Freigeben über

Suchen des Microsoft Sentinel-Datenkonnektors

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel werden alle unterstützten, sofort einsatzbereiten Datenconnectors sowie Links zu den jeweiligen Bereitstellungsschritten aufgeführt.

Important

Datenconnectors sind im Rahmen der folgenden Angebote verfügbar:

  • Lösungen: Viele Datenconnectors werden als Teil der Microsoft Sentinel lösung zusammen mit verwandten Inhalten wie Analyseregeln, Arbeitsmappen und Playbooks bereitgestellt. Weitere Informationen finden Sie im Microsoft Sentinel-Lösungskatalog.

  • Communityconnectors: Weitere Datenconnectors werden von der Microsoft Sentinel Community bereitgestellt und finden Sie in der Azure Marketplace. Die Dokumentation dieser Communitydatenconnectors ist Verantwortung der Organisation, die den Connector erstellt hat.

  • Benutzerdefinierte Connectors: Wenn Ihre Datenquelle nicht aufgeführt ist oder derzeit nicht unterstützt wird, können Sie auch einen eigenen, benutzerdefinierten Connector erstellen. Weitere Informationen finden Sie unter Ressourcen zum Erstellen Microsoft Sentinel benutzerdefinierter Connectors.

Note

Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel Tabellen in Cloud-Featureverfügbarkeit für US Government-Kunden.

Voraussetzungen für Datenkonnektoren

Jeder Datenconnector verfügt über eigene Voraussetzungen. Zu den Voraussetzungen kann gehören, dass Sie über bestimmte Berechtigungen für Ihren Azure Arbeitsbereich, Ihr Abonnement oder Ihre Richtlinie verfügen müssen. Oder Sie müssen andere Anforderungen für die Partnerdatenquelle erfüllen, mit der Sie eine Verbindung herstellen.

Voraussetzungen für jeden Datenconnector werden auf der entsprechenden Datenconnectorseite in Microsoft Sentinel aufgeführt.

Azure Monitor Agent (AMA)-basierten Datenconnectors erfordern eine Internetverbindung vom System, in dem der Agent installiert ist. Aktivieren Sie Port 443 ausgehend, um eine Verbindung zwischen dem System zu ermöglichen, in dem der Agent installiert ist, und Microsoft Sentinel.

Syslog- und Common Event Format-Connectors (CEF)

Die Protokollsammlung von vielen Sicherheitsgeräten und Geräten wird von den Datenconnectors Syslog über AMA oder Common Event Format (CEF) über AMA in Microsoft Sentinel unterstützt. Um Daten an Ihren Log Analytics Arbeitsbereich für Microsoft Sentinel weiterzuleiten, führen Sie die Schritte in Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent aus. Diese Schritte umfassen die Installation der Microsoft Sentinel Lösung für eine Sicherheitsanwendung oder ein Gerät aus dem Content Hub in Microsoft Sentinel. Konfigurieren Sie dann den Syslog über AMA oder Common Event Format (CEF) über AMA Datenkonnektor, der für die installierte Microsoft Sentinel Lösung geeignet ist. Schließen Sie das Setup ab, indem Sie das Sicherheitsgerät oder die Appliance konfigurieren. Anweisungen zum Konfigurieren Ihres Sicherheitsgeräts oder Ihrer Appliance finden Sie in einem der folgenden Artikel:

Wenden Sie sich an den Lösungsanbieter, wenn Sie weitere Informationen erhalten möchten oder wenn keine Informationen für die Appliance oder das Gerät verfügbar sind.

Benutzerdefinierte Protokolle über AMA-Connector

Filtern und Aufnehmen von Protokollen im Textdateiformat von Netzwerk- oder Sicherheitsanwendungen, die auf Windows- oder Linux-Computern installiert sind, mithilfe der Custom Logs via AMA connector in Microsoft Sentinel. Weitere Informationen finden Sie in den folgenden Artikeln:

Sentinel-Datenconnectors

Note

In der folgenden Tabelle sind die Datenconnectors aufgeführt, die im Microsoft Sentinel Inhaltshub verfügbar sind. Die Connectors werden vom Produktanbieter unterstützt. Support finden Sie unter dem Link "Unterstützt von ".

Tipp

Eine Liste der tabellen, die in Microsoft Sentinel aufgenommen wurden, und die Connectors, die sie aufnehmen, finden Sie unter Microsoft Sentinel Tabellen und zugeordneten Connectors.

1Password (Serverless)

Unterstützt von:1Password

Mit dem 1Password CCF-Connector kann der Benutzer 1Password-Überwachung, Signin & aufnehmen ItemUsage-Ereignisse in Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
OnePasswordEventLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • 1Password-API-Token: Ein 1Password-API-Token ist erforderlich. Weitere Informationen zum Erstellen eines API-Tokens finden Sie in der 1Password-Dokumentation .

1Password (mit Azure Functions)

Unterstützt von:1Password

Mit der lösung 1Password für Microsoft Sentinel können Sie Anmeldeversuche, Elementnutzung und Überwachungsereignisse aus Ihrem 1Password Business-Konto mithilfe der 1Password Events Reporting API aufnehmen. Auf diese Weise können Sie Ereignisse in 1Password in Microsoft Sentinel zusammen mit den anderen Anwendungen und Diensten, die Ihre Organisation verwendet, überwachen und untersuchen.

Verwendete zugrunde liegenden Microsoft-Technologien:

Diese Lösung hängt von den folgenden Technologien ab, von denen sich einige möglicherweise im Vorschauzustand befinden oder zusätzliche Kosten oder Betriebskosten verursachen:

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
OnePasswordEventLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • API-Token für 1Password-Ereignisse: Ein API-Token für 1Password-Ereignisse ist erforderlich. Weitere Informationen finden Sie in der 1Password-API.

Hinweis: Ein 1Password Business-Konto ist erforderlich.

AbnormalSecurity (using Azure Function)

Unterstützt von:Abnormal Security

Der Connector für abnormale Sicherheitsdaten bietet die Möglichkeit, Bedrohungs- und Fall Microsoft Sentinel protokolle mithilfe der Abnormal Security Rest API.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ABNORMAL_THREAT_MESSAGES_CL Nein Nein
ABNORMAL_CASES_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Abnormal Security API Token: Ein abnormales Security API Token ist erforderlich. Weitere Informationen finden Sie unter Abnormal Security API. Hinweis: Ein anormales Sicherheitskonto ist erforderlich.

AIShield

Unterstützt von:AIShield

AIShield Connector ermöglicht Es Benutzern, mit AIShield benutzerdefinierten Abwehrmechanismusprotokollen mit Microsoft Sentinel zu verbinden, sodass dynamische Dashboards, Arbeitsmappen, Notizbücher und maßgeschneiderte Benachrichtigungen erstellt werden, um Angriffe auf KI-Systeme zu verbessern und zu verhindern. Sie bietet Benutzern mehr Einblick in die KI-Ressourcen der Sicherheitspostung ihrer Organisation und verbessert ihre KI-Systemsicherheitsfunktionen. AIShield.GuArdIan analysiert die LLM generierten Inhalte, um schädliche Inhalte zu identifizieren und zu mindern, schutz vor rechtlichen, richtlinienbasierten, rollenbasierten und nutzungsbasierten Verstößen

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AIShield_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Hinweis: Benutzer sollten AIShield SaaS angeboten haben, um Sicherheitsrisiken zu analysieren und benutzerdefinierte Abwehrmechanismen zusammen mit ihrer KI-Ressource zu bereitstellen. Klicken Sie hier , um mehr zu erfahren oder kontaktieren.

Alibaba Cloud ActionTrail (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Alibaba Cloud ActionTrail-Datenconnector bietet die Möglichkeit, Actiontrail-Ereignisse abzurufen, die in Alibaba Cloud Simple Log Service gespeichert sind, und speichert sie über die SLS REST-API in Microsoft Sentinel. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AliCloudActionTrailLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • SLS REST-API-Anmeldeinformationen/Berechtigungen: AliCloudAccessKeyId und AliCloudAccessKeySecret sind für API-Aufrufe erforderlich. Ram-Richtlinienanweisung mit Aktion von "atleast log:GetLogStoreLogs over resource acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} " ist erforderlich, um einem RAM-Benutzer die Berechtigungen zum Aufrufen dieses Vorgangs zu erteilen.

AliCloud (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der AliCloud-Datenconnector bietet die Möglichkeit, Protokolle aus Cloudanwendungen mithilfe der Cloud-API abzurufen und Ereignisse über die REST-API in Microsoft Sentinel zu speichern. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AliCloud_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: AliCloudAccessKeyId und AliCloudAccessKey sind für API-Aufrufe erforderlich.

Amazon Web Services

Unterstützt von:Microsoft Corporation

Anweisungen zum Herstellen einer Verbindung mit AWS und Streamen Ihrer CloudTrail-Protokolle in Microsoft Sentinel werden während des Installationsprozesses angezeigt. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AWSCloudTrail Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Amazon Web Services CloudFront (über Codeless Connector Framework) (Vorschau)

Unterstützt von:Microsoft Corporation

Dieser Datenconnector ermöglicht die Integration von AWS CloudFront-Protokollen mit Microsoft Sentinel, um erweiterte Bedrohungserkennung, Untersuchung und Sicherheitsüberwachung zu unterstützen. Durch die Verwendung von Amazon S3 für die Protokollspeicherung und Amazon SQS für nachrichtenwarteschlangen erfasst der Connector zuverlässig CloudFront-Zugriffsprotokolle in Microsoft Sentinel

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AWSCloudFront_AccessLog_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Amazon Web Services NetworkFirewall (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit diesem Datenconnector können Sie AWS-Netzwerkfirewall-Protokolle für erweiterte Bedrohungserkennung und Sicherheitsüberwachung in Microsoft Sentinel aufnehmen. Durch die Nutzung von Amazon S3 und Amazon SQS leitet der Connector Netzwerkdatenverkehrsprotokolle, Angriffserkennungswarnungen und Firewallereignisse an Microsoft Sentinel weiter, wodurch Echtzeitanalysen und Korrelation mit anderen Sicherheitsdaten ermöglicht werden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AWSNetworkFirewallFlow Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Amazon Web Services S3

Unterstützt von:Microsoft Corporation

Mit diesem Connector können Sie AWS-Dienstprotokolle aufnehmen, die in AWS S3-Buckets gesammelt wurden, um Microsoft Sentinel. Die derzeit unterstützten Datentypen sind:

  • AWS CloudTrail
  • PROTOKOLLE DES ABLAUFS
  • AWS GuardDuty
  • AWSCloudWatch

Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AWSGuardDuty Yes Yes
AWSVPCFlow Yes Yes
AWSCloudTrail Yes Yes
AWSCloudWatch Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Umgebung: Sie müssen die folgenden AWS-Ressourcen definiert und konfiguriert haben: S3, Simple Queue Service (SQS), IAM-Rollen und Berechtigungsrichtlinien sowie die AWS-Dienste, deren Protokolle Sie erfassen möchten.

Amazon Web Services S3 DNS Route53 (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Dieser Connector ermöglicht die Aufnahme von AWS Route 53 DNS-Protokollen in Microsoft Sentinel zur verbesserten Sichtbarkeit und Bedrohungserkennung. Es unterstützt DNS Resolver-Abfrageprotokolle, die direkt aus AWS S3-Buckets aufgenommen werden, während öffentliche DNS-Abfrageprotokolle und Route 53-Überwachungsprotokolle mithilfe der AWS CloudWatch- und CloudTrail-Connectors von Microsoft Sentinel aufgenommen werden können. Umfassende Anweisungen werden bereitgestellt, um Sie durch die Einrichtung jedes Protokolltyps zu führen. Nutzen Sie diesen Connector, um DNS-Aktivitäten zu überwachen, potenzielle Bedrohungen zu erkennen und Ihren Sicherheitsstatus in Cloudumgebungen zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AWSRoute53Resolver Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Amazon Web Services S3 WAF

Unterstützt von:Microsoft Corporation

Mit diesem Connector können Sie AWS WAF-Protokolle aufnehmen, die in AWS S3-Buckets gesammelt wurden, um Microsoft Sentinel. AWS WAF-Protokolle sind detaillierte Aufzeichnungen des Datenverkehrs, den Webzugriffssteuerungslisten (ACLs) analysieren, die für die Aufrechterhaltung der Sicherheit und Leistung von Webanwendungen unerlässlich sind. Diese Protokolle enthalten Informationen wie den Zeitpunkt, zu dem AWS WAF die Anforderung erhalten hat, die Einzelheiten der Anforderung und die Von der Regel ausgeführte Aktion, die die Anforderung erfüllt hat.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AWSWAF Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Anvilogic

Unterstützt von:Anvilogic

Mit dem Anvilogic Data Connector können Sie interessante Ereignisse, die im Anvilogic ADX-Cluster generiert werden, in Ihre Microsoft Sentinel

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Anvilogic_Alerts_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Anvilogic Application Registration Client ID und Geheimer Clientschlüssel: Für den Zugriff auf das anvilogic ADX benötigen wir die Client-ID und den geheimen Clientschlüssel der Anvilogic-App-Registrierung.

ARGOS Cloud Security

Unterstützt von:ARGOS Cloud Security

Die ARGOS Cloud Security-Integration für Microsoft Sentinel ermöglicht Es Ihnen, alle wichtigen Cloud-Sicherheitsereignisse an einem zentralen Ort zu haben. Auf diese Weise können Sie problemlos Dashboards und Benachrichtigungen erstellen und Ereignisse über mehrere Systeme hinweg korrelieren. Insgesamt verbessert dies den Sicherheitsstatus und die Reaktion auf Sicherheitsvorfälle Ihrer Organisation.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ARGOS_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Armis Alerts Activities (using Azure Functions)

Unterstützt von:Armis Corporation

Der Connector Armis Warnungsaktivitäten bietet die Möglichkeit, Armis-Warnungen und -Aktivitäten über die Armis-REST-API in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API: https://<YourArmisInstance>.armis.com/api/v1/docs. Der Connector bietet die Möglichkeit, Benachrichtigungs- und Akvititätsinformationen von der Armis-Plattform abzurufen und Bedrohungen in Ihrer Umgebung zu identifizieren und zu priorisieren. Armis verwendet Ihre vorhandene Infrastruktur, um Geräte zu ermitteln und zu identifizieren, ohne Agents bereitstellen zu müssen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Armis_Alerts_CL Nein Nein
Armis_Activities_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Armis Secret Key ist erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation https://<YourArmisInstance>.armis.com/api/v1/doc

Armis-Geräte (mit Azure Functions)

Unterstützt von:Armis Corporation

Der Armis Geräteconnector bietet die Möglichkeit, Armis-Geräte über die Armis-REST-API in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API: https://<YourArmisInstance>.armis.com/api/v1/docs. Der Connector bietet die Möglichkeit, Geräteinformationen von der Armis-Plattform abzurufen. Armis verwendet Ihre vorhandene Infrastruktur, um Geräte zu ermitteln und zu identifizieren, ohne Agents bereitstellen zu müssen. Armis kann auch in Ihre vorhandenen IT- und Sicherheitsverwaltungstools integriert werden, um jedes verwaltet oder nicht verwaltete Gerät in Ihrer Umgebung zu identifizieren und zu klassifizieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Armis_Devices_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Armis Secret Key ist erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation https://<YourArmisInstance>.armis.com/api/v1/doc

Atlassian-Leuchtfeuer-Warnungen

Unterstützt von:DEFEND Ltd.

Atlassian Beacon ist ein Cloudprodukt, das für die intelligente Erkennung von Bedrohungen auf den Atlassian-Plattformen (Jira, Confluence und Atlassian Admin) entwickelt wurde. Dies kann benutzende Personen dabei unterstützen, riskante Benutzeraktivitäten für die Atlassian-Produktsuite zu erkennen, zu untersuchen und darauf zu reagieren. Die Lösung ist ein benutzerdefinierter Datenconnector von DEFEND Ltd., der verwendet wird, um die von Atlassian Beacon erfassten Warnungen über eine Logik-App zu Microsoft Sentinel visualisieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
atlassian_beacon_alerts_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Atlassian Confluence Audit (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Atlassian Confluence Überwachungsdatenconnector bietet die Möglichkeit, Confluence Audit Records Ereignisse über die REST-API Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ConfluenceAuditLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

Atlassian Jira Audit (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Atlassian Jira Überwachungsdatenconnector bietet die Möglichkeit, Jira Audit Records Ereignisse über die REST-API Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Jira_Audit_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: JiraAccessToken, JiraUsername ist für REST-API erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen und folgen Sie den Anleitungen um Zugangsdaten zu erhalten.

Atlassian Jira Audit (mit REST-API)

Unterstützt von:Microsoft Corporation

Der Atlassian Jira Überwachungsdatenconnector bietet die Möglichkeit, Jira Audit Records Ereignisse über die REST-API Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Jira_Audit_v2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Atlassian Jira API-Zugriff: Die Berechtigung " Verwalten von Jira " ist erforderlich, um Zugriff auf die Jira-Überwachungsprotokoll-API zu erhalten. Weitere Informationen zur Überwachungs-API finden Sie in der Jira-API-Dokumentation .

Auth0 Access Management (mithilfe von Azure Functions)

Unterstützt von:Microsoft Corporation

Der Auth0 Access Management-Datenconnector bietet die Möglichkeit, Auth0-Protokollereignisse aufzunehmen in Microsoft Sentinel

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Auth0AM_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: API-Token ist erforderlich. Weitere Informationen finden Sie unter API-Token

Auth0-Protokolle

Unterstützt von:Microsoft Corporation

Der Auth0-Datenconnector ermöglicht das Aufnehmen von Protokollen aus der Auth0-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die Auth0-API zum Abrufen von Protokollen und unterstützt DCR-basierte Aufnahmezeittransformationen , die die empfangenen Sicherheitsdaten in eine benutzerdefinierte Tabelle analysieren, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Auth0Logs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Automatisierte Logik-WebCTRL

Unterstützt von:Microsoft Corporation

Sie können die Überwachungsprotokolle vom WebCTRL-SQL-Server streamen, der auf Windows Computern gehostet wird, die mit Ihrem Microsoft Sentinel verbunden sind. Diese Verbindung ermöglicht Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dadurch erhalten Sie Einblicke in Ihre industriellen Steuerungssysteme, die von der WebCTRL BAS-Anwendung überwacht oder gesteuert werden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Event Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

AWS S3 Server Access Logs (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit diesem Connector können Sie AWS S3 Server Access Logs in Microsoft Sentinel aufnehmen. Diese Protokolle enthalten detaillierte Datensätze für Anforderungen, die an S3-Buckets vorgenommen wurden, einschließlich des Anforderungstyps, des Zugriffs auf ressourcen, der Anforderungserinformationen und der Antwortdetails. Diese Protokolle sind nützlich, um Zugriffsmuster zu analysieren, Probleme zu debuggen und die Sicherheitscompliance sicherzustellen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AWSS3ServerAccess Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Umgebung: Sie müssen die folgenden AWS-Ressourcen definiert und konfiguriert haben: S3 Bucket, Simple Queue Service (SQS), IAM-Rollen und Berechtigungsrichtlinien.

AWS Security Hub-Ergebnisse (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Dieser Connector ermöglicht die Aufnahme von AWS Security Hub-Ergebnissen, die in AWS S3-Buckets gesammelt werden, in Microsoft Sentinel. Es hilft dabei, den Prozess der Überwachung und Verwaltung von Sicherheitswarnungen zu optimieren, indem AWS Security Hub-Ergebnisse in die erweiterten Funktionen zur Erkennung und Reaktion auf Bedrohungen Microsoft Sentinel integriert werden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AWSSecurityHubFindings Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Umgebung: Sie müssen die folgenden AWS-Ressourcen definiert und konfiguriert haben: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), IAM-Rollen und Berechtigungsrichtlinien.

Azure Activity

Unterstützt von:Microsoft Corporation

Azure Aktivitätsprotokoll ist ein Abonnementprotokoll, das Einblicke in Ereignisse auf Abonnementebene bietet, die in Azure auftreten, einschließlich Ereignisse aus Azure Resource Manager Betriebsdaten, Dienststatusereignissen, Schreibvorgängen, die für die Ressourcen in Ihrem Abonnement ausgeführt wurden, und den Status der Aktivitäten, die in Azure ausgeführt werden. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureActivity Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Azure Batch Account

Unterstützt von:Microsoft Corporation

Azure Batch Account ist eine eindeutig identifizierte Entität innerhalb des Batchdiensts. Die meisten Batchlösungen verwenden Azure Storage zum Speichern von Ressourcendateien und Ausgabedateien, sodass jedes Batchkonto in der Regel einem entsprechenden Speicherkonto zugeordnet ist. Mit diesem Connector können Sie Ihre Azure Batch Kontodiagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivität kontinuierlich überwachen können. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Richtlinie: Besitzerrolle, die für jeden Richtlinienzuweisungsbereich zugewiesen ist

Azure CloudNGFW By Palo Alto Networks

Unterstützt von:Palo Alto Networks

Die Firewall der nächsten Generation der Cloud durch Palo Alto Networks - ein Azure Native ISV Service - ist Palo Alto Networks Next-Generation Firewall (NGFW), die als Cloud-nativer Dienst auf Azure bereitgestellt wird. Sie können Cloud NGFW im Azure Marketplace entdecken und in Ihren Azure Virtual Networks (VNet) nutzen. Mit Cloud NGFW können Sie auf die NGFW-Kernfunktionen wie App-ID oder auf URL-Filterung basierende Technologien zugreifen. Sie bietet Bedrohungsprävention und -erkennung über in der Cloud bereitgestellte Sicherheitsdienste und Signaturen zur Bedrohungsprävention. Mit dem Connector können Sie Ihre Cloud NGFW-Protokolle ganz einfach mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. So erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge. Weitere Informationen finden Sie in der Cloud NGFW für Azure Dokumentation.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
fluentbit_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Azure Cognitive Search

Unterstützt von:Microsoft Corporation

Azure Cognitive Search ist ein Cloudsuchdienst, der Entwicklern Infrastruktur, APIs und Tools zum Erstellen einer umfassenden Sucherfahrung über private, heterogene Inhalte in Web-, Mobilen und Unternehmensanwendungen bietet. Mit diesem Connector können Sie Ihre Azure Cognitive Search Diagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivität kontinuierlich überwachen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Richtlinie: Besitzerrolle, die für jeden Richtlinienzuweisungsbereich zugewiesen ist

Azure DDoS Protection

Unterstützt von:Microsoft Corporation

Stellen Sie eine Verbindung mit Azure DDoS-Schutzstandardprotokollen über öffentliche IP-Adressdiagnoseprotokolle her. Zusätzlich zum zentralen DDoS-Schutz auf der Plattform bietet Azure DDoS Protection Standard erweiterte DDoS-Risikominderungsfunktionen gegen Netzwerkangriffe. Es ist automatisch abgestimmt, um Ihre spezifischen Azure Ressourcen zu schützen. Der Schutz lässt sich einfach während der Erstellung des neuen virtuellen Netzwerks aktivieren. Dies ist auch nach der Erstellung möglich und erfordert keine Änderungen der Anwendung oder Ressourcen. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Azure DevOps Überwachungsprotokolle (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit dem Azure DevOps Datenconnector "Überwachungsprotokolle" können Sie Überwachungsereignisse von Azure DevOps in Microsoft Sentinel aufnehmen. Dieser Datenconnector wird mit dem Microsoft Sentinel Codeless Connector Framework erstellt und stellt eine nahtlose Integration sicher. Es nutzt die Azure DevOps Überwachungsprotokoll-API zum Abrufen detaillierter Überwachungsereignisse und unterstützt DCR-basierte ingestion time transformations. Diese Transformationen ermöglichen die Analyse der empfangenen Überwachungsdaten in eine benutzerdefinierte Tabelle während der Aufnahme, wodurch die Abfrageleistung verbessert wird, da zusätzliche Analysen nicht erforderlich sind. Mithilfe dieses Connectors können Sie einen verbesserten Einblick in Ihre Azure DevOps Umgebung erhalten und Ihre Sicherheitsvorgänge optimieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ADOAuditLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure DevOps Prerequisite: Stellen Sie folgendes sicher:
    1. Registrieren Sie eine Entra-App im Microsoft Entra Admin Center unter App-Registrierungen.
    2. Fügen Sie in "API-Berechtigungen" Berechtigungen zu "Azure DevOps - vso.auditlog" hinzu.
    3. Generieren Sie in "Zertifikate & Geheime Schlüssel" "Geheimer Clientschlüssel".
    4. Fügen Sie in "Authentifizierung" den unten im entsprechenden Feld gefundenen Umleitungs-URI hinzu.
    5. Aktivieren Sie im Azure DevOps Einstellungen das Überwachungsprotokoll, und legen Sie View-Überwachungsprotokoll fest für den Benutzer. Azure DevOps Überwachung.
    6. Stellen Sie sicher, dass der Benutzer, der dem Datenconnector zugewiesen ist, die Berechtigung "Überwachungsprotokolle anzeigen" explizit auf "Zulassen" festgelegt hat. Diese Berechtigung ist für eine erfolgreiche Anmeldung unerlässlich. Wenn die Berechtigung widerrufen oder nicht erteilt wird, schlägt die Datenaufnahme fehl oder wird unterbrochen.

