Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Monitor Logs dient als Datenplattform für Microsoft Sentinel. Alle in Microsoft Sentinel erfassten Protokolle werden in einem Log Analytics-Arbeitsbereich gespeichert, und in Kusto-Abfragesprache (KQL) geschriebene Protokollabfragen werden verwendet, um Bedrohungen zu erkennen und Ihre Netzwerkaktivität zu überwachen.
Log Analytics bietet Ihnen mit benutzerdefinierten Datenerfassungs- und Datensammlungsregeln (DATA Collection Rules, DCRs) ein hohes Maß an Kontrolle über die Daten, die in Ihrem Arbeitsbereich erfasst werden. DcRs ermöglichen es Ihnen, Ihre Daten sowohl zu sammeln als auch zu bearbeiten, bevor sie in Ihrem Arbeitsbereich gespeichert werden. DCRs formatieren und senden Daten sowohl an Log Analytics-Standardtabellen als auch an anpassbare Tabellen für Datenquellen, die eindeutige Protokollformate erzeugen.
Filter- und Splittransformationen können zur Erfassungszeit auf Daten angewendet werden, um Rauschen zu reduzieren und Daten an die entsprechende Speicherebene weiterzuleiten. Für diese Transformationen müssen Sie keinen DCR erstellen und sind im Defender-Portal auf der Tabellenverwaltungsseite des Microsoft Sentinel definiert. Weitere Informationen finden Sie unter Filtern und Teilen von Transformationen in Microsoft Sentinel.
Azure-Überwachungstools für die benutzerdefinierte Datenerfassung in Microsoft Sentinel
Microsoft Sentinel verwendet die folgenden Azure Monitor-Tools, um die benutzerdefinierte Datenerfassung zu steuern:
Transformationen werden in DCRs definiert und wenden KQL-Abfragen auf eingehende Daten an, bevor die Daten in Ihrem Arbeitsbereich gespeichert werden. Diese Transformationen können irrelevante Daten herausfiltern, vorhandene Daten mit Analysen oder externen Daten anreichern oder vertrauliche oder personenbezogene Informationen maskieren.
Mit der Protokollerfassungs-API können Sie Protokolle im benutzerdefinierten Format aus einer beliebigen Datenquelle an Ihren Log Analytics-Arbeitsbereich senden und diese Protokolle entweder in bestimmten Standardtabellen oder in von Ihnen erstellten benutzerdefinierten Tabellen speichern. Sie haben die vollständige Kontrolle über die Erstellung dieser benutzerdefinierten Tabellen, bis hin zur Angabe der Spaltennamen und -typen. Die API verwendet DCRs zum Definieren, Konfigurieren und Anwenden von Transformationen auf diese Datenflüsse.
Hinweis
Für Microsoft Sentinel aktivierte Log Analytics-Arbeitsbereiche unterliegen nicht der Azure Monitor-Gebühr für die Erfassungsfilterung, unabhängig davon, wie viele Daten durch die Transformation gefiltert werden. Für Transformationen in Microsoft Sentinel gelten jedoch die gleichen Einschränkungen wie für Azure Monitor. Weitere Informationen finden Sie unter Einschränkungen und Überlegungen.
DCR-Unterstützung in Microsoft Sentinel
Erfassungszeittransformationen werden in Datensammlungsregeln (Data Collection Rules, DCRs) definiert, die den Datenfluss in Azure Monitor steuern. DCRs werden von AMA-basierten Sentinel-Konnektoren und Workflows verwendet, die die API für die Protokollaufnahme nutzen. Jede DCR enthält die Konfiguration für ein bestimmtes Datensammlungsszenario, und mehrere Connectors oder Quellen können eine einzelne DCR gemeinsam nutzen.
Arbeitsbereichstransformations-DCRs unterstützen Workflows, die sonst keine DCRs verwenden. Arbeitsbereichstransformations-DCRs enthalten Transformationen für alle unterstützten Tabellen und werden auf den gesamten Datenverkehr angewendet, der an diese Tabelle gesendet wird.
