Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nachdem Sie Microsoft Sentinel in Ihren Arbeitsbereich integriert haben, verwenden Sie Daten-Connectors, um Ihre Daten in Microsoft Sentinel aufzunehmen. Microsoft Sentinel bietet viele im Lieferumfang enthaltene Konnektoren für Microsoft-Dienste, die in Echtzeit integriert werden. Beispielsweise ist der Microsoft Defender XDR Connector ein Dienst-über-Dienst-Connector, der Daten aus Office 365, Microsoft Entra ID, Microsoft Defender für Identität und Microsoft Defender für Cloud-Apps integriert.
Integrierte Connectors ermöglichen die Anbindung an das breitere Sicherheitsökosystem für Nicht-Microsoft-Produkte. Verwenden Sie z. B. Syslog, Common Event Format (CEF) oder REST-APIs, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.
Hinweis
Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel Tabellen in Cloud-Featureverfügbarkeit für US Government-Kunden.
Wichtig
Gemäß der Ankündigung von 2024 nach dem 14. September 2026 wird die ältere HTTP-Datensammler-API nicht mehr unterstützt. Datenquellen, benutzerdefinierte Integrationen oder Connectors, die die HTTP-Datensammler-API verwenden, sollten zu einer unterstützten Alternative wechseln, um potenzielle Aufnahmeunterbrechungen nach diesem Datum zu vermeiden.
Wenn Sie derzeit die HTTP-Datensammler-API verwenden, empfehlen wir Ihnen, mit der Planung Ihrer Migration zur Protokollaufnahme-API oder dem Codeless Connector Framework (CCF) zu beginnen, um unterbrechungsfreie Datenaufnahme, verbesserte Zuverlässigkeit, Skalierbarkeit und langfristige Unterstützung sicherzustellen.
Überlegungen zur Datenverwaltung für Microsoft Sentinel Data Lake
Die folgenden Überlegungen müssen in Ihre Compliance- und Datenverwaltungsplanung berücksichtigt werden:
DSGVO und Datenaufbewahrung
- Mandantenadministratoren können ihre DSGVO-Rechte mithilfe der Bereinigungsfunktion in der Analyseebene ausüben. Dies wirkt sich nicht auf die Data Lake Ebene aus.
- Bestimmte Datensätze können nicht aus dem Sentinel-Datensee gelöscht werden. Der Datensee speichert erfasste Daten für den definierten Aufbewahrungszeitraum, auch wenn die Daten an der Quelle oder auf der Analyseebene gelöscht werden.
Purview-Integration. Änderungen an Purview-Einstellungen wirken sich nicht auf daten aus, die im Sentinel-Datensee gespeichert sind.
Lagerort Sentinel-Datenspeicherorte werden vom Mandantenadministrator ausgewählt und können sich vom primären Speicherort der Quelldienste unterscheiden.
Wichtig
Nach March 31, 2027 wird Microsoft Sentinel nicht mehr im Azure-Portal unterstützt und nur im Microsoft Defender Portal verfügbar sein. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden auf das Defender-Portal umgeleitet und können dort nur Microsoft Sentinel verwenden.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihrer Transition auf das Defender-Portal zu beginnen, um einen reibungslosen Übergang zu gewährleisten und die unifizierte Sicherheitsvorgänge zu nutzen, die von Microsoft Defender angeboten werden.
Mit Lösungen bereitgestellte Datenconnectors
Microsoft-Sentinel-Lösungen bieten paketierte Sicherheitsinhalte, einschließlich Datenverbinder, Arbeitsmappen, Analyseregeln, Playbooks und mehr. Wenn Sie eine Lösung mit einem Datenconnector bereitstellen, erhalten Sie den Datenconnector zusammen mit den zugehörigen Inhalten in derselben Bereitstellung.
Auf der Seite Microsoft Sentinel Data-Connectors werden die installierten oder nicht verwendeten Datenconnectors aufgelistet.
Um weitere Datenkonnektoren hinzuzufügen, installieren Sie die Lösung, die dem Datenkonnektor aus dem Inhaltshub zugeordnet ist. Weitere Informationen finden Sie in den folgenden Artikeln:
- Finden Sie Ihren Microsoft Sentinel Daten-Connector
- Informationen über Microsoft Sentinel Inhalte und Lösungen
- Ermittlung und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten
- Microsoft Sentinel Content Hub-Katalog
- Advanced Security Information Model (ASIM) basierte Domänenlösungen für Microsoft Sentinel
Erstellen benutzerdefinierter Connectors
Wenn Sie Ihre Datenquelle nicht mit Microsoft Sentinel verbinden können, indem Sie eine der vorhandenen verfügbaren Lösungen verwenden, sollten Sie einen eigenen Datenquellenconnector erstellen. Viele Sicherheitslösungen bieten z. B. APIs zum Abrufen von Protokolldateien und anderen Sicherheitsdaten aus ihrem Produkt oder Dienst. Diese APIs stellen eine Verbindung mit Microsoft Sentinel mit einer der folgenden Methoden her:
- Die Datenquellen-APIs sind mit dem Codeless Connector Framework konfiguriert.
- Der Datenkonnektor verwendet die Log Ingestion-API des Azure Monitors als Teil einer Azure Function oder Logic App.
Sie können auch Azure Monitor Agent direkt oder Logstash verwenden, um Ihren benutzerdefinierten Connector zu erstellen. Weitere Informationen finden Sie unter Ressourcen zum Erstellen Microsoft Sentinel benutzerdefinierter Connectors.