Azure Event Hub

Unterstützt von:Microsoft Corporation

Azure Event Hubs ist eine Big Data Streaming-Plattform und ein Ereignisaufnahmedienst. Mit diesem Dienst können Millionen von Ereignissen pro Sekunde empfangen und verarbeitet werden. Mit diesem Connector können Sie Ihre Azure Event Hub-Diagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivität kontinuierlich überwachen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Richtlinie: Besitzerrolle, die für jeden Richtlinienzuweisungsbereich zugewiesen ist

Azure Firewall

Unterstützt von:Microsoft Corporation

Stellen Sie eine Verbindung mit Azure Firewall her. Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network Ressourcen schützt. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein
AZFWApplicationRule Yes Yes
AZFWFlowTrace Yes Yes
AZFWFatFlow Yes Yes
AZFWNatRule Yes Yes
AZFWDnsQuery Yes Yes
AZFWIdpsSignature Yes Yes
AZFWInternalFqdnResolutionFailure Yes Yes
AZFWNetworkRule Yes Yes
AZFWThreatIntel Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Azure Key Vault

Unterstützt von:Microsoft Corporation

Azure Key Vault ist ein Clouddienst zum sicheren Speichern und Zugreifen auf geheime Schlüssel. Als Geheimnis wird alles bezeichnet, für das Sie den Zugriff streng kontrollieren möchten, z. B. API-Schlüssel, Kennwörter, Zertifikate oder kryptografische Schlüssel. Mit diesem Connector können Sie Ihre Azure Key Vault Diagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivität in allen Ihren Instanzen kontinuierlich überwachen können. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Azure Kubernetes Service (AKS)

Unterstützt von:Microsoft Corporation

Azure Kubernetes Service (AKS) ist ein Open-Source-, vollständig verwalteter Container-Orchestrierungsdienst, mit dem Sie Docker-Container und containerbasierte Anwendungen in einer Clusterumgebung bereitstellen, skalieren und verwalten können. Mit diesem Connector können Sie Ihre Azure Kubernetes Service (AKS) Diagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivitäten in allen Ihren Instanzen kontinuierlich überwachen können. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Azure Logic Apps

Unterstützt von:Microsoft Corporation

Azure Logic Apps ist eine cloudbasierte Plattform zum Erstellen und Ausführen automatisierter Workflows, die Ihre Apps, Daten, Dienste und Systeme integrieren. Mit diesem Connector können Sie Ihre Azure Logic Apps Diagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivität kontinuierlich überwachen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Richtlinie: Besitzerrolle, die für jeden Richtlinienzuweisungsbereich zugewiesen ist

Azure Resource Graph

Unterstützt von:Microsoft Corporation

Azure Resource Graph Connector bietet umfassendere Einblicke in Azure Ereignisse, indem Details zu Azure Abonnements und Azure Ressourcen ergänzt werden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Policy: Berechtigung "Besitzerrolle" für Azure Abonnements

Azure Service Bus

Unterstützt von:Microsoft Corporation

Azure Service Bus ist ein vollständig verwalteter Unternehmensnachrichtenbroker mit Nachrichtenwarteschlangen und Themen zum Veröffentlichen von Abonnements (in einem Namespace). Mit diesem Connector können Sie Ihre Azure Service Bus Diagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivität kontinuierlich überwachen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Richtlinie: Besitzerrolle, die für jeden Richtlinienzuweisungsbereich zugewiesen ist

Azure SQL Databases

Unterstützt von:Microsoft Corporation

Azure SQL ist ein vollständig verwaltetes, Platform-as-a-Service (PaaS)-Datenbankmodul, das die meisten Datenbankverwaltungsfunktionen verarbeitet, z. B. Upgrades, Patching, Sicherungen und Überwachung, ohne dass die Benutzer einbezogen werden müssen. Mit diesem Connector können Sie Ihre Azure SQL Datenbanküberwachungs- und Diagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivitäten in allen Ihren Instanzen kontinuierlich überwachen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Azure Storage Account

Unterstützt von:Microsoft Corporation

Azure Storage Konto ist eine Cloudlösung für moderne Datenspeicherszenarien. Es enthält alle Ihre Datenobjekte: Blobs, Dateien, Warteschlangen, Tabellen und Datenträger. Mit diesem Connector können Sie Azure Storage Kontodiagnoseprotokollen in Ihren Microsoft Sentinel Arbeitsbereich streamen, sodass Sie aktivitäten in allen Ihren Instanzen kontinuierlich überwachen und schädliche Aktivitäten in Ihrer Organisation erkennen können. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureMetrics Nein Nein
StorageBlobLogs Yes Yes
StorageQueueLogs Yes Yes
StorageTableLogs Yes Yes
StorageFileLogs Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Richtlinie: Besitzerrolle, die für jeden Richtlinienzuweisungsbereich zugewiesen ist

Azure Stream Analytics

Unterstützt von:Microsoft Corporation

Azure Stream Analytics ist ein Echtzeitanalysemodul und ein komplexes Ereignisverarbeitungsmodul, das entwickelt wurde, um hohe Mengen schneller Streamingdaten aus mehreren Quellen gleichzeitig zu analysieren und zu verarbeiten. Mit diesem Connector können Sie Ihre Azure Stream Analytics Hubdiagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivität kontinuierlich überwachen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Richtlinie: Besitzerrolle, die für jeden Richtlinienzuweisungsbereich zugewiesen ist

Azure Web Application Firewall (WAF)

Unterstützt von:Microsoft Corporation

Stellen Sie eine Verbindung mit dem Azure Web Application Firewall (WAF) für Anwendungsgateway, Front Door oder CDN her. Diese Web Application Firewall schützt Ihre Anwendungen vor gängigen Sicherheitsrisiken im Web wie Einschleusung von SQL-Befehlen und Cross-Site-Scripting und ermöglicht Ihnen, Regeln anzupassen, um falsch positive Ergebnisse zu verringern. Anweisungen zum Streamen Ihrer Microsoft-Webanwendungsfirewall in Microsoft Sentinel werden während des Installationsvorgangs angezeigt. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

BETTER Mobile Bedrohungsverteidigung (MTD)

Unterstützt von:Better Mobile Security Inc.

Der BETTER MTD Connector ermöglicht Es Unternehmen, ihre better MTD-Instanzen mit Microsoft Sentinel zu verbinden, ihre Daten in Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen, es zu verwenden, um Playbooks auszulösen und Bedrohungssuchefunktionen zu erweitern. Dies bietet Benutzern mehr Einblick in die mobilen Geräte ihrer Organisation und die Möglichkeit, den aktuellen Sicherheitsstatus für Mobilgeräte schnell zu analysieren, was ihre gesamten SecOps-Fähigkeiten verbessert.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
BetterMTDIncidentLog_CL Nein Nein
BetterMTDDeviceLog_CL Nein Nein
BetterMTDNetflowLog_CL Nein Nein
BetterMTDAppLog_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

BeyondTrust PM Cloud

Unterstützt von:BeyondTrust

Der Datenconnector "BeyondTrust Privilege Management Cloud" bietet die Möglichkeit, Aktivitätsüberwachungsprotokolle und Clientereignisprotokolle aus BeyondTrust PM Cloud in Microsoft Sentinel aufzunehmen.

Dieser Connector verwendet Azure Functions, um Daten aus der BeyondTrust PM Cloud-API abzurufen und in benutzerdefinierte Log Analytics Tabellen aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
BeyondTrustPM_ActivityAudits_CL Nein Nein
BeyondTrustPM_ClientEvents_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • BeyondTrust PM Cloud API-Anmeldeinformationen: BeyondTrust PM Cloud OAuth Client ID und Geheimer Clientschlüssel sind erforderlich. Für das API-Konto sind die folgenden Berechtigungen erforderlich: Überwachung – Schreibgeschützt und Berichterstellung – Schreibgeschützt

BigID DSPM Connector

Unterstützt von:BigID

Der BigID DSPM-Datenconnector bietet die Möglichkeit, BigID DSPM-Fälle mit betroffenen Objekten und Datenquelleninformationen in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
BigIDDSPMCatalog_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • BigID DSPM-API-Zugriff: Der Zugriff auf die BigID DSPM-API über ein BigID-Token ist erforderlich.

Bitglass (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Bitglass-Datenconnector bietet die Möglichkeit, Sicherheitsereignisprotokolle der Bitglass-Dienste und weitere Ereignisse über die REST-API in Microsoft Sentinel abzurufen. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
BitglassLogs_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: BitglassToken und BitglassServiceURL sind für API-Aufrufe erforderlich.

Bitsight-Datenconnector (mit Azure Functions)

Unterstützt von:BitSight Support

Der BitSight Data Connector unterstützt nachweisbasierte Cyberrisikoüberwachung, indem BitSight-Daten in Microsoft Sentinel bereitgestellt werden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
BitsightAlerts_data_CL Yes Yes
BitsightBreaches_data_CL Yes Yes
BitsightCompany_details_CL Yes Yes
BitsightCompany_rating_details_CL Yes Yes
BitsightDiligence_historical_statistics_CL Yes Yes
BitsightDiligence_statistics_CL Yes Yes
BitsightFindings_data_CL Yes Yes
BitsightFindings_summary_CL Yes Yes
BitsightGraph_data_CL Yes Yes
BitsightIndustrial_statistics_CL Yes Yes
BitsightObservation_statistics_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: BitSight-API-Token ist erforderlich. Weitere Informationen zum API-Token finden Sie in der Dokumentation.

Bitwarden-Ereignisprotokolle

Unterstützt von:Bitwarden Inc

Dieser Connector bietet Einblicke in die Aktivitäten Ihrer Bitwarden-Organisation, z. B. die Aktivität des Benutzers (angemeldet, Kennwort geändert, 2fa usw.), Verschlüsselungsaktivitäten (erstellt, aktualisiert, gelöscht, freigegeben usw.), Sammlungsaktivitäten, Organisationsaktivitäten und vieles mehr.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
BitwardenEventLogs Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Bitwarden-Client-ID und geheimer Clientschlüssel: Ihr API-Schlüssel finden Sie in der Verwaltungskonsole der Bitwarden-Organisation. Weitere Informationen finden Sie in der Bitwarden-Dokumentation .

Box (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Box-Datenconnector bietet die Möglichkeit, Box Enterprise-Ereignisse mithilfe der Box-REST-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Box-Dokumentation .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
BoxEvents_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Box-API-Anmeldeinformationen: Box config JSON-Datei ist für box REST API JWT-Authentifizierung erforderlich. Weitere Informationen finden Sie unter JWT-Authentifizierung.

Box-Ereignisse (CCF)

Unterstützt von:Microsoft Corporation

Der Box-Datenconnector bietet die Möglichkeit, Box Enterprise-Ereignisse mithilfe der Box-REST-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Box-Dokumentation .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
BoxEventsV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Box-API-Anmeldeinformationen: Die Box-API erfordert eine Box-App-Client-ID und einen geheimen Clientschlüssel, um sich zu authentifizieren. Weitere Informationen finden Sie unter Clientanmeldeinformationen gewähren
  • Box Enterprise ID: Box Enterprise ID ist erforderlich, um die Verbindung herzustellen. Informationen zur Suche nach Unternehmens-ID finden Sie in der Dokumentation

Check Point CloudGuard CNAPP Connector für Microsoft Sentinel

Unterstützt von:Check Point

Der CloudGuard-Datenconnector ermöglicht die Aufnahme von Sicherheitsereignissen aus der CloudGuard-API in Microsoft Sentinel ™ mithilfe des Codeless Connector Framework von Microsoft Sentinel. Der Connector unterstützt DCR-basierte Aufnahmezeittransformationen , die eingehende Sicherheitsereignisdaten in benutzerdefinierte Spalten analysieren. Durch diesen Vorabanalyseprozess wird die Notwendigkeit der Abfragezeitanalyse beseitigt, was zu einer verbesserten Leistung für Datenabfragen führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CloudGuard_SecurityEvents_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • CloudGuard API Key: Lesen Sie die hier angegebenen Anweisungen, um einen API-Schlüssel zu generieren.

Check Point Cyberint Alerts Connector (über Codeless Connector Framework)

Unterstützt von:Cyberint

Cyberint, ein Check Point-Unternehmen, bietet eine Microsoft Sentinel Integration, um kritische Warnungen zu optimieren und erweiterte Bedrohungsintelligenz aus der Infinity External Risk Management-Lösung in Microsoft Sentinel zu bringen. Dies vereinfacht das Nachverfolgen des Status von Tickets mit automatischen Synchronisierungsupdates über Systeme hinweg. Mit dieser neuen Integration für Microsoft Sentinel können bestehende Cyberint- und Microsoft Sentinel-Kunden auf einfache Weise Protokolle basierend auf den Erkenntnissen von Cyberint in Microsoft Sentinel Plattform abrufen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
argsentdc_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Check Point Cyberint API Key, Argos URL und Kundenname: Der Connector-API-Schlüssel, die Argos-URL und der Kundenname sind erforderlich.

Check Point Cyberint IOC Connector

Unterstützt von:Cyberint

Dies ist der Datenkonnektor für Check Point Cyberint IOC.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
iocsent_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Check Point Cyberint API Key und Argos URL: Der Connector-API-Schlüssel und die Argos-URL sind erforderlich.

Cisco ASA/FTD über AMA

Unterstützt von:Microsoft Corporation

Mit dem Cisco ASA Firewall Connector können Sie Ihre Cisco ASA-Protokolle ganz einfach mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. So erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommonSecurityLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Um Daten von nicht Azure VMs zu sammeln, müssen sie Azure Arc installiert und aktiviert haben. Weitere Informationen

Cisco Cloud Security (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Mit der Cisco Cloud Security-Lösung für Microsoft Sentinel können Sie Cisco Secure Access und Cisco Umbrellalogs in Amazon S3 in Microsoft Sentinel mithilfe der Amazon S3 REST-API speichern. Weitere Informationen finden Sie in der Dokumentation zur Protokollverwaltung von Cisco Cloud Security .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Cisco_Umbrella_dns_CL Yes Yes
Cisco_Umbrella_proxy_CL Yes Yes
Cisco_Umbrella_ip_CL Yes Yes
Cisco_Umbrella_cloudfirewall_CL Nein Nein
Cisco_Umbrella_firewall_CL Nein Nein
Cisco_Umbrella_dlp_CL Nein Nein
Cisco_Umbrella_ravpnlogs_CL Nein Nein
Cisco_Umbrella_audit_CL Nein Nein
Cisco_Umbrella_ztna_CL Nein Nein
Cisco_Umbrella_intrusion_CL Nein Nein
Cisco_Umbrella_ztaflow_CL Nein Nein
Cisco_Umbrella_fileevent_CL Nein Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Amazon S3 REST API-Anmeldeinformationen/Berechtigungen: AWS Access Key ID, AWS Secret Access Key, AWS S3 Bucket Name sind für Amazon S3 REST API erforderlich.

Cisco Cloud Security (unter Verwendung Azure Functions)

Unterstützt von:Microsoft Corporation

Der Cisco Umbrella-Datenconnector bietet die Möglichkeit, Cisco Umbrella Ereignisse, die in Amazon S3 gespeichert sind, mithilfe der Amazon S3 REST-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Dokumentation zur Cisco Umbrella-Protokollverwaltung .

NOTE: Dieser Datenconnector verwendet den Azure Functions Premium-Plan um sichere Aufnahmefunktionen zu ermöglichen und zusätzliche Kosten zu verursachen. Weitere Preisdetails finden Sie hier.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Cisco_Umbrella_dns_CL Yes Yes
Cisco_Umbrella_proxy_CL Yes Yes
Cisco_Umbrella_ip_CL Yes Yes
Cisco_Umbrella_cloudfirewall_CL Nein Nein
Cisco_Umbrella_firewall_CL Nein Nein
Cisco_Umbrella_dlp_CL Nein Nein
Cisco_Umbrella_ravpnlogs_CL Nein Nein
Cisco_Umbrella_audit_CL Nein Nein
Cisco_Umbrella_ztna_CL Nein Nein
Cisco_Umbrella_intrusion_CL Nein Nein
Cisco_Umbrella_ztaflow_CL Nein Nein
Cisco_Umbrella_fileevent_CL Nein Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Amazon S3 REST API-Anmeldeinformationen/Berechtigungen: AWS Access Key ID, AWS Secret Access Key, AWS S3 Bucket Name sind für Amazon S3 REST API erforderlich.
  • Virtual Network Berechtigungen (für den privaten Zugriff): Für den Zugriff auf private Speicherkonten sind Network-Mitwirkender Berechtigungen für die Virtual Network und das Subnetz erforderlich. Das Subnetz muss an microsoft.Web/serverFarms für die VNet-Integration von Function App delegiert werden.

Cisco Duo Security (mit Azure Functions)

Unterstützt von:Cisco Systems

Der Cisco Duo Security-Datenconnector bietet die Möglichkeit, Authentication-Protokolle, administratorprotokolle zu aufnehmen, telephony logs, offline enrollment logs and Trust Monitor events into Microsoft Sentinel using the Cisco Duo Admin API. Weitere Informationen hierzu finden Sie in der Dokumentation zur API.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CiscoDuo_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Cisco Duo-API-Anmeldeinformationen: Cisco Duo-API-Anmeldeinformationen mit Berechtigungserteilungsprotokoll sind für die Cisco Duo-API erforderlich. Weitere Informationen zum Erstellen von Cisco Duo-API-Anmeldeinformationen finden Sie in der Dokumentation .

Cisco ETD (mit Azure Functions)

Unterstützt von:N/A

Der Connector ruft Daten aus der ETD-API für die Bedrohungsanalyse ab.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CiscoETD_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • API für E-Mail Threat Defense, API-Schlüssel, Client-ID und geheimer Schlüssel: Stellen Sie sicher, dass Sie über den API-Schlüssel, die Client-ID und den geheimen Schlüssel verfügen.

Cisco Meraki (mit REST-API)

Unterstützt von:Microsoft Corporation

Mit dem Connector Cisco Meraki können Sie Ihre Cisco Meraki-Organisationsereignisse (Sicherheitsereignisse, Konfigurationsänderungen und API-Anforderungen) problemlos mit Microsoft Sentinel verbinden. Der Datenconnector verwendet die Cisco Meraki REST-API zum Abrufen von Protokollen und unterstützt DCR-basierte ingestion time transformations die die empfangenen Daten analysiert und in ASIM und benutzerdefinierte Tabellen in Ihrem Log Analytics Arbeitsbereich erfasst. Dieser Datenkonnektor profitiert von Funktionen wie dcR-basiertem Erfassungszeitfiltern, Datennormalisierung.

Unterstütztes ASIM-Schema:

  1. Netzwerksitzung
  2. Websitzung
  3. Überwachungsereignis

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ASimNetworkSessionLogs Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Cisco Meraki REST API Key: Aktivieren des API-Zugriffs in Cisco Meraki und Generieren von API-Schlüssel. Weitere Informationen finden Sie in der offiziellen Dokumentation von Cisco Meraki.
  • Cisco Meraki Organization Id: Rufen Sie Ihre Cisco Meraki-Organisations-ID ab, um Sicherheitsereignisse abzurufen. Führen Sie die Schritte in der Dokumentation aus, um die Organisations-ID mithilfe des im vorherigen Schritt abgerufenen Meraki-API-Schlüssels abzurufen.

Cisco Secure Endpoint (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Cisco Secure Endpoint-Datenconnector (früher AMP für Endpunkte) bietet die Möglichkeit, Cisco Secure Endpoint audit logs und events in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CiscoSecureEndpointAuditLogsV2_CL Yes Yes
CiscoSecureEndpointEventsV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Cisco Secure Endpoint API Credentials/Regions: Um API-Anmeldeinformationen zu erstellen und die Regionen zu verstehen, folgen Sie dem hier bereitgestellten Dokumentlink. Click here.

Cisco Software definiertes WAN

Unterstützt von:Cisco Systems

Der Cisco Software Defined WAN(SD-WAN)-Datenconnector bietet die Möglichkeit, Cisco SD-WAN Syslog- und Netflow-Daten in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Syslog Yes Yes
CiscoSDWANNetflow_CL Nein Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Claroty xDome

Unterstützt von:xDome Customer Support

Claroty xDome bietet umfassende Sicherheits- und Warnungsverwaltungsfunktionen für Gesundheits- und Industrienetzwerkumgebungen. Es wurde entwickelt, um mehrere Quelltypen zuzuordnen, die gesammelten Daten zu identifizieren und in Microsoft Sentinel Datenmodelle zu integrieren. Dies führt dazu, dass alle potenziellen Bedrohungen in Ihrer Umgebung für das Gesundheitswesen und die Industrie von einem Ort aus überwacht werden können, was zu einer effektiveren Sicherheitsüberwachung und einer stärkeren Sicherheitslage führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommonSecurityLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Cloudflare (Vorschau) (mit Azure Functions)

Unterstützt von:Cloudflare

Der Cloudflare-Datenconnector bietet die Möglichkeit, Cloudflare-Protokolle mithilfe des Cloudflare Logpush und Azure Blob Storage in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Cloudflare-Dokumentation.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Cloudflare_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Azure Blob Storage connection string und Containername: Azure Blob Storage connection string und Containername, an den die Protokolle von Cloudflare Logpush übertragen werden. Weitere Informationen finden Sie unter Creating Azure Blob Storage container.

Cloudflare (Verwendung von Blob Container) (über Codeless Connector Framework)

Unterstützt von:Cloudflare

Der Cloudflare-Datenconnector bietet die Möglichkeit, Cloudflare-Protokolle mithilfe von Cloudflare Logpush und Azure Blob Storage in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Cloudflare-Dokumentation.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CloudflareV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Create a storage account and a container: Before setting up logpush in Cloudflare, first create a storage account and a container in Microsoft Azure. Nutzen Sie diesen Leitfaden, um mehr über Container und Blob zu erfahren. Führen Sie die Schritte im documentation aus, um ein Azure Storage Konto zu erstellen.
  • Generieren Sie eine BLOB SAS-URL: Erstellen und Schreiben von Berechtigungen sind erforderlich. Siehe die Dokumentation , um mehr über den Blob SAS-Token und die URL zu erfahren.
  • Sammeln von Protokollen von Cloudflare in Ihrem Blob-Container: Führen Sie die Schritte in der Dokumentation zum Sammeln von Protokollen von Cloudflare zu Ihrem Blob-Container aus.

Kognni

Unterstützt von:Cognni

Der Cognni Connector bietet eine schnelle und einfache Integration mit Microsoft Sentinel. Sie können Cognni verwenden, um zuvor nicht klassifizierte wichtige Informationen autonom zuzuordnen und in Beziehung stehende Incidents zu erkennen. So können Sie Risiken für Ihre wichtigen Informationen erkennen, den Schweregrad der Vorfälle zu verstehen und die Details zu untersuchen, die Sie benötigen, um Abhilfe zu schaffen – und zwar schnell genug, um etwas zu bewirken.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CognniIncidents_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Cohesity (using Azure Functions)

Unterstützt von:Cohesity

Die Cohesity-Funktions-Apps bieten die Möglichkeit, Cohesity Datahawk Ransomware-Warnungen in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Cohesity_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Azure Blob Storage connection string und Containername: Azure Blob Storage connection string und Containername

CommvaultSecurityIQ

Unterstützt von:Commvault

Mit dieser Azure-Funktion können Commvault-Benutzer Warnungen/Ereignisse in ihre Microsoft Sentinel Instanz aufnehmen. Mit Analyseregeln können Microsoft Sentinel automatisch Microsoft Sentinel Vorfälle aus eingehenden Ereignissen und Protokollen erstellen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommvaultSecurityIQ_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Commvault Environment Endpoint URL: Stellen Sie sicher, dass Sie der Dokumentation folgen und den geheimen Wert in KeyVault festlegen.
  • Commvault QSDK Token: Achten Sie darauf, die Dokumentation zu befolgen und den geheimen Wert in KeyVault festzulegen.

ContrastADR

Unterstützt von:Contrast Security

Der ContrastADR-Datenconnector bietet die Möglichkeit, Kontrast-ADR-Angriffsereignisse mithilfe des ContrastADR-Webhooks in Microsoft Sentinel aufzunehmen. ContrastADR Data Connector kann die eingehenden Webhook-Daten mit ContrastADR API-Anreicherungsaufrufen bereichern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ContrastADR_CL Nein Nein
ContrastADRIncident_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

Corelight-Steckverbinder-Exporteur

Unterstützt von:Corelight

Der Corelight-Datenkonnektor ermöglicht Incident Respondern und Bedrohungssuchern, die Microsoft Sentinel verwenden, um schneller und effektiver zu arbeiten. Der Datenconnector ermöglicht die Erfassung von Ereignissen von Zeek und Suricata über Corelight Sensors in Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Corelight Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Cortex XDR - Vorfälle

Unterstützt von:DEFEND Ltd.

Benutzerdefinierter Datenconnector von DEFEND, um die Cortex-API zu nutzen, um Vorfälle von der Cortex XDR-Plattform in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CortexXDR_Incidents_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Cortex-API-Anmeldeinformationen: Cortex-API-Token ist für REST-API erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen und folgen Sie den Anleitungen um Zugangsdaten zu erhalten.

Cribl

Unterstützt von:Cribl

Mit dem Cribl Connector können Sie ihre Cribl-Protokolle (Cribl Enterprise Edition - Standalone) problemlos mit Microsoft Sentinel verbinden. Dadurch erhalten Sie mehr Sicherheitseinblicke in die Datenpipelines Ihrer Organisation.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CriblInternal_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

CrowdStrike API Data Connector (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der CrowdStrike Data Connector ermöglicht das Aufnehmen von Protokollen aus der CrowdStrike-API in Microsoft Sentinel. Dieser Connector bietet die Möglichkeit, CrowdStrike Alerts aufzunehmen, Detections, Hosts, Cases und Vulnerabilities in Microsoft Sentinel. Dieser Connector basiert auf dem Microsoft Sentinel Codeless Connector Framework und verwendet die CrowdStrike-API zum Abrufen von Protokollen. Sie unterstützt DCR-basierte Zeittransformationen, sodass Abfragen effizienter ausgeführt werden können. Weitere Informationen finden Sie in der CrowdStrike-API-Dokumentation .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CrowdStrikeAlerts Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Crowdstrike OAuth2-API-Client und -Bereiche: Warnungen, API-Integrationen, App-Protokolle, Fälle, Korrelationsregeln, Erkennungen, Hosts, Objekte, Vorfälle, isolierte Dateien, Sicherheitsrisiken sind für REST-API erforderlich. Weitere Informationen finden Sie unter API.

CrowdStrike Falcon Adversary Intelligence (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der CrowdStrike Falcon Indicators of Compromise Connector ruft die Indikatoren des Kompromittierungs von der Falcon Intel API ab und lädt sie Microsoft Sentinel Threat Intel hoch.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelIndicators Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • CrowdStrike-API-Client-ID und geheimer Clientschlüssel: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. CrowdStrike-Anmeldeinformationen müssen über den Lesebereich "Indicators" (Falcon Intelligence) verfügen.

CrowdStrike Falcon Data Replicator (AWS S3) (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Crowdstrike Falcon Data Replicator (S3)-Connector bietet die Möglichkeit, FDR-Ereignisdaten in Microsoft Sentinel aus dem AWS S3-Bucket aufzunehmen, in dem die FDR-Protokolle gestreamt wurden. Der Connector bietet die Möglichkeit, Ereignisse von Falcon Agents abzurufen, um potenzielle Sicherheitsrisiken zu untersuchen, die Verwendung der Zusammenarbeit durch Ihr Team zu analysieren, Konfigurationsprobleme zu diagnostizieren und mehr.

NOTE:

1. CrowdStrike FDR-Lizenz muss verfügbar und aktiviert sein.

2. Der Connector erfordert, dass eine IAM-Rolle auf AWS konfiguriert wird, um den Zugriff auf den AWS S3-Bucket zu ermöglichen und ist möglicherweise nicht für Umgebungen geeignet, die CrowdStrike - verwaltete Buckets nutzen.

3. Für Umgebungen, die CrowdStrike-verwaltete Buckets nutzen, konfigurieren Sie bitte den CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3) -Connector.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CrowdStrike_Additional_Events_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (using Azure Functions)

Unterstützt von:Microsoft Corporation

Dieser Connector ermöglicht die Aufnahme von FDR-Daten in Microsoft Sentinel mithilfe von Azure Functions zur Unterstützung der Bewertung potenzieller Sicherheitsrisiken, der Analyse von Zusammenarbeitsaktivitäten, der Identifizierung von Konfigurationsproblemen und anderen betrieblichen Erkenntnissen.

NOTE:

1. CrowdStrike FDR-Lizenz muss verfügbar und aktiviert sein.

2. Der Connector verwendet eine schlüssel- und geheime Authentifizierung und eignet sich für CrowdStrike Managed Buckets.

3. Für Umgebungen, die einen vollständigen AWS S3-Bucket verwenden, empfiehlt Microsoft die Verwendung des CrowdStrike Falcon Data Replicator (AWS S3) -Connectors.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CrowdStrikeReplicatorV2 Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • SQS- und AWS S3-Kontoanmeldeinformationen/Berechtigungen: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL sind erforderlich. Weitere Informationen finden Sie unter Daten pulling. Wenden Sie sich zunächst an den CrowdStrike-Support. Auf Anfrage erstellen sie einen crowdStrike managed Amazon Web Services (AWS) S3 Bucket für kurzfristige Speicherzwecke sowie ein SQS-Konto (simple Queue Service) zur Überwachung von Änderungen am S3-Bucket.

CTERA Syslog

Unterstützt von:CTERA

Der CTERA Data Connector für Microsoft Sentinel bietet Überwachungs- und Bedrohungserkennungsfunktionen für Ihre CTERA-Lösung. Er enthält eine Arbeitsmappe, die die Summe aller Vorgänge pro Typ, Löschvorgänge und Vorgänge mit verweigertem Zugriff visualisiert. Er bietet zudem Analyseregeln, die Ransomware-Vorfälle erkennen und Sie benachrichtigen, wenn Benutzende aufgrund verdächtiger Ransomware-Aktivitäten blockiert werden. Darüber hinaus hilft er Ihnen, kritische Muster wie Massenereignisse vom Typ „Zugriff verweigert“, Massenlöschungen und Massenberechtigungsänderungen zu identifizieren und dadurch proaktives Bedrohungsmanagement und entsprechende Reaktionen zu ermöglichen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Syslog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Benutzerdefinierte Protokolle über AMA

Unterstützt von:Microsoft Corporation

Viele Anwendungen protokollieren Informationen in Text- oder JSON-Dateien anstelle von Standardprotokollierungsdiensten, z. B. Windows Ereignisprotokolle, Syslog oder CEF. Mit dem Connector für benutzerdefinierte Protokolle können Sie Ereignisse aus Dateien auf Windows- und Linux-Computern sammeln und sie in benutzerdefinierte Protokolltabellen streamen, die Sie erstellt haben. Beim Streamen der Daten können Sie die Inhalte mithilfe des DCR analysieren und transformieren. Nach dem Sammeln der Daten können Sie Analyseregeln, Suche, Suche, Bedrohungserkennung, Anreicherungen und vieles mehr anwenden.

HINWEIS: Verwenden Sie diesen Connector für die folgenden Geräte: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP Server, Apache Tomcat, Jboss Enterprise-Anwendungsplattform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP Server, Oracle Weblogic Server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat Detection SAP und AI vectra Stream.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
JBossEvent_CL Nein Nein
JuniperIDP_CL Yes Yes
ApacheHTTPServer_CL Yes Yes
Tomcat_CL Yes Yes
meraki_CL Yes Yes
VectraStream_CL Nein Nein
MarkLogicAudit_CL Nein Nein
MongoDBAudit_CL Yes Yes
NGINX_CL Yes Yes
OracleWebLogicServer_CL Yes Yes
PostgreSQL_CL Yes Yes
SquidProxy_CL Yes Yes
Ubiquiti_CL Yes Yes
vcenter_CL Yes Yes
ZPA_CL Yes Yes
SecurityBridgeLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Permissions: Um Daten von nicht Azure VMs zu sammeln, müssen sie Azure Arc installiert und aktiviert haben. Weitere Informationen

Cyber Blind Spot Integration (mit Azure Functions)

Unterstützt von:Cyber Threat Management 360

Durch die API-Integration haben Sie die Möglichkeit, alle Probleme im Zusammenhang mit Ihren CBS-Organisationen über eine RESTful-Schnittstelle abzurufen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CBSLog_Azure_1_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

CyberArkAudit (mit Azure Functions)

Unterstützt von:CyberArk Support

Der CyberArk Audit-Datenconnector bietet die Möglichkeit, Sicherheitsereignisprotokolle des CyberArk Audit-Diensts und weitere Microsoft Sentinel Ereignisse über die REST-API abzurufen. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CyberArk_AuditEvents_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Details und Anmeldeinformationen für REST-API-Verbindungen überwachen: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint und AuditApiBaseUrl sind für API-Aufrufe erforderlich.

Cybersixgill Actionable Alerts (using Azure Functions)

Unterstützt von:Cybersixgill

Handlungsrelevante Benachrichtigungen bieten angepasste Benachrichtigungen basierend auf konfigurierten Ressourcen

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CyberSixgill_Alerts_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Client_ID und Client_Secret sind für API-Aufrufe erforderlich.

Cyble Vision Alerts

Unterstützt von:Cyble Support

Der Cyble Vision Alerts CCF Data Connector ermöglicht das Aufnehmen von Bedrohungswarnungen von Cyble Vision in Microsoft Sentinel mithilfe des Konnektorconnectors Codeless Connector. Sie sammelt Warnungsdaten über API, normalisiert sie und speichert sie in einer benutzerdefinierten Tabelle für erweiterte Erkennung, Korrelation und Reaktion.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CybleVisionAlerts_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Cyble Vision API-Token: Ein API-Token von Cyble Vision Platform ist erforderlich.

Cyborg Security HUNTER Hunt Pakete

Unterstützt von:Cyborg Security

Cyborg Security ist ein führender Anbieter fortschrittlicher Lösungen für die Bedrohungssuche, der es sich zur Aufgabe gemacht hat, Organisationen mit modernster Technologie sowie mit Zusammenarbeitstools zu unterstützen, um Cyberbedrohungen proaktiv zu erkennen und auf sie zu reagieren. Die HUNTER-Plattform ist das Aushängeschild von Cyborg Security. Sie kombiniert leistungsstarke Analysen, kuratierte Inhalte für die Bedrohungssuche und umfassende Suchverwaltungsfunktionen, um ein dynamisches Ökosystem für eine effektive Bedrohungssuche zu schaffen.

Führen Sie die Schritte aus, um Zugang zur Community von Cyborg Security zu erhalten und die Funktion „Open in Tool“ (In Tool öffnen) in der HUNTER-Plattform einzurichten.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityEvent Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

CYFIRMA Attack Surface

Unterstützt von:CYFIRMA

N/A

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CyfirmaASCertificatesAlerts_CL Yes Yes
CyfirmaASConfigurationAlerts_CL Yes Yes
CyfirmaASDomainIPReputationAlerts_CL Yes Yes
CyfirmaASOpenPortsAlerts_CL Yes Yes
CyfirmaASCloudWeaknessAlerts_CL Yes Yes
CyfirmaASDomainIPVulnerabilityAlerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

CYFIRMA Markenintelligenz

Unterstützt von:CYFIRMA

N/A

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CyfirmaBIDomainITAssetAlerts_CL Yes Yes
CyfirmaBIExecutivePeopleAlerts_CL Yes Yes
CyfirmaBIProductSolutionAlerts_CL Yes Yes
CyfirmaBISocialHandlersAlerts_CL Yes Yes
CyfirmaBIMaliciousMobileAppsAlerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

CYFIRMA Kompromittierte Konten

Unterstützt von:CYFIRMA

Der Datenconnector "Kompromittierte Konten" ermöglicht die nahtlose Erfassung der DeCYFIR/DeTCT-API in Microsoft Sentinel. Basierend auf dem Microsoft Sentinel Codeless Connector Framework nutzt es die DeCYFIR/DeTCT-API zum Abrufen von Protokollen. Darüber hinaus unterstützt es DCR-basierte Aufnahmezeittransformationen, die Sicherheitsdaten während der Aufnahme in eine benutzerdefinierte Tabelle analysieren. Dies beseitigt die Notwendigkeit der Abfragezeitanalyse, die Leistung und Effizienz zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CyfirmaCompromisedAccounts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

CYFIRMA Cyber Intelligence

Unterstützt von:CYFIRMA

Der CYFIRMA Cyber Intelligence-Datenconnector ermöglicht eine nahtlose Erfassung der DeCYFIR-API in Microsoft Sentinel. Basierend auf dem Microsoft Sentinel Codeless Connector Framework nutzt es die DeCYFIR Alerts API zum Abrufen von Protokollen. Darüber hinaus unterstützt es DCR-basierte Aufnahmezeittransformationen, die Sicherheitsdaten während der Aufnahme in eine benutzerdefinierte Tabelle analysieren. Dies beseitigt die Notwendigkeit der Abfragezeitanalyse, die Leistung und Effizienz zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CyfirmaIndicators_CL Yes Yes
CyfirmaThreatActors_CL Yes Yes
CyfirmaCampaigns_CL Yes Yes
CyfirmaMalware_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

CYFIRMA Digital Risk

Unterstützt von:CYFIRMA

Der Datenconnector "CYFIRMA Digital Risk Alerts" ermöglicht eine nahtlose Erfassung der DeCYFIR/DeTCT-API in Microsoft Sentinel. Basierend auf dem Microsoft Sentinel Codeless Connector Framework nutzt es die DeCYFIR Alerts API zum Abrufen von Protokollen. Darüber hinaus unterstützt es DCR-basierte Aufnahmezeittransformationen, die Sicherheitsdaten während der Aufnahme in eine benutzerdefinierte Tabelle analysieren. Dies beseitigt die Notwendigkeit der Abfragezeitanalyse, die Leistung und Effizienz zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CyfirmaDBWMPhishingAlerts_CL Yes Yes
CyfirmaDBWMRansomwareAlerts_CL Yes Yes
CyfirmaDBWMDarkWebAlerts_CL Yes Yes
CyfirmaSPESourceCodeAlerts_CL Yes Yes
CyfirmaSPEConfidentialFilesAlerts_CL Yes Yes
CyfirmaSPEPIIAndCIIAlerts_CL Yes Yes
CyfirmaSPESocialThreatAlerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

CYFIRMA Schwachstellenintelligenz

Unterstützt von:CYFIRMA

Der CYFIRMA Vulnerabilities Intelligence-Datenkonnektor ermöglicht eine nahtlose Anmeldung aus der DeCYFIR-API in Microsoft Sentinel. Basierend auf dem Microsoft Sentinel Codeless Connector Framework nutzt es die CYFIRMA-API zum Abrufen von Protokollen. Darüber hinaus unterstützt es DCR-basierte Aufnahmezeittransformationen, die Sicherheitsdaten während der Aufnahme in eine benutzerdefinierte Tabelle analysieren. Dies beseitigt die Notwendigkeit der Abfragezeitanalyse, die Leistung und Effizienz zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CyfirmaVulnerabilities_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Cynerio-Sicherheitsereignisse

Unterstützt von:Cynerio

Mit dem Connector Cynerio können Sie Ihre Cynerio Security Events problemlos mit Microsoft Sentinel verbinden, um IDS-Ereignisse anzuzeigen. So erhalten Sie einen besseren Einblick in den Sicherheitsstatur des Netzwerks Ihrer Organisation und können Ihre Sicherheitsprozesse verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CynerioEvent_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Cyren Threat Intelligence

Unterstützt von:Data443 Risk Mitigation, Inc.

Aufnehmen von IP-Zuverlässigkeits- und Malware-URL-Indikatoren von Cyren mithilfe des Common Connector Framework (CCF).

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Cyren_Indicators_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Cyren JWT Tokens: JWT-Token, die in Azure Key Vault gespeichert oder zur Bereitstellungszeit bereitgestellt werden.

Darktrace Connector für Microsoft Sentinel REST-API

Unterstützt von:Darktrace

Der Darktrace-REST-API-Connector verschiebt Echtzeitereignisse von Darktrace auf Microsoft Sentinel und wurde für die Verwendung mit der Darktrace-Lösung für Sentinel entwickelt. Der Connector schreibt Protokolle in eine benutzerdefinierte Protokolltabelle mit dem Titel „darktrace_model_alerts_CL“. Modellverstöße, AI Analyst-Incidents, Systemwarnungen und E-Mail-Warnungen können erfasst werden. Zusätzliche Filter können auf der Seite „Darktrace-Systemkonfiguration“ eingerichtet werden. Daten werden von Darktrace-Mastern an Sentinel gepusht.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
darktrace_model_alerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Voraussetzungen für Darktrace: Um diesen Data Connector zu verwenden, ist ein Darktrace-Master mit v5.2+ erforderlich. Daten werden an die HTTP-Datensammler-API Azure Monitor über HTTPs von Darktrace-Master-Master gesendet, daher ist ausgehende Konnektivität vom Darktrace-Master zu Microsoft Sentinel REST-API erforderlich.
  • Filtern von Darktrace-Daten: Während der Konfiguration ist es möglich, zusätzliche Filterung auf der Seite "Darktrace-Systemkonfiguration" einzurichten, um die Menge oder die Art der gesendeten Daten einzuschränken.
  • Try the Darktrace Sentinel Solution: You can get most of this connector by installing the Darktrace Solution for Microsoft Sentinel. Dadurch werden Arbeitsmappen bereitgestellt, um Warnungsdaten und Analyseregeln zu visualisieren, um automatisch Warnungen und Vorfälle aus Darktrace-Modellverletzungen und AI-Analystenvorfällen zu erstellen.

Datalake2Sentinel

Unterstützt von:Orange Cyberdefense

Diese Lösung installiert den Datalake2Sentinel-Connector, der mit dem Codeless Connector Framework erstellt wurde, und ermöglicht es Ihnen, Bedrohungserkennungsindikatoren automatisch von Datalake Orange Cyberdefense CTI-Plattform über die REST-API für Uploadindikatoren in Microsoft Sentinel aufzunehmen. Nachdem Sie die Lösung installiert haben, konfigurieren und aktivieren Sie diesen Datenconnector, indem Sie die Anleitung unter Verwalten der Lösungsansicht befolgen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Dataminr Pulse Alerts Data Connector (mit Azure Functions)

Unterstützt von:Dataminr Support

Dataminr Pulse Alerts Data Connector bringt unsere KI-gestützte Echtzeitintelligenz in Microsoft Sentinel für eine schnellere Erkennung und Reaktion auf Bedrohungen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DataminrPulse_Alerts_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Erforderliche Dataminr-Anmeldeinformationen/Berechtigungen:

a. Benutzer müssen über eine gültige Client-ID und ein gültiges Geheimnis für die Dataminr Pulse-API verfügen, um diesen Datenconnector verwenden zu können.

b. Mindestens eine Dataminr Pulse Watchlist muss auf der Dataminr Pulse-Website konfiguriert werden.

Datawiza DAP

Unterstützt von:Datawiza Technology Inc.

Verbindet die Datawiza DAP-Protokolle über die REST-API-Schnittstelle mit Azure Log Analytics

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
datawizaserveraccess_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Derdack SIGNL4

Unterstützt von:Derdack

Wenn kritische Systeme ausfallen oder Sicherheitsvorfälle auftreten, überbrückt SIGNL4 den letzten Abschnitt für Ihre Mitarbeiter, Ingenieure, IT-Administratoren und Mitarbeiter vor Ort. Es fügt Ihren Diensten, Systemen und Prozessen im Handumdrehen mobile Echtzeitwarnungen hinzu. SIGNL4 benachrichtigt durch permanentes mobiles Pushen, SMS-Text und Sprachanrufe mit Bestätigung, Nachverfolgung und Eskalation. Die integrierte Dienst- und Schichtplanung stellt sicher, dass die richtigen Personen zur richtigen Zeit alarmiert werden.

Weitere Informationen>

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityIncident Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Digital Shadows Searchlight (mit Azure Functions)

Unterstützt von:Digital Shadows

Der Connector für digitale Schattendaten stellt die Aufnahme der Vorfälle und Warnungen von Digital Shadows Searchlight in die Microsoft Sentinel mithilfe der REST-API bereit. Der Connector stellt Informationen zu Incidents und Warnungen bereit, sodass diese bei der Untersuchung, Diagnose und Analyse potenzieller Sicherheitsrisiken und Bedrohungen genutzt werden können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DigitalShadows_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Id des digitalen Schattenkontos, geheimer Schlüssel und Schlüssel ist erforderlich. Siehe die Dokumentation, um mehr über die API zu erfahren: https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

DNS

Unterstützt von:Microsoft Corporation

Mit dem DNS-Protokollconnector können Sie Ihre DNS-Analyse- und Überwachungsprotokolle ganz einfach mit Microsoft Sentinel und anderen verwandten Daten verbinden, um die Untersuchung zu verbessern.

Wenn Sie die DNS-Protokollsammlung aktivieren, können Sie:

  • Identifizieren Sie Clients, die versuchen, schädliche Domänennamen aufzulösen.
  • Identifizieren veralteter Ressourceneinträge.
  • Identifizieren Sie häufig abgefragte Domänennamen und talkative DNS-Clients.
  • Anzeigen der Anforderungslast auf DNS-Servern.
  • Anzeigen dynamischer DNS-Registrierungsfehler.

Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DnsEvents Yes Yes
DnsInventory Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Doppeldatenconnector

Unterstützt von:Doppel

Der Datenconnector basiert auf Microsoft Sentinel für Doppelereignisse und Warnungen und unterstützt DCR-basierte ingestionszeittransformationen die die empfangenen Sicherheitsereignisdaten in einer benutzerdefinierten Spalte analysiert, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DoppelTable_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft Entra Mandanten-ID, Client-ID und geheimer Clientschlüssel: Microsoft Entra ID erfordert eine Client-ID und einen geheimen Clientschlüssel, um Ihre Anwendung zu authentifizieren. Darüber hinaus ist der Zugriff auf globale Administrator-/Besitzerebene erforderlich, um die entra-registrierte Anwendung einer Rolle "Ressourcengruppenüberwachungsmetriken Publisher" zuzuweisen.
  • Requires Workspace ID, DCE-URI, DCR-ID: Sie müssen die Log Analytics Arbeitsbereichs-ID, DCE Logs Ingestion URI und DCR Unveränderliche ID für die Konfiguration abrufen.

Dragos-Benachrichtigungen über Cloud Sitestore

Unterstützt von:Dragos Inc.

Die Dragos Platform ist die führende Industrial Cyber Security-Plattform, die eine umfassende Operational Technology (OT) Cyber Threat Detection bietet, die durch unvergleichliche industrielle Cybersicherheitskompetenz aufgebaut wurde. Mit dieser Lösung können Dragos Platform-Benachrichtigungsdaten in Microsoft Sentinel angezeigt werden, sodass Sicherheitsanalysten potenzielle Cyber-Sicherheitsereignisse in ihren industriellen Umgebungen triagen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DragosAlerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Dragos Sitestore-API-Zugriff: Ein Sitestore-Benutzerkonto, das über die notification:read Berechtigung verfügt. Dieses Konto muss auch über einen API-Schlüssel verfügen, der Sentinel zur Verfügung gestellt werden kann.

Druva Events Connector

Unterstützt von:Druva Inc

Ermöglicht das Aufnehmen der Druva-Ereignisse von Druva-APIs.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DruvaSecurityEvents_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Druva-API-Zugriff: Für die Druva-API ist eine Client-ID und ein geheimer Clientschlüssel erforderlich, um sich zu authentifizieren.

Dynamics 365 Finance und Operations

Unterstützt von:Microsoft Corporation

Dynamics 365 für Finance and Operations ist eine umfassende ERP-Lösung (Enterprise Resource Planning), die Finanz- und Betriebsfunktionen kombiniert, um Unternehmen bei der Verwaltung ihres täglichen Betriebs zu unterstützen. Die Lösung bietet eine Reihe von Features, mit denen Unternehmen Workflows optimieren, Aufgaben automatisieren und Einblicke in die betriebliche Leistung gewinnen können.

Der Dynamics 365 Finance- und Betriebsdatenconnector erfasst Dynamics 365 Finance- und Betriebsadministratoraktivitäten und Überwachungsprotokolle sowie Benutzergeschäfts- und Anwendungsaktivitäten in Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
FinanceOperationsActivity_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft Entra App-Registrierung: Anwendungsclient-ID und geheimer Schlüssel für den Zugriff auf Dynamics 365 Finance und Vorgänge.

Dynamics365

Unterstützt von:Microsoft Corporation

Der Connector für Dynamics 365 Common Data Service (CDS)-Aktivitäten bietet Einblicke in Administrator-, Benutzer- und Supportaktivitäten sowie Microsoft Social Engagement-Protokollierungsereignisse. Indem Sie Dynamics 365 CRM-Protokolle mit Microsoft Sentinel verbinden, können Sie diese Daten in Arbeitsmappen anzeigen, sie verwenden, um benutzerdefinierte Warnungen zu erstellen und Ihren Untersuchungsprozess zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Dynamics365Activity Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Dynatrace-Angriffe

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace Attacks REST-API, um erkannte Angriffe in Microsoft Sentinel Log Analytics

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DynatraceAttacks_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Dynatrace-Mandant (z. B. xyz.dynatrace.com):Sie benötigen einen gültigen Dynatrace-Mandanten mit aktivierter Anwendungssicherheit , erfahren Sie mehr über die Dynatrace-Plattform.
  • Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken, das Token sollte Leseangriffe (Attacks.read) haben.

Dynatrace-Überwachungsprotokolle

Unterstützt von:Dynatrace

Dieser Connector verwendet die REST-API Dynatrace-Überwachungsprotokolle zum Aufnehmen von Mandantenüberwachungsprotokollen in Microsoft Sentinel Log Analytics

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DynatraceAuditLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten, um mehr über die Dynatrace-Plattform " Starten Ihrer kostenlosen Testversion" zu erfahren.
  • Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken, das Token sollte über Leseüberwachungsprotokolle (auditLogs.read) verfügen.

Dynatrace-Probleme

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace Problem-REST-API zum Aufnehmen von Problemereignissen in Microsoft Sentinel Log Analytics

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DynatraceProblems_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Dynatrace-Mandant (z. B. xyz.dynatrace.com): Sie benötigen einen gültigen Dynatrace-Mandanten, um mehr über die Dynatrace-Plattform " Starten Ihrer kostenlosen Testversion" zu erfahren.
  • Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken, das Token sollte Leseprobleme (Problems.read) haben.

Sicherheitsanfälligkeiten in Dynatrace Runtime

Unterstützt von:Dynatrace

Dieser Connector verwendet die Dynatrace Security Problem REST API, um erkannte Laufzeitrisiken in Microsoft Sentinel Log Analytics aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DynatraceSecurityProblems_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Dynatrace-Mandant (z. B. xyz.dynatrace.com):Sie benötigen einen gültigen Dynatrace-Mandanten mit aktivierter Anwendungssicherheit , erfahren Sie mehr über die Dynatrace-Plattform.
  • Dynatrace-Zugriffstoken: Sie benötigen ein Dynatrace-Zugriffstoken, das Token sollte lesesicherheitsprobleme (securityProblems.read) haben.

Elastic Agent (eigenständig)

Unterstützt von:Microsoft Corporation

Der Elastic Agent-Datenkonnektor bietet die Möglichkeit, Elastic Agent-Protokolle, Metriken und Sicherheitsdaten in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ElasticAgentEvent Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Schließen Sie benutzerdefinierte Voraussetzungen ein, wenn die Konnektivität erforderlich ist – andernfalls löschen Sie Zoll: Beschreibung für alle benutzerdefinierten Voraussetzungen

Ermes Browser-Sicherheitsereignisse

Unterstützt von:Ermes Cyber Security S.p.A.

Ermes Browser-Sicherheitsereignisse

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ErmesBrowserSecurityEvents_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Ermes Client-ID und geheimer Clientschlüssel: API-Zugriff in Ermes aktivieren. Bitte wenden Sie sich an den Ermes Cyber Security-Support , um weitere Informationen zu erfahren.

ESET Protect Platform (mit Azure Functions)

Unterstützt von:ESET Enterprise Integrations

Mit dem ESET Protect Platform Data Connector können Benutzer Erkennungsdaten aus ESET Protect Platform mithilfe der bereitgestellten Integration REST API einfügen. Die Integrations-REST-API wird als geplante Azure Funktions-App ausgeführt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
IntegrationTable_CL Yes Yes
IntegrationTableIncidents_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Permission zum Registrieren einer Anwendung in Microsoft Entra ID: Es sind ausreichende Berechtigungen zum Registrieren einer Anwendung bei Ihrem Microsoft Entra Mandanten erforderlich.
  • Permission, um der registrierten Anwendung eine Rolle zuzuweisen: Die Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" zur registrierten Anwendung in Microsoft Entra ID ist erforderlich.

Exchange Security Insights On-Premises-Sammler

Supported by:Community

Connector, der zum Pushen der lokalen Exchange-Sicherheitskonfiguration für Microsoft Sentinel Analyse verwendet wird

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ESIExchangeConfig_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Dienstkonto mit Organisationsverwaltungsrolle: Das Dienstkonto, das das Skript als geplante Aufgabe startet, muss organisationsverwaltung sein, um alle erforderlichen Sicherheitsinformationen abrufen zu können.
  • Detaillierte Dokumentation> Ausführliche Dokumentation zu Installationsverfahren und Nutzung finden Sie hier

Exchange Security Insights Online Collector (mit Azure Functions)

Supported by:Community

Connector, der zum Pushen Exchange Online Sicherheitskonfiguration für Microsoft Sentinel Analyse verwendet wird

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ESIExchangeOnlineConfig_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • microsoft.automation/automationaccounts permissions: Lese- und Schreibberechtigungen zum Erstellen einer Azure Automation mit einem Runbook sind erforderlich. Weitere Informationen finden Sie unter Automatisierungskonto.
  • Microsoft.Graph permissions: Groups.Read, Users.Read and Auditing.Read berechtigungen sind erforderlich, um Benutzer-/Gruppeninformationen abzurufen, die mit Exchange Online Zuordnungen verknüpft sind. Weitere Informationen finden Sie in der Dokumentation.
  • Exchange Online Berechtigungen: Exchange.ManageAsApp-Berechtigung und Global Reader oder Security Reader Rolle sind erforderlich, um die Exchange Online Sicherheitskonfiguration. Weitere Informationen finden Sie in der Dokumentation.
  • (Optional) Protokollspeicherberechtigungen: Storage Blob Data Contributor to a storage account linked to the Automation Account Managed Identity or an Application ID is obligator to store logs. Weitere Informationen finden Sie in der Dokumentation.

ExtraHop Detections Data Connector (mit Azure Functions)

Unterstützt von:ExtraHop Support

Mit dem ExtraHop Detections Data Connector können Sie Erkennungsdaten aus ExtraHop RevealX in Microsoft Sentinel über Webhook-Nutzlasten importieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ExtraHop_Detections_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • ExtraHop RevealX-Berechtigungen: Im ExtraHop RevealX-System ist Folgendes erforderlich: 1.Ihr RevealX-System muss die Firmwareversion 9.9.2 oder höher ausführen. 2.Ihr RevealX-System muss mit ExtraHop Cloud Services verbunden sein. 3.Ihr Benutzerkonto muss über systemadministratorische Berechtigungen für RevealX 360 oder vollständige Schreibberechtigungen für RevealX Enterprise verfügen.

F5 BIG-IP

Unterstützt von:F5 Networks

Mit dem F5-Firewallconnector können Sie Ihre F5-Protokolle ganz einfach mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. So erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
F5Telemetry_LTM_CL Nein Nein
F5Telemetry_system_CL Yes Yes
F5Telemetry_ASM_CL Nein Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Feedly IoC

Unterstützt von:Feedly Inc

Der Feedly IoC-Datenconnector bietet die Möglichkeit, Indikatoren für Kompromittierung (IoCs) von der Feedly-API in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
feedly_indicators_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Feedly-API-Zugriff: Der Zugriff auf die Feedly-API ist erforderlich. Sie benötigen ein Feedly-API-Token mit Zugriff auf die IoC-Streams, die Sie aufnehmen möchten. Generieren Sie Ihr API-Token unter https://feedly.com/i/team/api

Flare Push Connector

Unterstützt von:Flare

Der Connector Flare bietet die Möglichkeit, Bedrohungserkennungs- und Expositionsdaten von Flare in Microsoft Sentinel aufzunehmen. Flare identifiziert die digitalen Ressourcen Ihres Unternehmens, die aufgrund von menschlichem Fehler oder böswilligen Angriffen öffentlich verfügbar gemacht werden, einschließlich durchleckter Anmeldeinformationen, verfügbar gemachter Cloud-Buckets, Darkweb-Erwähnungen und mehr.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
FireworkV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für datensammlungsregel (DCR).
  • Flare: Berechtigung zum Konfigurieren Microsoft Sentinel Integration in Flare.

Erzwingen von DLP

Supported by:Community

Mit dem Forcepoint DLP-Connector (Verhinderung von Datenverlust) können Sie DLP-Vorfalldaten automatisch aus Forcepoint DLP in Microsoft Sentinel in Echtzeit exportieren. Dies erweitert die Sichtbarkeit von Benutzeraktivitäten und Datenverlustvorfällen, ermöglicht eine weitere Korrelation mit Daten aus Azure Workloads und anderen Feeds und verbessert die Überwachungsfähigkeit mit Arbeitsmappen innerhalb Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ForcepointDLPEvents_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Forefinder

Unterstützt von:Microsoft Corporation

Der Forefinder-Datenkonnektor bietet die Möglichkeit, Forefinder-Ereignisse in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Forefinder-Dokumentation .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ForescoutEvent Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Forefinder Host Property Monitor

Unterstützt von:Microsoft Corporation

Mit dem Forefinder Host Property Monitor-Connector können Sie Hosteigenschaften von der Forefinder-Plattform mit Microsoft Sentinel verbinden, benutzerdefinierte Vorfälle anzeigen, erstellen und die Untersuchung verbessern. So erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und können Ihre Sicherheitsprozesse verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ForescoutHostProperties_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Forefinder Plugin-Anforderung: Stellen Sie sicher, dass das Forefinder Microsoft Sentinel Plugin auf der Forefinder-Plattform ausgeführt wird.

Fortinet FortiNDR Cloud

Unterstützt von:Fortinet

Der Fortinet FortiNDR Cloud-Datenconnector bietet die Möglichkeit, Fortinet FortiNDR Cloud Daten mithilfe der FortiNDR Cloud-API in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
FncEventsSuricata_CL Nein Nein
FncEventsObservation_CL Nein Nein
FncEventsDetections_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • MetaStream-Anmeldeinformationen: AWS Access Key ID, AWS Secret Access Key, FortiNDR Cloud Account Code sind erforderlich, um Ereignisdaten abzurufen.
  • API-Anmeldeinformationen: FortiNDR-Cloud-API-Token, FortiNDR Cloud Account UUID sind erforderlich, um Erkennungsdaten abzurufen.

Garrison ULTRA Remote Logs (using Azure Functions)

Unterstützt von:Garrison

Mit dem Garrison ULTRA Remoteprotokolle-Connector können Sie Garrison ULTRA-Remoteprotokolle in Microsoft Sentinel aufnehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Garrison_ULTRARemoteLogs_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Garrison ULTRA: Um diesen Datenconnector zu verwenden, müssen Sie über eine aktive Garrison ULTRA-Lizenz verfügen.

GCP Cloud Run (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der GCP Cloud Run-Datenconnector bietet die Möglichkeit, Cloud Run-Anforderungsprotokolle mithilfe von Pub/Sub in Microsoft Sentinel aufzunehmen. Weitere Details finden Sie in der Übersicht über die Cloudausführung .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPCloudRun Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

GCP Cloud SQL (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der GCP Cloud SQL-Datenconnector bietet die Möglichkeit, Überwachungsprotokolle mithilfe der GCP Cloud SQL-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Dokumentation zu GCP-Cloud-SQL-Überwachungsprotokollen .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPCloudSQL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

GCP Pub/Sub Audit-Protokolle

Unterstützt von:Microsoft Corporation

Mit den Google Cloud Platform (GCP)-Überwachungsprotokollen, die vom Connector Microsoft Sentinel aufgenommen werden, können Sie drei Arten von Überwachungsprotokollen erfassen: Administratoraktivitätsprotokolle, Datenzugriffsprotokolle und Zugriffstransparenzprotokolle. Die Google Cloud-Überwachungsprotokolle zeichnen einen Weg auf, den Praktiker verwenden können, um den Zugriff zu überwachen und potenzielle Bedrohungen über Die Google Cloud Platform (GCP)-Ressourcen hinweg zu erkennen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPAuditLogs Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

GCP Pub/Sub Load Balancer Logs (via Codeless Connector Framework).

Unterstützt von:Microsoft Corporation

Google Cloud Platform (GCP) Load Balancer Protokolle bieten detaillierte Einblicke in den Netzwerkdatenverkehr und erfassen sowohl eingehende als auch ausgehende Aktivitäten. Diese Protokolle werden verwendet, um Zugriffsmuster zu überwachen und potenzielle Sicherheitsbedrohungen über GCP-Ressourcen hinweg zu identifizieren. Darüber hinaus enthalten diese Protokolle auch GCP-Web Application Firewall (WAF)-Protokolle, wodurch die Möglichkeit verbessert wird, Risiken effektiv zu erkennen und zu mindern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPLoadBalancerLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

GCP Pub/Sub FEATURE FLOW Logs (via Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit den VPC Flow Logs der Google Cloud Platform (GCP) können Sie Netzwerkverkehr auf VPC-Ebene erfassen, sodass Sie Zugriffsmuster überwachen, die Netzwerkleistung analysieren und potenzielle Bedrohungen über GCP-Ressourcen hinweg erkennen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPVPCFlow Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Gigamon AMX Datenstecker

Unterstützt von:Gigamon

Verwenden Sie diesen Datenconnector, um in Gigamon Application Metadata Exporter (AMX) zu integrieren und Daten abzurufen, die direkt an Microsoft Sentinel gesendet werden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Gigamon_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

GitHub (using Webhooks)

Unterstützt von:Microsoft Corporation

Der GitHub Webhook-Datenconnector bietet die Möglichkeit, GitHub abonnierten Ereignisse mithilfe von GitHub Webhook-Ereignissen Microsoft Sentinel aufzunehmen. Der Connector bietet die Möglichkeit, Ereignisse in Microsoft Sentinel zu integrieren, um potenzielle Sicherheitsrisiken zu untersuchen, die Verwendung der Zusammenarbeit Ihres Teams zu analysieren, Konfigurationsprobleme zu diagnostizieren und vieles mehr.

Note: Wenn Sie Github Überwachungsprotokolle aufnehmen möchten, lesen Sie GitHub Enterprise-Überwachungsprotokollconnector aus dem Katalog "Data Connectors".

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
githubscanaudit_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

GitHub Enterprise-Überwachungsprotokoll (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der GitHub Überwachungsprotokollconnector bietet die Möglichkeit, GitHub Protokolle in Microsoft Sentinel aufzunehmen. Indem Sie GitHub Überwachungsprotokolle mit Microsoft Sentinel verbinden, können Sie diese Daten in Arbeitsmappen anzeigen, sie verwenden, um benutzerdefinierte Warnungen zu erstellen und Ihren Untersuchungsprozess zu verbessern.

Note: Wenn Sie GitHub abonnierten Ereignisse in Microsoft Sentinel aufnehmen möchten, lesen Sie bitte GitHub (mithilfe von Webhooks) Connector aus dem Katalog "Data Connectors".

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GitHubAuditLogsV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • GitHub API personal access token: Stellen Sie sicher, dass der authentifizierte Benutzer ein Unternehmensadministrator ist und über ein GitHub persönliches Zugriffstoken (klassisch) mit dem Bereich read:audit_log verfügt.
  • GitHub Enterprise-Typ: Dieser Connector funktioniert nur mit GitHub Enterprise Cloud. Er unterstützt GitHub Enterprise Server nicht.

Google ApigeeX (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google ApigeeX-Datenconnector bietet die Möglichkeit, Überwachungsprotokolle mithilfe der Google Apigee-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Dokumentation zur Google Apigee-API .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPApigee Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Cloud Platform CDN (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Platform CDN-Datenkonnektor bietet die Möglichkeit, Cloud CDN-Überwachungsprotokolle und Cloud CDN-Datenverkehrsprotokolle mithilfe der Compute Engine-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie im Produktübersichtsdokument .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPCDN Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Cloud Platform Cloud IDS (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Platform IDS-Datenconnector bietet die Möglichkeit, Cloud-IDS-Datenverkehrsprotokolle, Bedrohungsprotokolle und Überwachungsprotokolle mithilfe der Google Cloud IDS-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Dokumentation zur Cloud IDS-API .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPIDS Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Cloud Platform Cloud Monitoring (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Monitoring-Datenconnector erfasst Überwachungsprotokolle von Google Cloud in Microsoft Sentinel mithilfe der Google Cloud Monitoring API. Weitere Details finden Sie in der Dokumentation zur Cloud Monitoring-API .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPMonitoring Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Cloud Platform Compute Engine (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Datenkonnektor der Google Cloud Platform Compute Engine bietet die Möglichkeit, Compute Engine Audit-Protokolle mithilfe der Google Cloud Compute Engine API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Dokumentation zur Cloud Compute Engine-API .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPComputeEngine Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Cloud Platform DNS (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Cloud Platform-DNS-Datenconnector bietet die Möglichkeit, Cloud DNS-Abfrageprotokolle und Cloud-DNS-Überwachungsprotokolle mithilfe der Google Cloud DNS-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Dokumentation zur Cloud-DNS-API .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPDNS Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Cloud Platform IAM (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der DATENconnector der Google Cloud Platform IAM bietet die Möglichkeit, die Überwachungsprotokolle im Zusammenhang mit Identitäts- und Zugriffsverwaltungsaktivitäten (IAM) in Google Cloud in Microsoft Sentinel mithilfe der Google IAM-API aufzunehmen. Weitere Informationen finden Sie in der GCP-IAM-API-Dokumentation .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPIAM Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Cloud Platform NAT (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der NAT-Connector der Google Cloud Platform bietet die Möglichkeit, Cloud NAT-Überwachungsprotokolle und Cloud-NAT-Datenverkehrsprotokolle mithilfe der Compute Engine-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie im Produktübersichtsdokument .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPNATAudit Yes Yes
GCPNAT Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Cloud Platform Resource Manager (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Datenkonnektor von Google Cloud Platform Resource Manager bietet die Möglichkeit, Resource Manager Admin Activity and Data Access Audit Logs mithilfe der Cloud Resource Manager-API in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie im Produktübersichtsdokument .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GCPResourceManager Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Kubernetes Engine (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Mit den GKE-Protokollen (Google Kubernetes Engine) können Sie Clusteraktivitäten, Arbeitsauslastungsverhalten und Sicherheitsereignisse erfassen, sodass Sie Kubernetes-Workloads überwachen, Die Leistung analysieren und potenzielle Bedrohungen in GKE-Clustern erkennen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GKEAudit Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Security Command Center

Unterstützt von:Microsoft Corporation

Das Security Command Center von Google Cloud Platform (GCP) ist eine umfassende Sicherheits- und Risikomanagementplattform für Google Cloud, die vom Sentinel-Connector aufgenommen wird. Es bietet Features wie Bestandsbestand und Ermittlung, Sicherheitsrisiko- und Bedrohungserkennung sowie Risikominderung und Behebung, um Einblicke in die Sicherheits- und Datenangriffsoberfläche Ihrer Organisation zu erhalten. Mit dieser Integration können Sie Aufgaben im Zusammenhang mit Ergebnissen und Ressourcen effektiver ausführen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GoogleCloudSCC Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Google Workspace-Aktivitäten (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Google Workspace Aktivitätsdatenconnector bietet die Möglichkeit, Aktivitätsereignisse aus Google Workspace-API in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GoogleWorkspaceReports Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Zugriff auf die Google Workspace-API: Der Zugriff auf die Google Workspace-Aktivitäten-API über Oauth ist erforderlich.

GreyNoise Bedrohungsintelligenz

Unterstützt von:GreyNoise

Dieser Data Connector installiert eine Azure Funktions-App, um GreyNoise-Indikatoren einmal pro Tag herunterzuladen und sie in die Tabelle "ThreatIntelligenceIndicator" in Microsoft Sentinel einzufügen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • GreyNoise API Key: Rufen Sie hier Ihren GreyNoise-API-Schlüssel ab.

HackerView Intergration (mit Azure Functions)

Unterstützt von:Cyber Threat Management 360

Durch die API-Integration haben Sie die Möglichkeit, alle Probleme im Zusammenhang mit Ihren HackerView-Organisationen über eine RESTful-Schnittstelle abzurufen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
HackerViewLog_Azure_1_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

Halcyon Connector

Unterstützt von:Halcyon

Der Halcyon Connector bietet die Möglichkeit, Daten von Halcyon an Microsoft Sentinel zu senden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
HalcyonAuthenticationEvents_CL Nein Nein
HalcyonDnsActivity_CL Nein Nein
HalcyonFileActivity_CL Nein Nein
HalcyonNetworkSession_CL Nein Nein
HalcyonProcessEvent_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft Entra Berechtigung erstellen: Berechtigungen zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Rollenzuweisungsberechtigungen: Schreibberechtigungen, die erforderlich sind, um der Datensammlungsregel (Data Collection Rule, DCR) die Rolle "Monitoring Metrics Publisher" zuzuweisen. Erfordert in der Regel die Rolle "Besitzer" oder "Benutzerzugriffsadministrator" auf Ressourcengruppenebene.

Holm Security Asset Data (using Azure Functions)

Unterstützt von:Holm Security

Der Connector bietet die Möglichkeit, Daten aus dem Holm Security Center in Microsoft Sentinel abzufragen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
net_assets_CL Nein Nein
web_assets_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Holm Security API Token: Holm Security API Token ist erforderlich. Holm Security API Token

IIS-Protokolle von Microsoft Exchange Servern

Supported by:Community

[Option 5] – Verwenden des Azure Monitor-Agents – Sie können alle IIS-Protokolle von den Windows Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, mithilfe des Windows-Agents. Diese Verbindung ermöglicht es Ihnen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
W3CIISLog Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Log Analytics werden veraltet sein, um Daten von nicht Azure VMs zu sammeln, Azure Arc empfohlen wird. Weitere Informationen
  • Detaillierte Dokumentation> Ausführliche Dokumentation zu Installationsverfahren und Nutzung finden Sie hier

Illumio Insights

Unterstützt von:Illumio

Der Illumio Insights-Datenconnector ermöglicht das Aufnehmen von Protokollen aus der Illumio-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die Illumio-API zum Abrufen von Protokollen und unterstützt DCR-basierte Aufnahmezeittransformationen, die die empfangenen Sicherheitsdaten in eine benutzerdefinierte Tabelle analysiert, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
IlumioInsights Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Illumio Insights Zusammenfassung

Unterstützt von:Illumio

Der Illumio Insights Summary Data Connector bietet die Möglichkeit, Illumio Sicherheitserkenntnisse und Bedrohungsanalyseberichte über die REST-API Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Illumio-API-Dokumentation . Der Connector bietet die Möglichkeit, tägliche und wöchentliche Zusammenfassungsberichte von Illumio zu erhalten und in Microsoft Sentinel zu visualisieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
IllumioInsightsSummary_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Illumio-API-Zugriff: Der Illumio-API-Zugriff ist für die Illumio Insights-Zusammenfassungs-API erforderlich.

Illumio SaaS (mit Azure Functions)

Unterstützt von:Illumio

Illumio Connector bietet die Möglichkeit, Ereignisse in Microsoft Sentinel aufzunehmen. Der Connector bietet die Möglichkeit, auditierbare und Flowereignisse aus dem AWS S3-Bucket zu erfassen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Illumio_Auditable_Events_CL Yes Yes
Illumio_Flow_Events_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • SQS- und AWS S3-Kontoanmeldeinformationen/Berechtigungen: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL sind erforderlich. Wenn Sie einen S3-Bucket verwenden, der von Illumio bereitgestellt wird, wenden Sie sich an den Illumio-Support. Auf Ihre Anforderung hin stellen sie Ihnen den Namen des AWS S3-Buckets, die AWS SQS-URL und AWS-Anmeldeinformationen bereit, um auf ihn zuzugreifen.
  • Illumio-API-Schlüssel und geheimer Schlüssel: ILLUMIO_API_KEY, ILLUMIO_API_SECRET ist für eine Arbeitsmappe erforderlich, um eine Verbindung mit SaaS PCE herzustellen und API-Antworten abzurufen.

Imperva Cloud WAF (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Imperva Cloud WAF-Datenconnector bietet die Möglichkeit, Web Application Firewall Ereignisse über die REST-API in Microsoft Sentinel zu integrieren und aufzunehmen. Weitere Informationen finden Sie in der Dokumentation zur Protokollintegration. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ImpervaWAFCloud_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI sind für die API erforderlich. Weitere Informationen finden Sie im Setup-Protokollintegrationsprozess. Überprüfen Sie alle Anforderungen und folgen Sie den Anleitungen um Zugangsdaten zu erhalten. Beachten Sie, dass dieser Connector das CEF-Protokollereignisformat verwendet. Weitere Informationen zum Protokollformat.

Infoblox Cloud Data Connector über AMA

Unterstützt von:Infoblox

Mit dem Infoblox Cloud Data Connector können Sie Ihre Infoblox-Daten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie die Vorteile der Such- und Korrelations-, Warnungs- und Bedrohungserkennungserweiterung für jedes Protokoll nutzen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommonSecurityLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Infoblox Data Connector über REST-API

Unterstützt von:Infoblox

Mit dem Infoblox Data Connector können Sie Ihre Infoblox TIDE-Daten und Dossierdaten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Daten mit Microsoft Sentinel verbinden, können Sie die Vorteile der Such- und Korrelations-, Warnungs- und Bedrohungserkennungserweiterung für jedes Protokoll nutzen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Failed_Range_To_Ingest_CL Nein Nein
Infoblox_Failed_Indicators_CL Nein Nein
dossier_whois_CL Nein Nein
dossier_whitelist_CL Nein Nein
dossier_tld_risk_CL Nein Nein
dossier_threat_actor_CL Nein Nein
dossier_rpz_feeds_records_CL Nein Nein
dossier_rpz_feeds_CL Nein Nein
dossier_nameserver_matches_CL Nein Nein
dossier_nameserver_CL Nein Nein
dossier_malware_analysis_v3_CL Nein Nein
dossier_inforank_CL Nein Nein
dossier_infoblox_web_cat_CL Nein Nein
dossier_geo_CL Nein Nein
dossier_dns_CL Nein Nein
dossier_atp_threat_CL Nein Nein
dossier_atp_CL Nein Nein
dossier_ptr_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Infoblox-API-Schlüssel ist erforderlich. Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Infoblox SOC Insight Data Connector über AMA

Unterstützt von:Infoblox

Mit dem Infoblox SOC Insight Data Connector können Sie Ihre Infoblox BloxOne SOC Insight-Daten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie die Vorteile der Such- und Korrelations-, Warnungs- und Bedrohungserkennungserweiterung für jedes Protokoll nutzen.

Dieser Datenconnector erfasst infoblox SOC Insight CDC mit dem neuen Azure Monitor Agent in Ihrem Log Analytics Workspace. Erfahren Sie mehr über die Aufnahme des neuen Azure Monitor Agent here. Microsoft empfiehlt die Verwendung dieses Datenconnectors.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommonSecurityLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Um Daten von nicht Azure VMs zu sammeln, müssen sie Azure Arc installiert und aktiviert haben. Weitere Informationen
  • Common Event Format (CEF) über AMA und Syslog über AMA-Datenconnectors muss installiert werden. Weitere Informationen

Infoblox SOC Insight Data Connector über REST-API

Unterstützt von:Infoblox

Mit dem Infoblox SOC Insight Data Connector können Sie Ihre Infoblox BloxOne SOC Insight-Daten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie die Vorteile der Such- und Korrelations-, Warnungs- und Bedrohungserkennungserweiterung für jedes Protokoll nutzen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
InfobloxInsight_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

InfoSecGlobal Data Connector

Unterstützt von:InfoSecGlobal

Verwenden Sie diesen Datenconnector, um in InfoSec Crypto Analytics zu integrieren und Daten abzurufen, die direkt an Microsoft Sentinel gesendet werden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
InfoSecAnalytics_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

IONIX Sicherheitsprotokolle

Unterstützt von:IONIX

Der IONIX Security Logs-Datenkonnektor erfasst Protokolle aus dem IONIX-System direkt in Sentinel. Mit dem Connector können Benutzer ihre Daten visualisieren, Warnungen und Incidents erstellen und Sicherheitsuntersuchungen verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CyberpionActionItems_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

Island Enterprise-Browser-Administratorüberwachung (Umfrage-CCF)

Unterstützt von:Island

Der Island Admin Connector bietet die Möglichkeit, Inseladministratorüberwachungsprotokolle in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Island_Admin_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Insel-API-Schlüssel: Ein Insel-API-Schlüssel ist erforderlich.

Island Enterprise Browser Benutzeraktivität (Umfrage CCF)

Unterstützt von:Island

Der Connector Island bietet die Möglichkeit, Inselbenutzeraktivitätsprotokolle in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Island_User_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Insel-API-Schlüssel: Ein Insel-API-Schlüssel ist erforderlich.

Jamf Protect Push-Steckverbinder

Unterstützt von:Jamf Software, LLC

Der Connector Jamf Protect bietet die Möglichkeit, unformatierte Ereignisdaten aus Jamf Protect in Microsoft Sentinel zu lesen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
jamfprotecttelemetryv2_CL Yes Yes
jamfprotectunifiedlogs_CL Yes Yes
jamfprotectalerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für datensammlungsregel (DCR). Erfordert in der Regel Azure RBAC-Besitzer- oder Benutzerzugriffsadministratorrolle

JoeSandboxThreatIntelligence (using Azure Functions)

Unterstützt von:Stefan Bühlmann

JoeSandboxThreatIntelligence Connector generiert und leitet Bedrohungsintelligenz für alle Übermittlungen an JoeSandbox automatisch und verbessert die Bedrohungserkennung und Die Reaktion auf Vorfälle in Sentinel. Diese nahtlose Integration befähigt Teams, neue Bedrohungen proaktiv anzugehen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in azure Active Directory() zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: JoeSandbox-API-Schlüssel ist erforderlich.

Keeper Security Push Connector

Unterstützt von:Keeper Security

Der connector Keeper Security bietet die Möglichkeit, unformatierte Ereignisdaten aus Keeper Security in Microsoft Sentinel zu lesen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
KeeperSecurityEventNewLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für datensammlungsregel (DCR). Erfordert in der Regel Azure RBAC-Besitzer- oder Benutzerzugriffsadministratorrolle

LastPass Enterprise – Berichterstattung (Umfrage CCF)

Unterstützt von:The Collective Consulting

Der Connector LastPass Enterprise bietet die Möglichkeit, LastPass-Berichte (Überwachung) in Microsoft Sentinel anzumelden. Der Connector bietet Einblick in Anmeldungen und Aktivitäten in LastPass (z. B. Lesen und Entfernen von Kennwörtern).

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
LastPassNativePoller_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • LastPass-API-Schlüssel und CID: Ein LastPass-API-Schlüssel und eine CID sind erforderlich. Weitere Informationen finden Sie unter LastPass-API.

Lookout Mobile Threat Detection Connector (über Codeless Connector Framework) (Vorschau)

Unterstützt von:Lookout

Der Lookout Mobile Threat Detection Data Connector bietet die Möglichkeit, Ereignisse im Zusammenhang mit mobilen Sicherheitsrisiken über die mobile Risiko-API in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Dieser Connector hilft Ihnen, potenzielle Sicherheitsrisiken zu untersuchen, die auf mobilen Geräten erkannt wurden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
LookoutMtdV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Luminar IOCs und durchleckte Anmeldeinformationen (mit Azure Functions)

Unterstützt von:Cognyte Luminar

Der Connector „Luminar IOCs and Leaked Credentials“ ermöglicht die Integration von intelligenzbasierten IOC-Daten und von Luminar identifizierten kundenbezogenen geleakten Datensätzen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in azure Active Directory() zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Luminar-Client-ID, Luminar-Clientschlüssel und Luminar-Konto-ID sind erforderlich.

MailGuard 365

Unterstützt von:MailGuard 365

MailGuard 365 Enhanced Email Security for Microsoft 365. Ausschließlich auf dem Microsoft Marketplace ist MailGuard 365 in Microsoft 365 Sicherheit (inkl. Defender) integriert, um den erweiterten Schutz vor erweiterten E-Mail-Bedrohungen wie Phishing, Ransomware und anspruchsvollen BEC-Angriffen zu gewährleisten.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
MailGuard365_Threats_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

MailRisk by Secure Practice (using Azure Functions)

Unterstützt von:Secure Practice

Datenkonnektor zum Pushen von E-Mails von MailRisk in Microsoft Sentinel Log Analytics.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
MailRiskEmails_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • API-Anmeldeinformationen: Ihr Schlüsselpaar für sichere Praxis-API ist ebenfalls erforderlich, die in den Einstellungen im Verwaltungsportal erstellt werden. Wenn Sie Ihren API-Geheimschlüssel verloren haben, können Sie ein neues Schlüsselpaar generieren (WARNUNG: Alle anderen Integrationen mit dem alten Schlüsselpaar funktionieren nicht mehr).

Microsoft 365 (früher Office 365)

Unterstützt von:Microsoft Corporation

Der Microsoft 365(ehemals Office 365)-Aktivitätsprotokollconnector bietet Einblicke in laufende Benutzeraktivitäten. Sie erhalten Details zu Vorgängen wie Dateidownloads, gesendete Zugriffsanforderungen, Änderungen an Gruppenereignissen, Setpostfach und Details des Benutzers, der die Aktionen ausgeführt hat. Indem Sie Microsoft 365 Protokolle mit Microsoft Sentinel verbinden, können Sie diese Daten verwenden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Ihren Untersuchungsprozess zu verbessern. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
OfficeActivity Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft 365 Insider-Risikomanagement

Unterstützt von:Microsoft Corporation

Microsoft 365 Insider-Risikomanagement ist eine Compliancelösung in Microsoft 365, mit der interne Risiken minimiert werden können, indem Sie böswillige und unbeabsichtigte Aktivitäten in Ihrer Organisation erkennen, untersuchen und reagieren können. Risikoanalysten in Ihrer Organisation können schnell geeignete Maßnahmen ergreifen, um sicherzustellen, dass Benutzer mit den Compliance-Standards Ihrer Organisation konform sind.

Insiderrisikorichtlinien ermöglichen Folgendes:

  • definieren Sie die Arten von Risiken, die Sie in Ihrer Organisation identifizieren und erkennen möchten.
  • entscheiden, welche Maßnahmen als Reaktion ausgeführt werden sollen, einschließlich eskalierender Fälle an Microsoft Advanced eDiscovery bei Bedarf.

Diese Lösung erzeugt Warnungen, die von Office-Kunden in der Insider-Risikomanagement-Lösung im Microsoft 365 Compliance Center angezeigt werden können. Weitere Informationen zum Insider-Risikomanagement.

Diese Warnungen können mit diesem Connector in Microsoft Sentinel importiert werden, sodass Sie sie in einem breiteren Kontext für organisatorische Bedrohungen anzeigen, untersuchen und darauf reagieren können. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityAlert Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Sicherheitsprotokolle für Microsoft Active-Directory-Domänencontroller

Supported by:Community

[Option 3 & 4] – Die Verwendung Azure Monitor Agent--You kann einen Teil oder alle Domänencontroller Sicherheitsereignisprotokolle von den Windows Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, mithilfe des Windows-Agents. Diese Verbindung ermöglicht es Ihnen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityEvent Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Log Analytics werden veraltet sein, um Daten von nicht Azure VMs zu sammeln, Azure Arc empfohlen wird. Weitere Informationen
  • Detaillierte Dokumentation> Ausführliche Dokumentation zu Installationsverfahren und Nutzung finden Sie hier

Microsoft Copilot

Unterstützt von:Microsoft

Der Microsoft Copilot Protokollkonnektor in Microsoft Sentinel ermöglicht die nahtlose Erfassung von Copilot generierten Aktivitätsprotokollen in Microsoft Sentinel für erweiterte Bedrohungserkennung, Untersuchung und Reaktion. Sie sammelt Telemetrie aus Microsoft Copilot-Diensten , z. B. Nutzungsdaten, Eingabeaufforderungen und Systemantworten, und nimmt in Microsoft Sentinel ein, sodass Sicherheitsteams auf Missbrauch überwachen, Anomalien erkennen und die Einhaltung von Organisationsrichtlinien verwalten können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CopilotActivity Nein Yes

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Mandantenberechtigungen: "Sicherheitsadministrator" oder "Globaler Administrator" im Mandanten des Arbeitsbereichs.

Microsoft Dataverse

Unterstützt von:Microsoft Corporation

Microsoft Dataverse ist eine skalierbare und sichere Datenplattform, mit der Organisationen Daten speichern und verwalten können, die von Geschäftsanwendungen verwendet werden. Der Microsoft Dataverse-Datenconnector bietet die Möglichkeit, Dataverse- und Dynamics 365 CRM-Aktivitätsprotokolle aus dem Microsoft Purview Überwachungsprotokoll in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
DataverseActivity Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Mandantenberechtigungen: "Sicherheitsadministrator" oder "Globaler Administrator" im Mandanten des Arbeitsbereichs.
  • Micorosft Purview Audit: Microsoft Purview Audit (Standard oder Premium) muss aktiviert werden.
  • Produktionsdatenverse: Die Aktivitätsprotokollierung ist nur für Produktionsumgebungen verfügbar. Andere Typen, z. B. Sandkasten, unterstützen die Aktivitätsprotokollierung nicht.
  • Dataverse Überwachungseinstellungen: Überwachungseinstellungen müssen sowohl global als auch auf Entitäts-/Tabellenebene konfiguriert werden. Weitere Informationen finden Sie unter Dataverse-Überwachungseinstellungen.

Microsoft Defender for Cloud Apps

Unterstützt von:Microsoft Corporation

Durch die Verbindung mit Microsoft Defender for Cloud Apps erhalten Sie Einblicke in Ihre Cloud-Apps, erhalten anspruchsvolle Analysen, um Cyberthreats zu identifizieren und zu bekämpfen und zu steuern, wie Ihre Daten reisen.

  • Identifizieren Sie Schatten-IT-Cloud-Apps in Ihrem Netzwerk.
  • Steuern und Einschränken des Zugriffs basierend auf Bedingungen und Sitzungskontext.
  • Verwenden Sie integrierte oder benutzerdefinierte Richtlinien für die Datenfreigabe und Verhinderung von Datenverlust.
  • Identifizieren Sie die Verwendung mit hohem Risiko und erhalten Sie Warnungen für ungewöhnliche Benutzeraktivitäten mit Microsoft-Verhaltensanalysen und Anomalieerkennungsfunktionen, einschließlich Ransomware-Aktivitäten, unmöglicher Reise, verdächtiger E-Mail-Weiterleitungsregeln und Massendownload von Dateien.
  • Massendownload von Dateien

Jetzt bereitstellen >

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityAlert​ Nein Nein
McasShadowItReporting​ Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Microsoft Defender for Endpoint

Unterstützt von:Microsoft Corporation

Microsoft Defender for Endpoint ist eine Sicherheitsplattform, die entwickelt wurde, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Die Plattform erstellt Warnungen, wenn verdächtige Sicherheitsereignisse in einer Organisation beobachtet werden. Abrufen von Warnungen, die in Microsoft Defender for Endpoint generiert wurden, um Microsoft Sentinel, damit Sie Sicherheitsereignisse effektiv analysieren können. Sie können Regeln, Dashboards und Playbooks für die sofortige Reaktion erstellen. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel >.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityAlert Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Defender for Identity

Unterstützt von:Microsoft Corporation

Verbinden Sie Microsoft Defender for Identity, um Einblicke in die Ereignisse und Benutzeranalysen zu erhalten. Microsoft Defender for Identity identifiziert, erkennt und hilft Ihnen, erweiterte Bedrohungen, kompromittierte Identitäten und böswillige Insideraktionen zu untersuchen, die an Ihre Organisation gerichtet sind. Microsoft Defender for Identity ermöglicht Es SecOp-Analysten und Sicherheitsexperten, erweiterte Angriffe in Hybridumgebungen zu erkennen:

  • Überwachen von Benutzern, Entitätsverhalten und Aktivitäten mit lernbasierten Analysen
  • Schützen von In Active Directory gespeicherten Benutzeridentitäten und Anmeldeinformationen
  • Identifizieren und Untersuchen verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten KillChain
  • Bereitstellen klarer Vorfallinformationen auf einer einfachen Zeitachse für schnelles Triage

Jetzt testen >

Jetzt bereitstellen >

Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel >.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityAlert Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Defender for IoT

Unterstützt von:Microsoft Corporation

Gewinnen Sie Einblicke in Ihre IoT-Sicherheit, indem Sie Microsoft Defender for IoT Warnungen mit Microsoft Sentinel verbinden. Sie können sofort einsatzbereite Benachrichtigungsmetriken und -daten abrufen, einschließlich Benachrichtigungstrends, wichtigste Benachrichtigungen und Benachrichtigungsaufschlüsselung nach Schweregrad. Sie können auch Informationen zu den Empfehlungen für Ihre IoT-Hubs erhalten, einschließlich der wichtigsten Empfehlungen und Empfehlungen nach Schweregrad. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityAlert Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Defender for Office 365 (Vorschau)

Unterstützt von:Microsoft Corporation

Microsoft Defender for Office 365 schützt Ihre Organisation vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Indem Sie Microsoft Defender for Office 365 Warnungen in Microsoft Sentinel aufnehmen, können Sie Informationen zu E-Mail- und URL-basierten Bedrohungen in Ihre umfassendere Risikoanalyse integrieren und Reaktionsszenarien entsprechend erstellen.

Die folgenden Arten von Warnungen werden importiert:

  • Ein potenziell böswilliger URL-Klick wurde erkannt.
  • E-Mail-Nachrichten, die Schadsoftware enthalten, die nach der Zustellung entfernt wurden
  • E-Mail-Nachrichten, die Phish-URLs enthalten, die nach der Übermittlung entfernt wurden
  • E-Mail, die vom Benutzer als Schadsoftware oder Phishing gemeldet wurde
  • Verdächtige E-Mail-Sendemuster erkannt
  • Der Benutzer hat das Senden von E-Mails eingeschränkt

Diese Warnungen können von Office-Kunden im **Office Security and Compliance Center** angezeigt werden.

Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityAlert Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Defender Threat Intelligence

Unterstützt von:Microsoft Corporation

Microsoft Sentinel bietet Ihnen die Möglichkeit, von Microsoft generierte Bedrohungserkennung zu importieren, um Überwachung, Warnung und Suche zu ermöglichen. Verwenden Sie diesen Datenconnector, um Indikatoren für Kompromittierung (IOCs) aus Microsoft Defender Threat Intelligence (MDTI) in Microsoft Sentinel zu importieren. Bedrohungsindikatoren können unter anderem IP-Adressen, Domänen, URLs und Dateihashes umfassen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Defender XDR

Unterstützt von:Microsoft Corporation

Microsoft Defender XDR ist eine einheitliche, nativ integrierte, vor- und nach sicherheitsrelevante Unternehmensschutzsuite, die Endpunkte, Identität, E-Mails und Anwendungen schützt und Ihnen hilft, komplexe Bedrohungen zu erkennen, zu verhindern, zu untersuchen und automatisch darauf zu reagieren.

Microsoft Defender XDR Suite umfasst:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Bedrohungs- und Sicherheitsrisikoverwaltung
  • Microsoft Defender for Cloud Apps

Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityIncident Yes Yes
SecurityAlert Yes Yes
DeviceEvents Yes Yes
EmailEvents Yes Yes
IdentityLogonEvents Yes Yes
CloudAppEvents Yes Yes
AlertEvidence Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Entra ID

Unterstützt von:Microsoft Corporation

Erhalten Sie Einblicke in Microsoft Entra ID, indem Sie Überwachungs- und Anmeldeprotokolle mit Microsoft Sentinel verbinden, um Einblicke in Microsoft Entra ID Szenarien zu sammeln. Sie erfahren mehr über die Nutzung von Apps, Richtlinien für bedingten Zugriff sowie die Legacyauthentifizierung mithilfe von Anmeldeprotokollen. Sie erhalten Informationen zur Self Service Password Reset (SSPR)-Verwendung, Microsoft Entra ID Verwaltungsaktivitäten wie Benutzer, Gruppe, Rolle, App-Verwaltung mithilfe unserer Überwachungsprotokolltabelle. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SigninLogs Yes Yes
AuditLogs Yes Yes
AADNonInteractiveUserSignInLogs Yes Yes
AADServicePrincipalSignInLogs Yes Yes
AADManagedIdentitySignInLogs Yes Yes
AADProvisioningLogs Yes Yes
ADFSSignInLogs Yes Yes
AADUserRiskEvents Yes Yes
AADRiskyUsers Yes Yes
NetworkAccessTraffic Yes Yes
AADRiskyServicePrincipals Yes Yes
AADServicePrincipalRiskEvents Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Entra ID Assets

Unterstützt von:Microsoft Corporation

Der Entra ID-Ressourcendatenconnector bietet umfassendere Einblicke in Aktivitätsdaten, indem Details mit Ressourceninformationen ergänzt werden. Daten aus diesem Connector werden verwendet, um Datenrisikodiagramme in Purview zu erstellen. Wenn Sie diese Diagramme aktiviert haben, verhindert die Deaktivierung dieses Connectors, dass die Diagramme erstellt werden. Erfahren Sie mehr über das Datenrisikodiagramm.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Microsoft Entra ID Protection

Unterstützt von:Microsoft Corporation

Microsoft Entra ID Protection bietet eine konsolidierte Ansicht von Risikobenutzern, Risikoereignissen und Sicherheitsrisiken, mit der Möglichkeit, Risiken sofort zu beheben und Richtlinien für die automatische Behebung zukünftiger Ereignisse festzulegen. Der Dienst basiert auf der umfangreichen Erfahrung von Microsoft in Bezug auf den Schutz von Kundenidentitäten und erzielt bei über 13 Milliarden Anmeldeereignissen pro Tag eine extrem hohe Genauigkeit. Integrieren Sie Microsoft Microsoft Entra ID Protection Warnungen in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel .

Get Microsoft Entra ID Premium P1/P2

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityAlert Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Exchange Administratorüberwachungsprotokolle nach Ereignisprotokollen

Supported by:Community

[Option 1] – Verwenden von Azure Monitor-Agent – Sie können alle Exchange-Überwachungsereignisse von den Windows Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, mithilfe des Windows-Agents. Diese Verbindung ermöglicht es Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dies wird von Microsoft Exchange Sicherheitsarbeitsmappen verwendet, um Sicherheitseinblicke ihrer lokalen Exchange-Umgebung bereitzustellen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Event Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Log Analytics werden veraltet sein, um Daten von nicht Azure VMs zu sammeln, Azure Arc empfohlen wird. Weitere Informationen
  • Detaillierte Dokumentation> Ausführliche Dokumentation zu Installationsverfahren und Nutzung finden Sie hier

Microsoft Exchange HTTP-Proxyprotokolle

Supported by:Community

[Option 7] – Verwenden von Azure Monitor-Agent – Sie können HTTP-Proxyprotokolle und Sicherheitsereignisprotokolle über die Windows Computer streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, mithilfe des Windows-Agents. Diese Verbindung ermöglicht es Ihnen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Weitere Informationen

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ExchangeHttpProxy_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Log Analytics ist veraltet: Azure Log Analytics werden veraltet sein, um Daten von nicht Azure VMs zu sammeln, Azure Arc empfohlen wird. Weitere Informationen
  • Detaillierte Dokumentation> Ausführliche Dokumentation zu Installationsverfahren und Nutzung finden Sie hier

Microsoft Exchange Protokolle und Ereignisse

Supported by:Community

[Option 2] – Verwenden von Azure Monitor Agent – Sie können alle Exchange-Sicherheit & streamen Anwendungsereignisprotokolle von den Windows Computern, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, mithilfe des Windows-Agents. Diese Verbindung ermöglicht es Ihnen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Event Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Log Analytics ist veraltet: Azure Log Analytics werden veraltet sein, um Daten von nicht Azure VMs zu sammeln, Azure Arc empfohlen wird. Weitere Informationen
  • Detaillierte Dokumentation> Ausführliche Dokumentation zu Installationsverfahren und Nutzung finden Sie hier

Microsoft Exchange Nachrichtenverfolgungsprotokolle

Supported by:Community

[Option 6] – Verwenden von Azure Monitor-Agent – Sie können alle Exchange-Nachrichtenverfolgungen von den Windows Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, mithilfe des Windows-Agents. Diese Protokolle können verwendet werden, um den Nachrichtenfluss in Ihrer Exchange-Umgebung nachzuverfolgen. Dieser Datenconnector basiert auf der Option 6 des Microsoft Exchange Security Wiki.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
MessageTrackingLog_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Log Analytics ist veraltet: Azure Log Analytics werden veraltet sein, um Daten von nicht Azure VMs zu sammeln, Azure Arc empfohlen wird. Weitere Informationen
  • Detaillierte Dokumentation> Ausführliche Dokumentation zu Installationsverfahren und Nutzung finden Sie hier

Microsoft Power Automate

Unterstützt von:Microsoft Corporation

Power Automate ist ein Microsoft-Dienst, mit dem Benutzer automatisierte Workflows zwischen Apps und Diensten erstellen können, um Dateien zu synchronisieren, Benachrichtigungen abzurufen, Daten zu sammeln und vieles mehr. Sie vereinfacht die Aufgabenautomatisierung, erhöht die Effizienz, indem manuelle, sich wiederholende Aufgaben reduziert und die Produktivität verbessert wird. Der Power Automate-Datenconnector bietet die Möglichkeit, Power Automate Aktivitätsprotokolle aus dem Microsoft Purview Überwachungsprotokoll in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
PowerAutomateActivity Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Mandantenberechtigungen: "Sicherheitsadministrator" oder "Globaler Administrator" im Mandanten des Arbeitsbereichs.
  • Micorosft Purview Audit: Microsoft Purview Audit (Standard oder Premium) muss aktiviert werden.

Microsoft Power Platform Administratoraktivität

Unterstützt von:Microsoft Corporation

Microsoft Power Platform ist eine Low-Code-/No-Code-Suite, mit der Sowohl Citizen- als auch Pro-Entwickler Geschäftsprozesse optimieren können, indem sie die Erstellung von benutzerdefinierten Apps, die Automatisierung von Workflows und datenanalysen mit minimaler Codierung ermöglichen. Der Power Platform Admin-Datenconnector bietet die Möglichkeit, Power Platform-Administratoraktivitätsprotokolle aus dem Microsoft Purview Überwachungsprotokoll in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
PowerPlatformAdminActivity Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Mandantenberechtigungen: "Sicherheitsadministrator" oder "Globaler Administrator" im Mandanten des Arbeitsbereichs.
  • Micorosft Purview Audit: Microsoft Purview Audit (Standard oder Premium) muss aktiviert werden.

Microsoft PowerBI

Unterstützt von:Microsoft Corporation

Microsoft PowerBI ist eine Sammlung von Softwarediensten, Apps und Connectors, die zusammenarbeiten, um Ihre nicht verwandten Datenquellen in kohärente, visuell immersive und interaktive Einblicke umzuwandeln. Ihre Daten können eine Excel-Kalkulationstabelle, eine Sammlung cloudbasierter und lokaler hybrider Data Warehouses oder ein Datenspeicher eines anderen Typs sein. Mit diesem Connector können Sie PowerBI-Überwachungsprotokolle in Microsoft Sentinel streamen, sodass Sie Benutzeraktivitäten in Ihrer PowerBI-Umgebung nachverfolgen können. Sie können die Überwachungsdaten nach Datumsbereich, Benutzer, Dashboard, Bericht, Dataset und Aktivitätstyp filtern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
PowerBIActivity Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Project

Unterstützt von:Microsoft

Microsoft Project (MSP) ist eine Projektmanagement-Softwarelösung. Je nach Plan können Sie mit Microsoft Project Projekte planen, Aufgaben zuweisen, Ressourcen verwalten, Berichte erstellen und vieles mehr. Mit diesem Connector können Sie Ihre Azure Project-Überwachungsprotokolle in Microsoft Sentinel streamen, um Ihre Projektaktivitäten nachzuverfolgen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ProjectActivity Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Purview

Unterstützt von:Microsoft Corporation

Stellen Sie eine Verbindung mit Microsoft Purview her, um die Datenempfindlichkeitserweiterung von Microsoft Sentinel zu ermöglichen. Datenklassifizierungs- und Vertraulichkeitsbezeichnungsprotokolle aus Microsoft Purview Scans können über Arbeitsmappen, analytische Regeln und vieles mehr erfasst und visualisiert werden. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
PurviewDataSensitivityLogs Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Microsoft Purview Information Protection

Unterstützt von:Microsoft Corporation

Microsoft Purview Information Protection hilft Ihnen, vertrauliche Informationen überall dort zu finden, zu klassifizieren, zu schützen und zu steuern, wo sie leben oder reisen. Mithilfe dieser Funktionen können Sie Ihre Daten kennenlernen, vertrauliche Elemente identifizieren und Sichtbarkeit in deren Verwendung zum besseren Schutz Ihrer Daten erhalten. Vertraulichkeitsbezeichnungen sind die grundlegenden Funktionen, die Schutzaktionen bereitstellen und Verschlüsselung, Zugriffsbeschränkungen und optische Kennzeichnungen anwenden. Integrieren Sie Microsoft Purview Information Protection Protokolle in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
MicrosoftPurviewInformationProtection Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Mimecast-Überwachung

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Audit bietet Kunden die Sichtbarkeit von Sicherheitsereignissen im Zusammenhang mit Überwachungs- und Authentifizierungsereignissen innerhalb Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in Benutzeraktivitäten anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die mimecast-Produkte, die im Connector enthalten sind: Überwachung

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Audit_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Mimecast Audit & Authentifizierung (mit Azure Functions)

Unterstützt von:Mimecast

Der Datenconnector für Mimecast-Überwachung & Authentifizierung bietet Kunden die Sichtbarkeit von Sicherheitsereignissen im Zusammenhang mit Überwachungs- und Authentifizierungsereignissen innerhalb Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in Benutzeraktivitäten anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die im Connector enthaltenen Mimecast-Produkte sind: Überwachung und Authentifizierung

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
MimecastAudit_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Mimecast-API-Anmeldeinformationen: Sie müssen über die folgenden Informationen verfügen, um die Integration zu konfigurieren:
  • mimecastEmail: E-Mail-Adresse eines dedizierten Mimecast-Administratorbenutzers
  • mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
  • mimecastAppId: API-Anwendungs-ID des Mimecast-Microsoft Sentinel-App, die mit Mimecast registriert ist
  • mimecastAppKey: API-Anwendungsschlüssel der Mimecast-Microsoft Sentinel-App, die bei Mimecast registriert ist
  • mimecastAccessKey: Zugriffstaste für den dedizierten Mimecast-Administratorbenutzer
  • mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastBaseURL: Mimecast Regionale API-Basis-URL

Die Mimecast-Anwendungs-ID, Der Anwendungsschlüssel sowie die Zugriffstasten und geheimen Schlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole beschafft werden: Administration | Dienstleistungen | API- und Plattformintegrationen.

Die Mimecast-API-Basis-URL für jede Region wird hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Ressourcengruppe: Sie müssen über eine Ressourcengruppe verfügen, die mit einem Abonnement erstellt wurde, das Sie verwenden möchten.
  • Functions-App: Sie müssen eine Azure App für diesen Connector registriert haben, um diesen Connector verwenden zu können.
  1. Anwendungs-ID
  2. Mandanten-ID
  3. Client-ID
  4. Geheimer Clientschlüssel

Mimecast-Sensibilisierungsschulung

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Awareness Training bietet Kunden die Sichtbarkeit von Sicherheitsereignissen im Zusammenhang mit den Targeted Threat Protection-Inspektionstechnologien innerhalb Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die im Connector enthaltenen Mimecast-Produkte sind:

  • Leistungsdetails
  • Details zur Sicherheitsbewertung
  • Benutzerdaten
  • Watchlist-Details

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Awareness_Performance_Details_CL Yes Yes
Awareness_SafeScore_Details_CL Yes Yes
Awareness_User_Data_CL Yes Yes
Awareness_Watchlist_Details_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Mimecast Cloud Integrated

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Cloud Integrated bietet Kunden die Sichtbarkeit von Sicherheitsereignissen im Zusammenhang mit den cloudintegrten Inspektionstechnologien innerhalb Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Cloud_Integrated_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Mimecast Intelligence für Microsoft – Microsoft Sentinel (mithilfe von Azure Functions)

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Intelligence für Microsoft bietet regionale Bedrohungserkennungen, die von Mimecast-E-Mail-Inspektionstechnologien mit vordefinierten Dashboards zusammengestellt wurden, damit Analysten Einblicke in E-Mail-basierte Bedrohungen erhalten, bei der Korrelation von Vorfällen helfen und die Zeiten für Untersuchung und Reaktion reduzieren können.
Mimecast-Produkte und -Features erforderlich:

  • Mimecast Secure Email Gateway
  • Mimecast Threat Intelligence

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Mimecast-API-Anmeldeinformationen: Sie müssen über die folgenden Informationen verfügen, um die Integration zu konfigurieren:
  • mimecastEmail: E-Mail-Adresse eines dedizierten Mimecast-Administratorbenutzers
  • mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
  • mimecastAppId: API-Anwendungs-ID des Mimecast-Microsoft Sentinel-App, die mit Mimecast registriert ist
  • mimecastAppKey: API-Anwendungsschlüssel der Mimecast-Microsoft Sentinel-App, die bei Mimecast registriert ist
  • mimecastAccessKey: Zugriffstaste für den dedizierten Mimecast-Administratorbenutzer
  • mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastBaseURL: Mimecast Regionale API-Basis-URL

Die Mimecast-Anwendungs-ID, Der Anwendungsschlüssel sowie die Zugriffstasten und geheimen Schlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole beschafft werden: Administration | Dienstleistungen | API- und Plattformintegrationen.

Die Mimecast-API-Basis-URL für jede Region wird hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Ressourcengruppe: Sie müssen über eine Ressourcengruppe verfügen, die mit einem Abonnement erstellt wurde, das Sie verwenden möchten.
  • Functions-App: Sie müssen eine Azure App für diesen Connector registriert haben, um diesen Connector verwenden zu können.
  1. Anwendungs-ID
  2. Mandanten-ID
  3. Client-ID
  4. Geheimer Clientschlüssel

Mimecast Secure Email Gateway

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Secure Email Gateway ermöglicht eine einfache Protokollsammlung vom Secure Email Gateway, um E-Mail-Einblicke und Benutzeraktivitäten innerhalb Microsoft Sentinel anzuzeigen. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind. Mimecast-Produkte und -Features erforderlich:

  • Mimecast Cloud Gateway
  • Mimecast Data Leak Prevention

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Seg_Cg_CL Yes Yes
Seg_Dlp_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Mimecast Secure Email Gateway (mit Azure Functions)

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Secure Email Gateway ermöglicht eine einfache Protokollsammlung vom Secure Email Gateway, um E-Mail-Einblicke und Benutzeraktivitäten innerhalb Microsoft Sentinel anzuzeigen. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind. Mimecast-Produkte und -Features erforderlich:

  • Mimecast Secure Email Gateway
  • Mimecast Data Leak Prevention

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
MimecastSIEM_CL Nein Nein
MimecastDLP_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Mimecast-API-Anmeldeinformationen: Sie müssen über die folgenden Informationen verfügen, um die Integration zu konfigurieren:
  • mimecastEmail: E-Mail-Adresse eines dedizierten Mimecast-Administratorbenutzers
  • mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
  • mimecastAppId: API-Anwendungs-ID des Mimecast-Microsoft Sentinel-App, die mit Mimecast registriert ist
  • mimecastAppKey: API-Anwendungsschlüssel der Mimecast-Microsoft Sentinel-App, die bei Mimecast registriert ist
  • mimecastAccessKey: Zugriffstaste für den dedizierten Mimecast-Administratorbenutzer
  • mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastBaseURL: Mimecast Regionale API-Basis-URL

Die Mimecast-Anwendungs-ID, Der Anwendungsschlüssel sowie die Zugriffstasten und geheimen Schlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole beschafft werden: Administration | Dienstleistungen | API- und Plattformintegrationen.

Die Mimecast-API-Basis-URL für jede Region wird hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Ressourcengruppe: Sie müssen über eine Ressourcengruppe verfügen, die mit einem Abonnement erstellt wurde, das Sie verwenden möchten.
  • Functions-App: Sie müssen eine Azure App für diesen Connector registriert haben, um diesen Connector verwenden zu können.
  1. Anwendungs-ID
  2. Mandanten-ID
  3. Client-ID
  4. Geheimer Clientschlüssel

Mimecast Targeted Threat Protection

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Targeted Threat Protection bietet Kunden die Sichtbarkeit von Sicherheitsereignissen im Zusammenhang mit den Targeted Threat Protection-Inspektionstechnologien innerhalb Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die im Connector enthaltenen Mimecast-Produkte sind:

  • URL-Schutz
  • Identitätswechsel schützen
  • Anlagenschutz

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Ttp_Url_CL Yes Yes
Ttp_Attachment_CL Yes Yes
Ttp_Impersonation_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Mimecast Targeted Threat Protection (mit Azure Functions)

Unterstützt von:Mimecast

Der Datenconnector für Mimecast Targeted Threat Protection bietet Kunden die Sichtbarkeit von Sicherheitsereignissen im Zusammenhang mit den Targeted Threat Protection-Inspektionstechnologien innerhalb Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die im Connector enthaltenen Mimecast-Produkte sind:

  • URL-Schutz
  • Identitätswechsel schützen
  • Anlagenschutz

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
MimecastTTPUrl_CL Nein Nein
MimecastTTPAttachment_CL Nein Nein
MimecastTTPImpersonation_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Sie müssen über die folgenden Informationen verfügen, um die Integration zu konfigurieren:
  • mimecastEmail: E-Mail-Adresse eines dedizierten Mimecast-Administratorbenutzers
  • mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
  • mimecastAppId: API-Anwendungs-ID des Mimecast-Microsoft Sentinel-App, die mit Mimecast registriert ist
  • mimecastAppKey: API-Anwendungsschlüssel der Mimecast-Microsoft Sentinel-App, die bei Mimecast registriert ist
  • mimecastAccessKey: Zugriffstaste für den dedizierten Mimecast-Administratorbenutzer
  • mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastBaseURL: Mimecast Regionale API-Basis-URL

Die Mimecast-Anwendungs-ID, Der Anwendungsschlüssel sowie die Zugriffstasten und geheimen Schlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole beschafft werden: Administration | Dienstleistungen | API- und Plattformintegrationen.