Weitere Informationen finden Sie unter:
- Datensammlungstransformationen in Azure Monitor
- Protokollerfassungs-API in Azure-Überwachungsprotokollen
- Datensammlungsregeln in Azure Monitor
Anwendungsfälle und Beispielszenarien
Der Artikel Beispieltransformationen in Azure Monitor enthält Beschreibungen und Beispielabfragen für häufige Szenarien mit Erfassungszeittransformationen in Azure Monitor. Szenarien, die für Microsoft Sentinel besonders nützlich sind, sind:
Reduzieren Sie die Datenkosten. Filtern Sie die Datensammlung nach Zeilen oder Spalten, um die Erfassungs- und Speicherkosten zu reduzieren.
Normalisieren von Daten. Normalisieren Sie Protokolle mit dem Advanced Security Information Model (ASIM), um die Leistung normalisierter Abfragen zu verbessern. Weitere Informationen finden Sie unter Normalisierung der Erfassungszeit.
Anreichern von Daten. Mit Erfassungszeittransformationen können Sie analysen verbessern, indem Sie Ihre Daten mit zusätzlichen Spalten anreichern, die der konfigurierten KQL-Transformation hinzugefügt werden. Zusätzliche Spalten können analysierte oder berechnete Daten aus vorhandenen Spalten enthalten.
Entfernen Sie vertrauliche Daten. Transformationen zum Erfassungszeitpunkt können verwendet werden, um personenbezogene Daten zu maskieren oder zu entfernen, z. B. indem alle Ziffern einer Sozialversicherungsnummer oder Kreditkartennummer außer den letzten maskiert werden.
Datenerfassungsfluss in Microsoft Sentinel
Die folgende Abbildung zeigt, an welcher Stelle die Datentransformation bei der Erfassung in den Datenerfassungsfluss in Microsoft Sentinel eingebunden wird. Diese Daten können in Standardtabellen oder in einem bestimmten Satz benutzerdefinierter Tabellen unterstützt werden.
Diese Abbildung zeigt die Cloudpipeline, die die Datensammlungskomponente von Azure Monitor darstellt. Weitere Informationen finden Sie zusammen mit anderen Datensammlungsszenarien unter Datensammlungsregeln (Data Collection Rules, DCRs) in Azure Monitor.
Microsoft Sentinel sammelt Daten aus mehreren Quellen im Log Analytics-Arbeitsbereich.
- Daten, die über den API-Endpunkt für die Protokollaufnahme oder den Azure Monitor-Agent (AMA) erfasst werden, werden von einer bestimmten DCR verarbeitet, die eine Transformation zum Erfassungszeitpunkt enthalten kann.
- Daten aus integrierten Datenkonnektoren werden in Log Analytics mithilfe einer Kombination aus hartcodierten Workflows und Transformationen zum Erfassungszeitpunkt in der DCR des Arbeitsbereichs verarbeitet.
In der folgenden Tabelle wird die DCR-Unterstützung für Microsoft Sentinel-Datenconnectortypen beschrieben:
| Typ des Datenconnectors | DCR-Unterstützung |
|---|---|
|
Protokolle des Azure Monitor-Agents (AMA), beispielsweise: |
Ein oder mehrere DCRs, die dem Agenten zugeordnet sind |
| Direkte Erfassung über die Protokollerfassungs-API | Im API-Aufruf angegebene DCR |
|
Integrierter API-basierter Datenconnector, z. B.: |
Für den Connector erstellter DCR |
| Auf Diagnoseeinstellungen basierende Verbindungen | DCR zur Transformation des Arbeitsbereichs mit unterstützten Ausgabetabellen |
|
Integrierte, API-basierte Datenkonnektoren, z. B.: |
Derzeit nicht unterstützt |
|
Integrierte Datenkonnektoren für die Kommunikation zwischen Diensten, z. B.: |
Arbeitsbereichstransformations-DCR für Tabellen, die Transformationen unterstützen |
Verwandte Inhalte
Weitere Informationen finden Sie unter: