Freigeben über

Verbinde Microsoft Sentinel mit anderen Microsoft-Diensten mithilfe von diagnoseeinstellungen-basierten Verbindungen.

In diesem Artikel wird beschrieben, wie Sie mithilfe von Diagnoseeinstellungsverbindungen eine Verbindung mit Microsoft Sentinel herstellen. Microsoft Sentinel verwendet die Azure Foundation, um integrierte Service-to-Service-Unterstützung für die Datenaufnahme von vielen Azure und Microsoft 365 Services, Amazon Web Services und verschiedenen Windows Server-Diensten bereitzustellen. Es gibt einige verschiedene Methoden, mit denen diese Verbindungen hergestellt werden.

Dieser Artikel enthält Informationen, die auf die Gruppe von Datenkonnektoren zutreffen, die Verbindungen auf Basis von Diagnoseeinstellungen verwenden. Einige dieser Arten von Connectors werden mithilfe von Azure Policy verwaltet. Verwenden Sie für die anderen Verbinder dieses Typs die separaten Anleitungen.

Hinweis

Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel Tabellen in Cloud-Featureverfügbarkeit für US Government-Kunden.

Voraussetzungen

Um Daten mithilfe eines eigenständigen, diagnoseeinstellungenbasierten Connectors in Microsoft Sentinel aufzunehmen, müssen Sie über Lese- und Schreibberechtigungen für den Log Analytics Arbeitsbereich verfügen, der für Microsoft Sentinel aktiviert ist.

Um Daten mithilfe von auf Diagnoseeinstellungen basierenden Connectors, die von Azure Policy verwaltet werden, in Microsoft Sentinel zu integrieren, müssen Sie auch die folgenden Voraussetzungen erfüllen:

  • Wenn Sie Azure Policy verwenden möchten, um eine Protokollstreamingrichtlinie auf Ihre Ressourcen anzuwenden, müssen Sie über die Rolle "Besitzer" für den Richtlinienzuweisungsbereich verfügen.

  • Die folgenden Voraussetzungen gelten je nach dem verwendeten Connector:

    Datenverbinder Lizenzierung, Kosten und andere Informationen
    Azure Activity Dieser Connector verwendet jetzt die Diagnoseeinstellungspipeline. Wenn Sie die Legacymethode verwenden, müssen Sie die vorhandenen Abonnements von der Legacymethode trennen, bevor Sie den neuen Azure Aktivitätsprotokollconnector einrichten.

    1. Wählen Sie im Navigationsmenü von Microsoft Sentinel Datenconnectoren aus. Wählen Sie in der Liste der Connectors Azure Activity aus, und wählen Sie dann unten rechts die Schaltfläche Open connector page aus.
    2. Überprüfen Sie auf der Registerkarte " Anweisungen " im Abschnitt "Konfiguration " in Schritt 1 die Liste Ihrer vorhandenen Abonnements, die mit der Legacymethode verbunden sind, und trennen Sie sie alle auf einmal, indem Sie auf die Schaltfläche " Alle trennen " unten klicken.
    3. Setzen Sie die Einrichtung des neuen Connectors gemäß der Anleitung in diesem Abschnitt fort.
    Azure DDoS Protection – Konfiguriert Azure DDoS Standard-Schutzplan.
    - Konfiguriertes virtual-Netzwerk mit aktiviertem Azure DDoS Standard
    - Möglicherweise fallen weitere Gebühren an.
    - Der Status für Azure DDoS Protection Data Connector ändert sich in Connected nur, wenn sich die geschützten Ressourcen unter einem DDoS-Angriff befinden.
    Azure Storage Konto Die (übergeordnete) Speicherkontoressource enthält andere (untergeordnete) Ressourcen für jeden Speichertyp: Dateien, Tabellen, Warteschlangen und Blobs.
    Beim Konfigurieren der Diagnose für ein Speicherkonto müssen Sie Folgendes auswählen und konfigurieren:

    - Die übergeordnete Kontoressource, die die Transaktionsmetrik exportiert.
    - Die einzelnen untergeordneten Speichertypressourcen zum Exportieren aller Protokolle und Metriken

    Es werden nur die Speichertypen angezeigt, für die Sie tatsächlich Ressourcen definiert haben.

Herstellen einer Verbindung über einen eigenständigen, auf Diagnoseeinstellungen basierenden Connector

In diesem Verfahren wird beschrieben, wie Sie mithilfe von Datenverbindern, die eigenständige Verbindungen auf Grundlage von Diagnoseeinstellungen nutzen, eine Verbindung zu Microsoft Sentinel etablieren.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü Datenverbinder aus.

  2. Wählen Sie Ihren Ressourcentyp aus der Datensteckverbinder-Galerie aus und wählen Sie dann im Vorschaubereich die Option Connectorseite öffnen aus.

  3. Wählen Sie im Abschnitt "Konfiguration " der Connectorseite den Link aus, um die Ressourcenkonfigurationsseite zu öffnen.

    Wenn eine Liste der Ressourcen des gewünschten Typs angezeigt wird, wählen Sie den Link für eine Ressource aus, deren Protokolle Sie erfassen möchten.