Die Mimecast-API-Basis-URL für jede Region wird hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

MISP2Sentinel

Supported by:Community

Diese Lösung installiert den MISP2Sentinel-Connector, mit dem Sie Bedrohungsindikatoren von MISP automatisch über die REST-API für Uploadindikatoren an Microsoft Sentinel übertragen können. Nachdem Sie die Lösung installiert haben, konfigurieren und aktivieren Sie diesen Datenconnector, indem Sie die Anleitung unter Verwalten der Lösungsansicht befolgen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

MongoDB Atlas-Logs

Unterstützt von:MongoDB

Der Connector MongoDBAtlas Logs bietet die Möglichkeit, MongoDB Atlas-Datenbankprotokolle über die MongoDB Atlas Administrations-API in Microsoft Sentinel hochzuladen. Weitere Informationen finden Sie in der API-Dokumentation . Der Connector ermöglicht es, eine Reihe von Datenbanklog-Nachrichten für die angegebenen Hosts und das angegebene Projekt abzurufen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
MDBALogTable_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: MongoDB Atlas-Dienstkonto Client-ID und geheimer Clientschlüssel sind erforderlich. Weitere Informationen finden Sie unter Erstellen eines Dienstkontos

MuleSoft Cloudhub (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der MuleSoft Cloudhub-Datenconnector bietet die Möglichkeit, Protokolle aus Cloudhub-Anwendungen mithilfe der Cloudhub-API und weitere Microsoft Sentinel Ereignisse über die REST-API abzurufen. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
MuleSoft_Cloudhub_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername und MuleSoftPassword sind für API-Aufrufe erforderlich.

NC Protect

Unterstützt von:archTIS

NC Protect Data Connector (archtis.com) bietet die Möglichkeit, Benutzeraktivitätsprotokolle und Ereignisse in Microsoft Sentinel aufzunehmen. Der Connector bietet Einblicke in NC Protect-Benutzeraktivitätsprotokolle und -ereignisse in Microsoft Sentinel zur Verbesserung der Überwachungs- und Untersuchungsfunktionen

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
NCProtectUAL_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • NC Protect: Sie müssen über eine ausgeführte Instanz von NC Protect für O365 verfügen. Wenden Sie sich bitte an uns.

Netskope-Warnungen und -Ereignisse

Unterstützt von:Netskope

Netskope-Sicherheitswarnungen und -ereignisse

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
NetskopeAlerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Netskope Organisation URL: Der Netskope-Datenconnector erfordert, dass Sie Ihre Organisations-URL angeben. Sie finden Ihre Organisations-URL, indem Sie sich beim Netskope-Portal anmelden.
  • Netskope-API-Schlüssel: Der Netskope-Datenconnector erfordert, dass Sie einen gültigen API-Schlüssel bereitstellen. Sie können eine erstellen, indem Sie der Netskope-Dokumentation folgen.

Netskope Data Connector

Unterstützt von:Netskope

Der Netskope-Datenconnector bietet die folgenden Funktionen:

  1. NetskopeToAzureStorage :
  • Rufen Sie die Netskope-Warnungs- und Ereignisdaten von Netskope ab und nehmen Sie Azure Speicher auf. 2. StorageToSentinel :
  • Rufen Sie die Netskope-Benachrichtigungs- und Ereignisdaten aus Azure Speicher ab und nehmen Sie sie in eine benutzerdefinierte Protokolltabelle im Log Analytics-Arbeitsbereich ein. 3. WebTxMetrics :
  • Rufen Sie die WebTxMetrics-Daten aus Netskope ab und nehmen Sie sie in eine benutzerdefinierte Protokolltabelle im Log Analytics-Arbeitsbereich ein.

Weitere Informationen zu REST-APIs finden Sie in den folgenden Dokumentationen:

  1. Netskope-API-Dokumentation:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Azure Speicherdokumentation: /azure/storage/common/storage-introduction 3. Microsoft-Protokollanalysedokumentation: /azure/azure-monitor/logs/log-analytics-overview

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
alertscompromisedcredentialdata_CL Nein Nein
alertsctepdata_CL Nein Nein
alertsdlpdata_CL Nein Nein
alertsmalsitedata_CL Nein Nein
alertsmalwaredata_CL Nein Nein
alertspolicydata_CL Nein Nein
alertsquarantinedata_CL Nein Nein
alertsremediationdata_CL Nein Nein
alertssecurityassessmentdata_CL Nein Nein
alertsubadata_CL Nein Nein
eventsapplicationdata_CL Nein Nein
eventsauditdata_CL Nein Nein
eventsconnectiondata_CL Nein Nein
eventsincidentdata_CL Nein Nein
eventsnetworkdata_CL Nein Nein
eventspagedata_CL Nein Nein
Netskope_WebTx_metrics_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in azure Active Directory() zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Netskope-Mandant und Netskope-API-Token sind erforderlich. Weitere Informationen zur API in der Rest-API-Referenz finden Sie in der Dokumentation.

Netskope Web Transactions Data Connector

Unterstützt von:Netskope

Der Netskope Web Transactions Data Connector stellt die Funktionalität eines Docker-Images bereit, um die Netskope Web Transactions-Daten aus Google Pubsublite abzurufen, die Daten zu verarbeiten und die verarbeiteten Daten an Log Analytics zu erfassen. Im Rahmen dieses Datenkonnektors werden zwei Tabellen in Log Analytics gebildet, eine für Webtransaktionen-Daten und andere für Fehler, die während der Ausführung aufgetreten sind.

Weitere Informationen zu Webtransaktionen finden Sie in der folgenden Dokumentation:

  1. Dokumentation zu Netskope-Webtransaktionen:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
NetskopeWebtxData_CL Nein Nein
NetskopeWebtxErrors_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Compute permissions: Lese- und Schreibberechtigungen für Azure VMs sind erforderlich. Weitere Informationen finden Sie unter Azure VMs.
  • TransactionEvents-Anmeldeinformationen und Berechtigungen: Netskope-Mandanten - und Netskope-API-Token sind erforderlich. Weitere Informationen finden Sie unter Transaktionsereignisse.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

Netzwerksicherheitsgruppen

Unterstützt von:Microsoft Corporation

Azure Netzwerksicherheitsgruppen (Network Security Groups, NSG) ermöglichen es Ihnen, Netzwerkdatenverkehr zu und von Azure Ressourcen in einem Azure virtuellen Netzwerk zu filtern. Eine Netzwerksicherheitsgruppe umfasst Regeln, die Datenverkehr an ein Subnetz oder eine Netzwerkschnittstelle eines virtuellen Netzwerks oder beides zulassen oder ablehnen.

Wenn Sie die Protokollierung für eine NSG aktivieren, können Sie die folgenden Typen von Ressourcenprotokollinformationen erfassen:

  • Ereignis: Einträge werden protokolliert, für die NSG-Regeln auf VMs angewendet werden, basierend auf der MAC-Adresse.
  • Regelzähler: Enthält Einträge, wie oft jede NSG-Regel angewendet wird, um Datenverkehr zu verweigern oder zuzulassen. Der Status für diese Regeln wird alle 300 Sekunden erfasst.

Mit diesem Connector können Sie Ihre NSG-Diagnoseprotokolle in Microsoft Sentinel streamen, sodass Sie die Aktivitäten in allen Ihren Instanzen kontinuierlich überwachen können. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
AzureDiagnostics Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

NordPass

Unterstützt von:NordPass

Durch die Integration von NordPass in Microsoft Sentinel SIEM über die API können Sie Aktivitätsprotokolldaten von NordPass automatisch an Microsoft Sentinel übertragen und Echtzeiteinblicke erhalten, z. B. Elementaktivität, alle Anmeldeversuche und Sicherheitsbenachrichtigungen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
NordPassEventLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Stellen Sie sicher, dass die gruppe ressource und der Arbeitsbereich Log Analytics erstellt und sich in derselben Region befinden, damit Sie die Azure Functions bereitstellen können.
  • Zud Microsoft Sentinel zum erstellten Log Analytics Arbeitsbereich hinzugefügt.
  • Generieren Sie eine Microsoft Sentinel-API-URL und ein Token im NordPass Admin Panel, um die Azure Functions Integration abzuschließen. Bitte beachten Sie, dass Sie dafür das NordPass Enterprise-Konto benötigen.
  • Important: Dieser Connector verwendet Azure Functions, um Aktivitätsprotokolle aus NordPass in Microsoft Sentinel abzurufen. Dies kann zu zusätzlichen Datenaufnahmekosten führen. Weitere Informationen finden Sie auf der Azure Functions Preisseite.

Obsidian Datenaustausch-Connector

Unterstützt von:Obsidian Security

Der Obsidian Datasharing-Connector bietet die Möglichkeit, Unformatierte Ereignisdaten aus Obsidian Datasharing in Microsoft Sentinel zu lesen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ObsidianActivity_CL Nein Nein
ObsidianThreat_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für datensammlungsregel (DCR). Erfordert in der Regel Azure RBAC-Besitzer- oder Benutzerzugriffsadministratorrolle

Okta Single Sign-On

Unterstützt von:Microsoft Corporation

Der Okta Single Sign-On (SSO)-Datenkonnektor bietet die Möglichkeit, Überwachungs- und Ereignisprotokolle aus der Okta Sysem-Protokoll-API in Microsoft Sentinel aufzunehmen. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework und verwendet die Okta-Systemprotokoll-API zum Abrufen der Ereignisse. Der Connector unterstützt DCR-basierte Aufnahmezeittransformationen , die die empfangenen Sicherheitsereignisdaten in einer benutzerdefinierten Spalte analysieren, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
OktaSSO Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Okta-API-Token: Ein Okta-API-Token. Befolgen Sie die folgenden Anweisungen , um eine Dokumentation zu erstellen, um mehr über die Okta-Systemprotokoll-API zu erfahren.

Okta Single Sign-On (using Azure Functions)

Unterstützt von:Microsoft Corporation

Der Okta Single Sign-On (SSO) Connector bietet die Möglichkeit, Überwachungs- und Ereignisprotokolle aus der Okta-API in Microsoft Sentinel aufzunehmen. Der Connector bietet Einblicke in diese Protokolltypen in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und überwachungs- und untersuchungsfunktionen zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Okta_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Okta-API-Token: Ein Okta-API-Token ist erforderlich. Weitere Informationen zur Okta-Systemprotokoll-API finden Sie in der Dokumentation.

Onapsis defend: Integration nicht übereinstimmender SAP-Bedrohungserkennung & Intel mit Microsoft Sentinel

Unterstützt von:Onapsis

Stärken Sie Sicherheitsteams mit tiefer Einblicke in einzigartige Exploit-, Zero-Day- und Bedrohungsakteuraktivitäten; verdächtiges Benutzer- oder Insider-Verhalten; Downloads vertraulicher Daten; Verstöße gegen die Sicherheitskontrolle; und mehr - alle von den SAP-Experten bei Onapsis bereichert.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Onapsis_Defend_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für Datensammlungsregeln. Erfordert in der Regel Azure RBAC-Besitzer- oder Benutzerzugriffsadministratorrolle.

OneLogin IAM Platform (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der OneLogin-Datenconnector bietet die Möglichkeit, allgemeine OneLogin IAM Platform-Ereignisse mithilfe der OneLogin Events-API und OneLogin Users API in Microsoft Sentinel zu aufnehmen. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
OneLoginEventsV2_CL Yes Yes
OneLoginUsersV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • OneLogin IAM-API-Anmeldeinformationen: Um API-Anmeldeinformationen zu erstellen, folgen Sie dem hier angegebenen Dokumentlink. Klicken Sie hier. Stellen Sie sicher, dass Sie über einen Kontotyp des Kontobesitzers oder Administrators verfügen, um die API-Anmeldeinformationen zu erstellen. Nachdem Sie die API-Anmeldeinformationen erstellt haben, erhalten Sie Ihre Client-ID und den geheimen Clientschlüssel.

OneTrust

Unterstützt von:OneTrust, LLC

Der OneTrust-Connector für Microsoft Sentinel bietet die Möglichkeit, nahezu in Echtzeit Einblicke in den Ort zu erhalten, an dem vertrauliche Daten in google Cloud und anderen unterstützten OneTrust-Datenquellen gespeichert oder behoben wurden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
OneTrustMetadataV3_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für datensammlungsregel (DCR). Erfordert in der Regel Azure RBAC-Besitzer- oder Benutzerzugriffsadministratorrolle

Open Systems Data Connector

Unterstützt von:Open Systems

Die Open Systems Logs API Microsoft Sentinel Connector bietet die Möglichkeit, Open Systems-Protokolle mithilfe der Open Systems Logs API in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
OpenSystemsZtnaLogs_CL Nein Nein
OpenSystemsFirewallLogs_CL Nein Nein
OpenSystemsAuthenticationLogs_CL Nein Nein
OpenSystemsProxyLogs_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Azure Container Apps, DCRs und DCEs: Berechtigungen zum Bereitstellen von Azure Container Apps, verwalteten Umgebungen, Datensammlungsregeln (DCRs) und Datensammlungsendpunkten (DATA Collection Rules, DCEs) sind erforderlich. Dies wird in der Regel durch die Rolle "Mitwirkender" für das Abonnement oder die Ressourcengruppe abgedeckt.
  • Rollenzuweisungsberechtigungen: Berechtigungen zum Erstellen von Rollenzuweisungen (insbesondere "Monitoring Metrics Publisher" auf DCRs) sind für die Bereitstellung des Benutzer- oder Dienstprinzipals erforderlich.
  • Anmeldeinformationen für ARM-Vorlage: Während der Bereitstellung müssen Sie Folgendes bereitstellen: Open Systems Logs API-Endpunkt und connection string sowie Dienstprinzipalanmeldeinformationen (Client-ID, Geheimer Clientschlüssel, Objekt/Prinzipal-ID).
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Bei Bedarf benutzerdefinierte Voraussetzungen löschen Sie andernfalls dieses Zolltag: Beschreibung für benutzerdefinierte Voraussetzungen

Oracle Cloud Infrastructure (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Oracle Cloud Infrastructure (OCI)-Datenconnector bietet die Möglichkeit, OCI-Protokolle aus OCI Stream mithilfe der REST-API OCI Streaming REST API in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
OCI_LogsV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • OCI Streaming API-Zugriff: Der Zugriff auf die OCI-Streaming-API über eine API-Signaturschlüssel ist erforderlich.

Orca-Sicherheitswarnungen

Unterstützt von:Orca Security

Mit dem Connector für Orca-Sicherheitswarnungen können Sie Benachrichtigungsprotokolle ganz einfach in Microsoft Sentinel exportieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
OrcaAlerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Palo Alto Cortex XDR

Unterstützt von:Microsoft Corporation

Der Palo Alto Cortex XDR-Datenconnector ermöglicht das Aufnehmen von Protokollen aus der Palo Alto Cortex XDR-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die Palo Alto Cortex XDR-API zum Abrufen von Protokollen und unterstützt DCR-basierte Aufnahmezeittransformationen , die die empfangenen Sicherheitsdaten in eine benutzerdefinierte Tabelle analysieren, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
PaloAltoCortexXDR_Incidents_CL Yes Yes
PaloAltoCortexXDR_Endpoints_CL Yes Yes
PaloAltoCortexXDR_Audit_Management_CL Yes Yes
PaloAltoCortexXDR_Audit_Agent_CL Yes Yes
PaloAltoCortexXDR_Alerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Palo Alto Cortex Xpanse (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Palo Alto Cortex Xpanse-Datenconnector erfasst Warnungsdaten in Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CortexXpanseAlerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Palo Alto Prisma Cloud CSPM (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Palo Alto Prisma Cloud CSPM-Datenconnector ermöglicht es Ihnen, eine Verbindung mit Ihrer Palo Alto Prisma Cloud CSPM-Instanz herzustellen und Warnungen (https://pan.dev/prisma-cloud/api/cspm/alerts/) zu empfangen und Überwachungsprotokolle(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) in Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
PaloAltoPrismaCloudAlertV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Palo Alto Prisma Cloud CWPP (mit REST-API)

Unterstützt von:Microsoft Corporation

Mit dem Palo Alto Prisma Cloud CWPP-Datenconnector können Sie eine Verbindung mit Ihrer Palo Alto Prisma Cloud CWPP-Instanz herstellen und Warnungen in Microsoft Sentinel aufnehmen. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework und verwendet die Prisma Cloud-API zum Abrufen von Sicherheitsereignissen und unterstützt DCR-basierte ingestion time transformations die die empfangenen Sicherheitsereignisdaten in eine benutzerdefinierte Spalten analysiert, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
PrismaCloudCompute_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • PrismaCloudCompute API Key: Ein Palo Alto Prisma Cloud CWPP Monitor API-Benutzername und Kennwort ist erforderlich. Weitere Informationen finden Sie unter PrismaCloudCompute SIEM API.

Pathlock Inc.: Bedrohungserkennung und -reaktion für SAP

Unterstützt von:Pathlock Inc.

Die Pathlock Threat Detection and Response (TD& R) Integration in Microsoft Sentinel Solution for SAP bietet einheitliche Einblicke in Echtzeit in SAP-Sicherheitsereignisse, sodass Organisationen Bedrohungen in allen SAP-Landschaften erkennen und darauf reagieren können. Diese Standardintegration ermöglicht es Security Operations Centers (SOCs), SAP-spezifische Warnungen mit unternehmensweiter Telemetrie zu korrelieren und so umsetzbare Informationen zu schaffen, die IT-Sicherheit mit Geschäftsprozessen verbinden.

Der Connector von Pathlock ist speziell für SAP entwickelt und leitet standardmäßig nur sicherheitsrelevante Ereignisse weiter, wodurch Datenvolumen und Rauschen minimiert werden, während die Flexibilität erhalten bleibt, alle Logquellen bei Bedarf weiterzuleiten. Jedes Ereignis wird mit business process context bereichert, sodass Microsoft Sentinel Lösung für SAP-Analysen Betriebsmuster von realen Bedrohungen unterscheiden und priorisieren, was wirklich wichtig ist.

Dieser präzisionsorientierte Ansatz hilft Sicherheitsteams, Fehlalarme drastisch zu reduzieren, Untersuchungen zu fokussieren und die mittlere Detektionszeit (MTTD) sowie die durchschnittliche Reaktionszeit (MTTR) zu beschleunigen. Die Pathlock-Bibliothek besteht aus mehr als 1.500 SAP-spezifischen Erkennungssignaturen aus 70+ Logquellen; die Lösung deckt komplexe Angriffsverhaltensweisen, Konfigurationsschwächen und Zugriffsanomalien auf.

Durch die Kombination von Business-Context Intelligence mit fortschrittlicher Analytik ermöglicht Pathlock Unternehmen, die Erkennungsgenauigkeit zu verbessern, Reaktionsaktionen zu optimieren und die kontinuierliche Kontrolle über ihre SAP-Umgebungen zu behalten – ohne zusätzliche Komplexität oder redundante Überwachungsschichten.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ABAPAuditLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für Datensammlungsregeln. Erfordert in der Regel Azure RBAC-Besitzer- oder Benutzerzugriffsadministratorrolle.

Perimeter 81-Aktivitätsprotokolle

Unterstützt von:Perimeter 81

Mit dem Connector "Perimeter 81-Aktivitätsprotokolle" können Sie Ihre Perimeter 81-Aktivitätsprotokolle ganz einfach mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Perimeter81_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Phosphorgeräte

Unterstützt von:Phosphorus Inc.

Der Phosphorgerätekonnektor ermöglicht Phosphorus, Gerätedatenprotokolle über die Phosphor-REST-API in Microsoft Sentinel aufzunehmen. Der Connector bietet Sichtbarkeit in die Geräte, die in Phosphorus registriert sind. Dieser Datenconnector ruft Geräteinformationen zusammen mit den entsprechenden Benachrichtigungen ab.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Phosphorus_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • REST-API-Anmeldeinformationen/Berechtigungen: Phosphorus-API-Schlüssel ist erforderlich. Stellen Sie sicher, dass für den dem Benutzer zugeordneten API-Schlüssel die Berechtigungen „Einstellungen verwalten“ aktiviert sind.

Befolgen Sie diese Anweisungen, um die Berechtigungen „Einstellungen verwalten“ zu aktivieren.

  1. Melden Sie sich bei der Phosphoranwendung an
  2. Wechseln Sie zu "Einstellungen" –> "Gruppen"
  3. Wählen Sie die Gruppe aus, zu der der Integrationsbenutzer gehört
  4. Navigieren Sie zu "Produktaktionen"> : Aktivieren Sie die Berechtigung "Einstellungen verwalten".

Ping One (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Dieser Connector nimmt Audit-Aktivitätsprotokolle von der PingOne Identity Platform in Microsoft Sentinel mithilfe eines Codeless Connector Frameworks ein.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
PingOne_AuditActivitiesV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Prancer Data Connector

Unterstützt von:Prancer PenSuiteAI Integration

Der Prancer Data Connector bietet die Möglichkeit, Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] und PAC Daten zu verarbeiten, die über Microsoft Sentinel verarbeitet werden können. Weitere Informationen finden Sie in der Prancer-Dokumentation .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
prancer_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Schließen Sie benutzerdefinierte Voraussetzungen ein, wenn die Konnektivität erforderlich ist – andernfalls löschen Sie Zoll: Beschreibung für alle benutzerdefinierten Voraussetzungen

Premium Microsoft Defender Threat Intelligence

Unterstützt von:Microsoft Corporation

Microsoft Sentinel bietet Ihnen die Möglichkeit, von Microsoft generierte Bedrohungserkennung zu importieren, um Überwachung, Warnung und Suche zu ermöglichen. Verwenden Sie diesen Datenconnector, um Indikatoren für Kompromittierung (IOCs) aus Premium Microsoft Defender Threat Intelligence (MDTI) in Microsoft Sentinel zu importieren. Bedrohungsindikatoren können unter anderem IP-Adressen, Domänen, URLs und Dateihashes umfassen. Hinweis: Dies ist ein kostenpflichtiger Connector. Um damit Daten zu verwenden und zu erfassen, kaufen Sie die SKU „MDTI-API-Zugriff“ in Partner Center.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Proofpoint On Demand-E-Mail-Sicherheit (über Codeless Connector Framework)

Unterstützt von:Proofpoint, Inc.

Der Proofpoint On Demand Email Security-Datenconnector bietet die Möglichkeit, Proofpoint on Demand Email Protection-Daten abzurufen, ermöglicht Benutzern das Überprüfen der Nachverfolgbarkeit von Nachrichten sowie das Überwachen von E-Mail-Aktivitäten, Bedrohungen und Datenexfiltration durch Angreifer und böswillige Insider. Mit dem Connector können Sie Ereignisse in Ihrer Organisation schnell überprüfen und stündlich Ereignisprotokolldateien abrufen, um Informationen zu den neuesten Aktivitäten zu erhalten.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ProofpointPODMailLog_CL Yes Yes
ProofpointPODMessage_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Websocket-API-Anmeldeinformationen/Berechtigungen: ProofpointClusterID und ProofpointToken sind erforderlich. Weitere Informationen finden Sie unter API.

Proofpoint On Demand-E-Mail-Sicherheit (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Proofpoint On Demand Email Security-Datenconnector bietet die Möglichkeit, Proofpoint on Demand Email Protection-Daten abzurufen, ermöglicht Benutzern das Überprüfen der Nachverfolgbarkeit von Nachrichten sowie das Überwachen von E-Mail-Aktivitäten, Bedrohungen und Datenexfiltration durch Angreifer und böswillige Insider. Mit dem Connector können Sie Ereignisse in Ihrer Organisation schnell überprüfen und stündlich Ereignisprotokolldateien abrufen, um Informationen zu den neuesten Aktivitäten zu erhalten.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ProofpointPODMailLog_CL Yes Yes
ProofpointPODMessage_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Websocket-API-Anmeldeinformationen/Berechtigungen: ProofpointClusterID und ProofpointToken sind erforderlich. Weitere Informationen finden Sie unter API.

