentinel Inhalten und Lösungen
- Entdecken und verwalten Sie die vorgefertigten Inhalte von Microsoft Sentinel
- Microsoft Sentinel Content Hub-Katalog
- Advanced Security Information Model (ASIM)-basierte Domänenlösungen für Microsoft Sentinel
Benutzerdefinierte Connectors erstellen
Wenn Sie Ihre Datenquelle nicht mit Microsoft Sentinel mithilfe einer der vorhandenen Lösungen verbinden können, sollten Sie einen eigenen Datenquellenconnector erstellen. Beispielsweise bieten viele Sicherheitslösungen eine Reihe von APIs zum Abrufen von Protokolldateien und anderen Sicherheitsdaten aus ihrem Produkt oder Dienst. Diese APIs stellen mit einer der folgenden Methoden eine Verbindung mit Microsoft Sentinel her:
- Die Datenquellen-APIs werden mit dem Codeless Connector Framework konfiguriert.
- Der Datenconnector verwendet die Protokollerfassungs-API für Azure Monitor als Teil einer Azure-Funktion oder Logik-App.
Sie können auch Azure Monitor-Agent direkt oder Logstash verwenden, um Ihren benutzerdefinierten Connector zu erstellen. Weitere Informationen finden Sie unter Ressourcen zum Erstellen von Microsoft Sentinel benutzerdefinierten Connectors.
Agentenbasierte Integration für Datenkonnektoren
Microsoft Sentinel können Agents verwenden, die vom Azure Monitor-Dienst (auf dem Microsoft Sentinel basiert) bereitgestellt werden, um Daten aus jeder Datenquelle zu sammeln, die Protokollstreaming in Echtzeit durchführen kann. Beispielsweise stellen die meisten lokalen Datenquellen eine Verbindung mithilfe der Agent-basierten Integration her.
In den folgenden Abschnitten werden die verschiedenen Arten agentbasierter Datenkonnektoren von Microsoft Sentinel beschrieben. Befolgen Sie zum Konfigurieren von Verbindungen mithilfe agentbasierter Mechanismen die Schritte auf den einzelnen Seiten der Microsoft Sentinel-Datenconnectors.
Syslog und Common Event Format (CEF)
Sie können Ereignisse von Linux-basierten, Syslog unterstützenden Geräten mithilfe des Azure Monitor-Agents (AMA) an Microsoft Sentinel streamen. Protokollformate variieren, aber viele Quellen unterstützen CEF-basierte Formatierungen. Je nach Gerätetyp wird der Agent entweder direkt auf dem Gerät oder auf einer dedizierten Linux-basierten Protokollweiterleitung installiert. Der AMA empfängt einfache Syslog- oder CEF-Ereignismeldungen vom Syslog-Daemon über UDP. Der Syslog-Daemon leitet Ereignisse intern an den Agent weiter und kommuniziert je nach Version über TCP oder UDS (Unix Domain Sockets). Der AMA überträgt diese Ereignisse dann an den Microsoft Sentinel Arbeitsbereich.
Hier ist ein einfacher Flow, der zeigt, wie Microsoft Sentinel Syslog-Daten streamt.
- Der integrierte Syslog-Daemon des Geräts sammelt lokale Ereignisse der angegebenen Typen und leitet die Ereignisse lokal an den Agent weiter.
- Der Agent streamt die Ereignisse an Ihren Log Analytics-Arbeitsbereich.
- Nach erfolgreicher Konfiguration werden Syslog-Meldungen in der Log Analytics-Syslog-Tabelle und CEF-Meldungen in der Tabelle CommonSecurityLog angezeigt.
Weitere Informationen finden Sie unter Syslog und Common Event Format (CEF) über AMA-Konnektoren für Microsoft Sentinel.
Benutzerdefinierte Protokolle
Für einige Datenquellen können Sie Protokolle als Dateien auf Windows- oder Linux-Computern sammeln, indem Sie den Log Analytics-Agent für die benutzerdefinierte Protokollsammlung verwenden.
Um mithilfe des Log Analytics-Agents für die Sammlung benutzerdefinierter Protokolle eine Verbindung herzustellen, führen Sie die Schritte auf den einzelnen Microsoft Sentinel-Datenkonnektorseiten aus. Nach erfolgreicher Konfiguration werden die Daten in benutzerdefinierten Tabellen angezeigt.
Weitere Informationen finden Sie unter Benutzerdefinierte Protokolle über AMA-Datenconnector – Konfigurieren der Datenerfassung zum Microsoft Sentinel aus bestimmten Anwendungen.
Service-zu-Service-Integration für Datenkonnektoren
Microsoft Sentinel verwendet die Azure-Grundlage, um sofort einsatzbereite Service-to-Service-Unterstützung für Microsoft-Dienste und Amazon Web Services bereitzustellen.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Verbinden von Microsoft Sentinel mit Azure-, Windows-, Microsoft- und Amazon-Diensten
- Finden Sie Ihren Microsoft Sentinel-Datenconnector
Unterstützung für Datenkonnektoren
Sowohl Microsoft als auch andere Organisationen erstellen Microsoft Sentinel-Datenconnectors. Jeder Datenconnector verfügt über einen der folgenden Unterstützungstypen, die auf der Datenconnectorseite in Microsoft Sentinel aufgeführt sind.
| Supporttyp | Beschreibung |
|---|---|
| Von Microsoft unterstützt | Gilt für:
Partner oder die Community unterstützen Datenconnectors, die von anderen als Microsoft erstellt wurden. |
| Von Partnern unterstützt | Gilt für Datenkonnektoren, die von Drittanbietern und nicht von Microsoft erstellt wurden. Das Partnerunternehmen bietet Support oder Wartung für diese Datenkonnektoren. Das Partnerunternehmen kann ein unabhängiger Softwareanbieter, ein Managed Service Provider (MSP/MSSP), ein Systemintegrator (SI) oder eine beliebige Organisation sein, deren Kontaktinformationen auf der Microsoft Sentinel-Seite für diesen Datenkonnektor angegeben sind. Wenden Sie sich bei Problemen mit einem von einem Partner bereitgestellten Datenkonnektor an den angegebenen Supportkontakt für den Datenkonnektor. |
| Von der Community unterstützte | Gilt für Datenconnectors, die von Microsoft oder Partnerentwicklern erstellt wurden und für die auf der Datenconnector-Seite in Microsoft Sentinel keine Kontakte für Support und Wartung aufgeführt sind. Bei Fragen oder Problemen mit diesen Datenkonnektoren können Sie in der Microsoft Sentinel GitHub-Communityein Issue erstellen. |
Weitere Informationen finden Sie unter Support für einen Datenkonnektor finden.
Nächste Schritte
Weitere Informationen zu Datenkonnektoren finden Sie in den folgenden Artikeln.
- Verbinden Sie Ihre Datenquellen mithilfe von Datenkonnektoren mit Microsoft Sentinel
- Finden Sie Ihren Microsoft Sentinel-Datenconnector
- Ressourcen zum Erstellen benutzerdefinierter Microsoft Sentinel-Konnektoren
Eine grundlegende IaC-Referenz (Infrastructure-as-Code) von Bicep, Azure Resource Manager und Terraform zum Bereitstellen von Datenconnectors in Microsoft Sentinel finden Sie unter IaC-Referenz für Microsoft Sentinel Datenconnector.