  4. Wählen Sie im Menü "Ressourcennavigation" die Diagnoseeinstellungen aus.

  5. Wählen Sie "+Diagnoseeinstellung hinzufügen" am Ende der Liste aus.

  6. Geben Sie im Bildschirm " Diagnoseeinstellungen " einen Namen in das Feld "Diagnoseeinstellungen" ein.

    Aktivieren Sie das Kontrollkästchen Senden an Log Analytics. Darunter werden zwei neue Felder angezeigt. Wählen Sie das relevante Abonnement und den Log Analytics-Arbeitsbereich (wo sich Microsoft Sentinel befindet) aus.

  7. Aktivieren Sie die Kontrollkästchen der Protokolltypen und Metriken, die Sie erfassen möchten. Sehen Sie sich unsere empfohlenen Auswahlmöglichkeiten für jeden Ressourcentyp im Abschnitt des Ressourcenverbinders auf der Referenzseite für Datenverbinder an.

  8. Wählen Sie Speichern am oberen Rand des Bildschirms aus.

Weitere Informationen finden Sie auch unter Diagnoseeinstellungen erstellen, um Azure Monitor-Plattformprotokolle und -metriken an verschiedene Ziele zu senden in der Azure Monitor-Dokumentation.

Herstellen einer Verbindung über einen diagnoseeinstellungenbasierten Konnektor, der von Azure Policy verwaltet wird

In diesem Verfahren wird beschrieben, wie Sie eine Verbindung mit Microsoft Sentinel mithilfe von Datenconnectors herstellen, die Verbindungen verwenden, die auf Diagnoseeinstellungen basieren und von Azure Policy verwaltet werden.

Connectors dieses Typs verwenden Azure Policy, um eine einzelne Diagnoseeinstellungskonfiguration auf eine Sammlung von Ressourcen eines einzelnen Typs anzuwenden, die als Bereich definiert sind. Die von einem bestimmten Ressourcentyp aufgenommenen Protokolltypen werden auf der linken Seite der Connectorseite für diese Ressource unter "Datentypen" angezeigt.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü Datenverbinder aus.

  2. Wählen Sie ihren Ressourcentyp aus dem Datenconnectorskatalog aus, und wählen Sie dann im Vorschaubereich die Option " Connectorseite öffnen " aus.

  3. Erweitern Sie im Abschnitt Konfiguration der Connectorseite alle dort angezeigten Erweiterungselemente und wählen Sie den Azure-Richtlinienzuweisungs-Assistenten starten Button aus.

    Der Richtlinienzuweisungs-Assistent wird geöffnet, um eine neue Richtlinie zu erstellen, wobei ein Richtlinienname bereits ausgefüllt ist.

    1. Wählen Sie auf der Registerkarte " Grundlagen " die Schaltfläche mit den drei Punkten unter "Bereich " aus, um Ihr Abonnement auszuwählen (und optional eine Ressourcengruppe). Sie können auch eine Beschreibung hinzufügen.

    2. Auf der Registerkarte „Parameter“ finden Sie Folgendes:

      • Deaktivieren Sie das Kontrollkästchen "Nur Parameter anzeigen", die ein Eingabekontrollkästchen erfordern .
      • Wenn die Felder "Effekt" und "Einstellungsname " angezeigt werden, lassen Sie sie wie folgt belassen.
      • Wählen Sie Ihren Microsoft Sentinel-Arbeitsbereich aus der Dropdown-Liste Log Analytics aus.
      • Die übrigen Dropdownfelder stellen die verfügbaren Diagnoseprotokolltypen dar. Lassen Sie True für alle Protokolltypen, die Sie aufnehmen möchten, markiert.

    3. Die Richtlinie wird auf Ressourcen angewendet, die in Zukunft hinzugefügt werden. Wenn Sie die Richtlinie auch auf Ihre vorhandenen Ressourcen anwenden möchten, aktivieren Sie die Registerkarte " Wartung ", und markieren Sie das Kontrollkästchen " Problembehebungsaufgabe erstellen ".

    4. Klicken Sie auf der Registerkarte " Überprüfen+ Erstellen " auf "Erstellen". Damit ist die Richtlinie dem ausgewählten Bereich zugewiesen.

Bei diesem Typ von Datenkonnektor werden die Verbindungsstatusindikatoren (ein Farbstreifen im Datenconnectorskatalog und Verbindungssymbole neben den Datentypnamen) nur dann als verbunden (grün) angezeigt, wenn Daten in den letzten 14 Tagen aufgenommen wurden. Nachdem 14 Tage ohne Datenerfassung vergangen sind, wird der Connector als „getrennt“ angezeigt. Sobald mehr Daten durchkommen, wird der verbundene Status zurückgegeben.

Sie können die Daten für jeden Ressourcentyp mithilfe des Tabellennamens suchen und abfragen, der im Abschnitt für den Connector der Ressource auf der Referenzseite für Datenconnectors angezeigt wird. Weitere Informationen finden Sie unter Erstellen Sie Diagnoseeinstellungen, um Azure Monitor-Plattformprotokolle und -metriken an verschiedene Ziele zu senden in der Azure Monitor Dokumentation.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter:

  • Last updated on