Agent-basierte Integration für Datenconnectors
Microsoft Sentinel können vom Azure Monitor-Dienst bereitgestellte Agents (auf denen Microsoft Sentinel basiert) verwenden, um Daten aus jeder Datenquelle zu sammeln, die echtzeitbasiertes Protokollstreaming durchführen kann. Beispielsweise stellen die meisten lokalen Datenquellen eine Verbindung über Agent-basierte Integration her.
In den folgenden Abschnitten werden die verschiedenen Typen von Microsoft Sentinel agent-basierten Daten-Connectors beschrieben. Führen Sie die Schritte auf jeder Microsoft Sentinel Datenkonnektorseite aus, um Verbindungen mit agentbasierten Mechanismen zu konfigurieren.
Syslog und Common Event Format (CEF)
Sie können Ereignisse von linuxbasierten Syslog-unterstützenden Geräten mithilfe des Azure Monitor-Agents (AMA) in Microsoft Sentinel streamen. Protokollformate variieren, aber viele Quellen unterstützen CEF-basierte Formatierung. Je nach Gerätetyp wird der Agent entweder direkt auf dem Gerät oder auf einem dedizierten Linux-basierten Server für die Protokollweiterleitung installiert. Die AMA empfängt einfache Syslog- oder CEF-Ereignismeldungen vom Syslog-Daemon über UDP. Der Syslog-Daemon leitet Ereignisse intern an den Agent weiter, kommuniziert je nach Version über TCP oder UDS (Unix Domain Sockets). Das AMA überträgt diese Ereignisse dann an den Microsoft Sentinel Arbeitsbereich.
Hier ist ein einfacher Fluss, der zeigt, wie Microsoft Sentinel Syslog-Daten streamt.
- Der integrierte Syslog-Daemon des Geräts sammelt lokale Ereignisse der angegebenen Typen und leitet die Ereignisse lokal an den Agent weiter.
- Der Agent streamt die Ereignisse an Ihren Log Analytics Arbeitsbereich.
- Nach erfolgreicher Konfiguration werden Syslog-Nachrichten in der Tabelle Log Analytics Syslog und CEF-Nachrichten in der Tabelle CommonSecurityLog angezeigt.
Weitere Informationen finden Sie unter Syslog und Common Event Format (CEF) über AMA-Connectors für Microsoft Sentinel.
Benutzerdefinierte Protokolle
Bei einigen Datenquellen können Sie Protokolle als Dateien auf Windows- oder Linux-Computern mithilfe des Log Analytics benutzerdefinierten Protokollsammlungs-Agents sammeln.
Um eine Verbindung mit dem benutzerdefinierten Protokollsammlungs-Agent Log Analytics herzustellen, führen Sie die Schritte auf jeder Microsoft Sentinel Datenconnectorseite aus. Nach erfolgreicher Konfiguration werden die Daten in benutzerdefinierten Tabellen angezeigt.
Weitere Informationen finden Sie im Abschnitt Benutzerdefinierte Protokolle über den AMA-Daten-Connector - Konfigurieren Sie die Datenaufnahme in Microsoft Sentinel aus bestimmten Anwendungen.
Dienst-zu-Dienst-Integration für Datenconnectors
Microsoft Sentinel verwendet die Azure Foundation, um sofort einsatzbereiten Service-to-Service-Support für Microsoft-Dienste und Amazon Web Services bereitzustellen.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Connect Microsoft Sentinel mit Azure-, Windows-, Microsoft- und Amazon-Diensten
- Finden Sie Ihren Microsoft Sentinel Daten-Connector
Datenconnectorsupport
Sowohl Microsoft als auch andere Organisationen erstellen Daten-Connectors für Microsoft Sentinel. Jeder Datenconnector verfügt über einen der folgenden Unterstützungstypen, die auf der Datenconnectorseite in Microsoft Sentinel aufgeführt sind.
| Supporttyp | BESCHREIBUNG |
|---|---|
| Von Microsoft unterstützt | Gilt für:
Partner und die Community unterstützen Datenconnectors, die von einer anderen Partei als Microsoft erstellt werden. |
| Von Partnern unterstützt | Gilt für Datenconnectors, die von anderen Parteien als Microsoft erstellt wurden. Das Partnerunternehmen bietet Support oder Wartung für diese Datenconnectors. Das Partnerunternehmen kann ein unabhängiger Softwareanbieter, ein Managed Service Provider (MSP/MSSP), ein Systemintegrator (SI) oder jede Organisation sein, deren Kontaktinformationen auf der Seite Microsoft Sentinel für diesen Datenkonnektor bereitgestellt werden. Wenden Sie sich bei Problemen mit einem vom Partner unterstützten Datenconnector an den angegebenen Supportkontakt für den Datenconnector. |
| Gemeinschaftlich unterstützt | Gilt für Datenconnectoren, die von Microsoft- oder Partnerentwicklern erstellt wurden und deren Kontakte für Unterstützung und Wartung von Datenconnectoren auf der Datenconnectorseite in Microsoft Sentinel nicht aufgeführt sind. Bei Fragen oder Problemen mit diesen Datenconnectors können Sie ein Problem in der Microsoft Sentinel GitHub Community melden. |
Weitere Informationen finden Sie unter Unterstützung für einen Datenconnector.
Nächste Schritte
Weitere Informationen zu Datenconnectors finden Sie in den folgenden Artikeln:
- Verbinden Sie Ihre Datenquellen über Datenkonnektoren mit Microsoft Sentinel
- Finden Sie Ihren Microsoft Sentinel Daten-Connector
- Ressourcen zum Erstellen von benutzerdefinierten Microsoft Sentinel-Connectoren
Eine grundlegende Referenz für Infrastruktur als Code (IaC) von Bicep, Azure Resource Manager und Terraform zur Bereitstellung von Daten-Connectors in Microsoft Sentinel finden Sie unter Microsoft Sentinel Daten-Connector IaC-Referenz.