Proofpoint TAP (über Codeless Connector Framework)

Unterstützt von:Proofpoint, Inc.

Der Connector Proofpoint Targeted Attack Protection (TAP) bietet die Möglichkeit, Proofpoint TAP-Protokolle und -Ereignisse in Microsoft Sentinel aufzunehmen. Der Connector bietet Einblicke in Nachrichten- und Klickereignisse in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und überwachungs- und untersuchungsfunktionen zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ProofPointTAPMessagesDeliveredV2_CL Yes Yes
ProofPointTAPMessagesBlockedV2_CL Yes Yes
ProofPointTAPClicksPermittedV2_CL Yes Yes
ProofPointTAPClicksBlockedV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Proofpoint TAP-API-Schlüssel: Ein Proofpoint TAP API-Dienstprinzipal und geheimer Schlüssel ist erforderlich, um auf die SIEM-API von Proofpoint zuzugreifen. Weitere Informationen finden Sie unter Proofpoint SIEM-API.

Proofpoint TAP (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Connector Proofpoint Targeted Attack Protection (TAP) bietet die Möglichkeit, Proofpoint TAP-Protokolle und -Ereignisse in Microsoft Sentinel aufzunehmen. Der Connector bietet Einblicke in Nachrichten- und Klickereignisse in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und überwachungs- und untersuchungsfunktionen zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ProofPointTAPMessagesDeliveredV2_CL Yes Yes
ProofPointTAPMessagesBlockedV2_CL Yes Yes
ProofPointTAPClicksPermittedV2_CL Yes Yes
ProofPointTAPClicksBlockedV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Proofpoint TAP-API-Schlüssel: Ein Proofpoint TAP API-Dienstprinzipal und geheimer Schlüssel ist erforderlich, um auf die SIEM-API von Proofpoint zuzugreifen. Weitere Informationen finden Sie unter Proofpoint SIEM-API.

QfinderAppEventsConnector (über Codeless Connector Framework)

Unterstützt von:Quokka

Aufnahme von Qfinder-Anwendungsereignissen in Microsoft Sentinel

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
QscoutAppEvents_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Qfinder Organisations-ID: Die API erfordert Ihre Organisations-ID in Qfinder.
  • Qfinder Organization API Key: Die API erfordert Ihren Organisations-API-Schlüssel in Qfinder.

Qualys VM KnowledgeBase (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der connector Qualys Vulnerability Management (VM) KnowledgeBase (KB) bietet die Möglichkeit, die neuesten Sicherheitsrisikodaten aus qualys KB in Microsoft Sentinel aufzunehmen.

Mithilfe dieser Daten können Sicherheitsrisikoerkennungen, die vom Qualys Vulnerability Management (VM)-Datenconnector gefunden wurden, korreliert und angereichert werden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
QualysKB_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Qualys-API-Schlüssel: Ein Qualys-VM-API-Benutzername und -Kennwort ist erforderlich. Weitere Informationen finden Sie unter Qualys VM API.

Qualys Vulnerability Management (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Qualys Vulnerability Management (VM)--Datenconnector bietet die Möglichkeit, Sicherheitsrisiko-Hosterkennungsdaten über die Qualys-API in Microsoft Sentinel aufzunehmen. Der Connector bietet Einblick in Hosterkennungsdaten aus Sicherheitsrisikoscans.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
QualysHostDetectionV3_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • API-Zugriff und -Rollen: Stellen Sie sicher, dass der Virtuelle Qualys-VM-Benutzer über eine Rolle "Reader" oder höher verfügt. Wenn die Rolle "Reader" ist, stellen Sie sicher, dass der API-Zugriff für das Konto aktiviert ist. Die Auditorrolle wird für den Zugriff auf die API nicht unterstützt. Weitere Informationen finden Sie im Dokument "Qualys VM Host Detection API " und "Benutzerrollenvergleich" .

Radiflow iSID über AMA

Unterstützt von:Radiflow

iSID ermöglicht eine unterbrechungsfreie Überwachung verteilter ICS-Netzwerke auf Änderungen der Topologie und des Verhaltens mithilfe mehrerer Sicherheitspakete, die jeweils eine einzigartige Funktion für eine bestimmte Art von Netzwerkaktivität bieten.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
RadiflowEvent Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Rapid7 Insight Platform Vulnerability Management Reports (using Azure Functions)

Unterstützt von:Microsoft Corporation

Der Rapid7 Insight VM Berichtsdatenconnector bietet die Möglichkeit, Scanberichte und Sicherheitsrisikodaten über die REST-API über die Rapid7 Insight-Plattform (verwaltet in der Cloud) in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
NexposeInsightVMCloud_assets_CL Nein Nein
NexposeInsightVMCloud_vulnerabilities_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen: InsightVMAPIKey ist für DIE REST-API erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

RSA ID Plus Admin Logs Connector

Unterstützt von:RSA Support Team

Der RSA ID Plus AdminLogs Connector bietet die Möglichkeit, Cloud Admin Console Audit Events mithilfe von Cloud-Administrator-APIs in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
RSAIDPlus_AdminLogs_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • RSA ID Plus-API-Authentifizierung: Um auf die Administrator-APIs zuzugreifen, ist ein gültiges Base64URL-codiertes JWT-Token erforderlich, das mit dem Legacyverwaltungs-API-Schlüssel des Clients signiert ist.

Rubrik Security Cloud Data Connector (mit Azure Functions)

Unterstützt von:Rubrik

Der Rubrik Security Cloud Data Connector ermöglicht Sicherheitsbetriebsteams die Integration von Erkenntnissen aus den Daten observability-Diensten von Rubrik in Microsoft Sentinel. Die Erkenntnisse umfassen die Identifizierung von anomalem Dateisystemverhalten im Zusammenhang mit Ransomware und Massenlöschungen, die Bewertung des Auswirkungsgrads eines Ransomware-Angriffs sowie vertrauliche Daten, damit Operatoren potenzielle Incidents priorisieren und schneller untersuchen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Rubrik_Anomaly_Data_CL Yes Yes
Rubrik_Ransomware_Data_CL Yes Yes
Rubrik_ThreatHunt_Data_CL Yes Yes
Rubrik_Events_Data_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

SaaS-Sicherheit

Unterstützt von:Valence Security

Verbindet die Valence SaaS-Sicherheitsplattform Azure Log Analytics über die REST-API-Schnittstelle

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ValenceAlert_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

SailPoint IdentityNow (mit Azure Functions)

Unterstützt von:SailPoint

Der SailPoint IdentityNow-Datenconnector bietet die Möglichkeit, [SailPoint IdentityNow]-Suchereignisse über die REST-API in Microsoft Sentinel aufzunehmen. Der Connector ermöglicht es Kunden, Überwachungsinformationen aus ihrem IdentityNow-Mandanten zu extrahieren. Es soll es noch einfacher machen, IdentityNow-Benutzeraktivitäten und Governanceereignisse in Microsoft Sentinel zu bringen, um Erkenntnisse aus Ihrer Sicherheitsvorfall- und Ereignisüberwachungslösung zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SailPointIDN_Events_CL Yes Yes
SailPointIDN_Triggers_CL Nein Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • SailPoint IdentityNow-API-Authentifizierungsanmeldeinformationen: TENANT_ID, CLIENT_ID und CLIENT_SECRET sind für die Authentifizierung erforderlich.

Salesforce Service Cloud (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Salesforce Service Cloud-Datenconnector bietet die Möglichkeit, Informationen zu Ihren Salesforce-Betriebsereignissen über die REST-API in Microsoft Sentinel aufzunehmen. Mit dem Connector können Sie Ereignisse in Ihrer Organisation schnell überprüfen und stündlich Ereignisprotokolldateien abrufen, um Informationen zu den letzten Aktivitäten zu erhalten.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SalesforceServiceCloudV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Salesforce Service Cloud API-Zugriff: Der Zugriff auf die Salesforce Service Cloud-API über eine verbundene App ist erforderlich.

Samsung Knox Asset Intelligence

Unterstützt von:Samsung Electronics Co., Ltd.

Mit dem Samsung Knox Asset Intelligence Data Connector können Sie Ihre mobilen Sicherheitsereignisse und -protokolle zentralisieren, um angepasste Erkenntnisse mithilfe der Arbeitsmappenvorlage anzuzeigen und Vorfälle basierend auf Analyseregeln-Vorlagen zu identifizieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Samsung_Knox_Audit_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

SAP BTP

Unterstützt von:Microsoft Corporation

SAP Business Technology Platform (SAP BTP) vereint Datenmanagement, Analysen, künstliche Intelligenz, Anwendungsentwicklung, Automatisierung und Integration in einer einheitlichen Umgebung.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SAPBTPAuditLog_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Client-ID und geheimer Clientschlüssel für die Überwachungsabruf-API: API-Zugriff in BTP aktivieren.

SAP Enterprise Threat Detection, Cloud Edition

Unterstützt von:SAP

Der SAP Enterprise Threat Detection, Cloud Edition (ETD)-Datenconnector ermöglicht die Erfassung von Sicherheitswarnungen von ETD in Microsoft Sentinel, die die korrelationsübergreifende, Warnungs- und Bedrohungssuche unterstützen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SAPETDAlerts_CL Yes Yes
SAPETDInvestigations_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Client-ID und geheimer Clientschlüssel für DIE ETD-Abruf-API: API-Zugriff in ETD aktivieren.

SAP LogServ (RISE), S/4HANA Cloud Private Edition

Unterstützt von:SAP

SAP LogServ ist ein SAP Enterprise Cloud Services (ECS)-Dienst, der auf Sammlung, Speicherung, Weiterleitung und Zugriff auf Protokolle abzielt. LogServ zentralisiert die Protokolle von allen Systemen, Anwendungen und ECS-Diensten, die von einem registrierten Kunden verwendet werden.
Zu den Hauptfeatures gehören:
Near Realtime Log Collection: Mit der Möglichkeit zur Integration in Microsoft Sentinel als SIEM-Lösung.
LogServ ergänzt die bestehende SAP-Anwendungsschicht-Bedrohungsüberwachung und -erkennung in Microsoft Sentinel mit den Protokolltypen, die sap ECS als Systemanbieter besitzen. Dazu gehören Protokolle wie: SAP Security Audit Log (AS HANA), HANA-Datenbank, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, OS, SAP Gateway, Drittanbieterdatenbank, Netzwerk, DNS, Proxy, Firewall

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SAPLogServ_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für Datensammlungsregeln. Erfordert in der Regel Azure RBAC-Besitzer- oder Benutzerzugriffsadministratorrolle.

ÖFFENTLICHE SAP S/4HANA Cloud Edition

Unterstützt von:SAP

Der SAP S/4HANA Cloud Public Edition (GROW mit SAP)-Datenkonnektor ermöglicht die Aufnahme des SAP-Sicherheitsüberwachungsprotokolls in die Microsoft Sentinel Lösung für SAP, unterstützt Korrelations-, Warn- und Bedrohungssuche. Suchen Sie nach alternativen Authentifizierungsmechanismen? Siehe here.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ABAPAuditLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Client-ID und geheimer Clientschlüssel für die Überwachungsabruf-API: API-Zugriff in BTP aktivieren.

SecurityBridge-Lösung für SAP

Unterstützt von:SecurityBridge

SecurityBridge verbessert DIE SAP-Sicherheit, indem sie nahtlos in Microsoft Sentinel integriert wird und die Echtzeitüberwachung und Bedrohungserkennung in SAP-Umgebungen ermöglicht. Diese Integration ermöglicht es Security Operations Centers (SOCs), SAP-Sicherheitsereignisse mit anderen Organisationsdaten zu konsolidieren und eine einheitliche Ansicht der Bedrohungslandschaft bereitzustellen. SecurityBridge identifiziert komplexe Angriffsmuster und Sicherheitsrisiken in SAP-Anwendungen, einschließlich BRIDGE-Codeüberprüfungen und Konfigurationsbewertungen, mit KI-basierten Analysen und microsoft Security Copilot. Die Lösung unterstützt skalierbare Bereitstellungen in komplexen SAP-Landschaften, unabhängig davon, ob lokal, in der Cloud oder in Hybridumgebungen. Durch die Überbrückung der Lücke zwischen IT- und SAP-Sicherheitsteams ermöglicht SecurityBridge Organisationen, Bedrohungen proaktiv zu erkennen, zu untersuchen und auf sie zu reagieren, wodurch die allgemeine Sicherheitslage verbessert wird.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ABAPAuditLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für Datensammlungsregeln. Erfordert in der Regel Azure RBAC-Besitzer- oder Benutzerzugriffsadministratorrolle.

SentinelOne

Unterstützt von:Microsoft Corporation

Der SentinelOne-Datenconnector ermöglicht das Aufnehmen von Protokollen aus der SentinelOne-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die SentinelOne-API zum Abrufen von Protokollen und unterstützt DCR-basierte Aufnahmezeittransformationen , die die empfangenen Sicherheitsdaten in eine benutzerdefinierte Tabelle analysieren, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SentinelOneActivities_CL Yes Yes
SentinelOneAgents_CL Yes Yes
SentinelOneGroups_CL Yes Yes
SentinelOneThreats_CL Yes Yes
SentinelOneAlerts_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

SentinelOne (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der SentinelOne-Datenconnector bietet die Möglichkeit, allgemeine SentinelOne-Serverobjekte wie Bedrohungen, Agents, Anwendungen, Aktivitäten, Richtlinien, Gruppen und weitere Ereignisse über die REST-API zu Microsoft Sentinel. Weitere Informationen hierzu finden Sie in der Dokumentation zur API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SentinelOne_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: SentinelOneAPIToken ist erforderlich. Siehe die Dokumentation, um mehr über die API zu erfahren: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

Seraphic Web Security

Unterstützt von:Seraphic Security

Der Seraphic Web Security-Datenkonnektor bietet die Möglichkeit, Seraphic Web Security Ereignisse und Warnungen in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SeraphicWebSecurity_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Seraphic-API-Schlüssel: API-Schlüssel für Microsoft Sentinel, der mit Ihrem Seraphic Web Security-Mandanten verbunden ist. Lesen Sie diese Dokumentation, um diesen API-Schlüssel für Ihren Mandanten zu erhalten.

Silverfort Admin-Konsole

Unterstützt von:Silverfort

Die Silverfort ITDR Admin Console Connector-Lösung ermöglicht die Aufnahme von Silverfort-Ereignissen und die Anmeldung bei Microsoft Sentinel. Silverfort bietet Syslog-basierte Ereignisse und Protokollierung mittels Common Event Format (CEF). Indem Sie Ihre Silverfort ITDR Admin Console CEF-Daten in Microsoft Sentinel weiterleiten, können Sie die Such- und Korrelations-, Warnungs- und Bedrohungserkennungserweiterung von Sentinels auf Silverfort-Daten nutzen. Bitte wenden Sie sich an Silverfort, oder lesen Sie die Silverfort-Dokumentation, um weitere Informationen zu erhalten.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommonSecurityLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

SlackAudit (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der SlackAudit-Datenconnector bietet die Möglichkeit, Slack-Überwachungsprotokolle über die REST-API in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SlackAuditV2_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • UserName, SlackAudit API Key & Action Type: Um das Zugriffstoken zu generieren, erstellen Sie eine neue Anwendung in Slack, fügen Sie dann die erforderlichen Bereiche hinzu und konfigurieren Sie die Umleitungs-URL. Ausführliche Anweisungen zum Generieren des Zugriffstokens, des Benutzernamens und des Aktionsnamenlimits finden Sie unter dem Link.

Snowflake (über Codeless Connector Framework)

Unterstützt von:Microsoft Corporation

Der Snowflake-Datenconnector bietet die Möglichkeit, Snowflake Login History Logs, Query History Logs aufzunehmen, User-Grant Logs, Role-Grant Logs, Load History Logs, Materialized View Refresh History Logs, Roles Logs, Tables Logs, Table Storage Metrics Logs, Users Logs into Microsoft Sentinel using the Snowflake SQL API. Weitere Informationen finden Sie in der Snowflake SQL-API-Dokumentation .

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SnowflakeLogin_CL Yes Yes
SnowflakeQuery_CL Yes Yes
SnowflakeUserGrant_CL Yes Yes
SnowflakeRoleGrant_CL Yes Yes
SnowflakeLoad_CL Yes Yes
SnowflakeMaterializedView_CL Yes Yes
SnowflakeRoles_CL Yes Yes
SnowflakeTables_CL Yes Yes
SnowflakeTableStorageMetrics_CL Yes Yes
SnowflakeUsers_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

SOC Prime Platform Audit Logs Data Connector

Unterstützt von:SOC Prime

Der SOC Prime Audit Logs-Datenconnector ermöglicht das Aufnehmen von Protokollen aus der SOC Prime Platform-API in Microsoft Sentinel. Der Datenconnector basiert auf Microsoft Sentinel Codeless Connector Framework. Es verwendet die SOC Prime Platform-API zum Abrufen von SOC Prime-Plattformüberwachungsprotokollen und unterstützt DCR-basierte Aufnahmezeittransformationen , die die empfangenen Sicherheitsdaten in eine benutzerdefinierte Tabelle analysiert, was zu einer besseren Leistung führt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SOCPrimeAuditLogs_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Sonrai-Datenverbinder

Unterstützt von:N/A

Verwenden Sie diesen Datenconnector, um in Sonrai Security zu integrieren und Sonrai-Tickets zu erhalten, die direkt an Microsoft Sentinel gesendet werden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Sonrai_Tickets_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Sophos Cloud Optix

Unterstützt von:Sophos

Mit dem Connector Sophos Cloud Optix können Sie Ihre Sophos Cloud Optix-Protokolle problemlos mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern. Mit dieser Funktion erhalten Sie einen besseren Einblick in den Cloudsicherheits- und Compliancestatus Ihrer Organisation und verbessern Ihre Funktionen für die Cloudsicherheitsvorgänge.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SophosCloudOptix_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Sophos Endpoint Protection (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Sophos Endpoint Protection-Datenconnector bietet die Möglichkeit, Sophos-Ereignisse in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Dokumentation zu Sophos Central Admin.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SophosEP_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: API-Token ist erforderlich. Weitere Informationen finden Sie unter API-Token

Sophos Endpoint Protection (mit REST-API)

Unterstützt von:Microsoft Corporation

Der Sophos Endpoint Protection-Datenconnector bietet die Möglichkeit, Sophos-Ereignisse und Sophos alerts in Microsoft Sentinel aufzunehmen. Weitere Informationen finden Sie in der Dokumentation zu Sophos Central Admin.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SophosEPEvents_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Sophos Endpoint Protection-API-Zugriff: Der Zugriff auf die Sophos Endpoint Protection-API über einen Dienstprinzipal ist erforderlich.

Symantec Integrierter Cyber-Verteidigungsaustausch

Unterstützt von:Microsoft Corporation

Symantec ICDx Connector ermöglicht Es Ihnen, Ihre Symantec-Sicherheitslösungenprotokolle problemlos mit Microsoft Sentinel zu verbinden, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Dadurch erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SymantecICDx_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Syslog über AMA

Unterstützt von:Microsoft Corporation

Syslog ist ein gängiges Protokoll zur Ereignisprotokollierung für Linux. Anwendungen senden Nachrichten, die auf dem lokalen Computer gespeichert oder an einen Syslog-Sammler übermittelt werden können. Wenn der Agent für Linux installiert ist, konfiguriert er den lokalen Syslog-Daemon zum Weiterleiten von Nachrichten an den Agent. Der Agent sendet die Nachricht dann an den Arbeitsbereich.

Weitere Informationen>

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Syslog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Implizite kompromittierte Anmeldeinformationen

Unterstützt von:Data443 Risk Mitigation, Inc.

Erfasste Ergebnisse kompromittierter Anmeldeinformationen von TacitRed mithilfe des Common Connector Framework (CCF).

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
TacitRed_Findings_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • TacitRed-API-Schlüssel: API-Schlüssel, der in Azure Key Vault gespeichert oder zur Bereitstellungszeit bereitgestellt wird.

Talon-Einblicke

Unterstützt von:Talon Security

Mit dem Talon Security Logs-Connector können Sie Ihre Talon-Ereignisse und Überwachungsprotokolle ganz einfach mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Talon_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Team Cymru Scout Data Connector (mit Azure Functions)

Unterstützt von:Team Cymru

Mit dem TeamCymruFinder Data Connector können Benutzer Team Cymru Scout IP-, Domänen- und Kontonutzungsdaten zur Anreicherung in Microsoft Sentinel mitbringen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Cymru_Scout_Domain_Data_CL Nein Nein
Cymru_Scout_IP_Data_Foundation_CL Nein Nein
Cymru_Scout_IP_Data_Details_CL Nein Nein
Cymru_Scout_IP_Data_Communications_CL Nein Nein
Cymru_Scout_IP_Data_PDNS_CL Nein Nein
Cymru_Scout_IP_Data_Fingerprints_CL Nein Nein
Cymru_Scout_IP_Data_OpenPorts_CL Nein Nein
Cymru_Scout_IP_Data_x509_CL Nein Nein
Cymru_Scout_IP_Data_Summary_Details_CL Nein Nein
Cymru_Scout_IP_Data_Summary_PDNS_CL Nein Nein
Cymru_Scout_IP_Data_Summary_OpenPorts_CL Nein Nein
Cymru_Scout_IP_Data_Summary_Certs_CL Nein Nein
Cymru_Scout_IP_Data_Summary_Fingerprints_CL Nein Nein
Cymru_Scout_Account_Usage_Data_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Permission, um der registrierten Anwendung eine Rolle zuzuweisen: Die Berechtigung zum Zuweisen einer Rolle zur registrierten Anwendung in Microsoft Entra ID ist erforderlich.
  • Team Cymru Scout Credentials/permissions: Team Cymru Scout Account credentials(Username, Password) is required.

Haltbare Identitätsexponierung

Unterstützt von:Tenable

Tenable Identity Exposure Connector ermöglicht Indikatoren für Gefährdung, Indikatoren für Angriffs- und Trailflowprotokolle, die in Microsoft Sentinel aufgenommen werden. Mit den verschiedenen Arbeitsbüchern und Datenparsern können Sie Protokolle einfacher bearbeiten und Ihre Active Directory Umgebung überwachen. Mithilfe der Analysevorlagen können Sie Antworten auf verschiedene Ereignisse, Gefährdungen und Angriffe automatisieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Zugriff auf tenableIE-Konfiguration: Berechtigungen zum Konfigurieren des Syslog-Warnungsmoduls

Tenable Vulnerability Management (mithilfe von Azure Functions)

Unterstützt von:Tenable

Der TVM-Datenconnector bietet die Möglichkeit, Ressourcen-, Sicherheitsrisiko-, Compliance-, WAS-Ressourcen- und WAS-Sicherheitsrisikendaten mithilfe von TVM-REST-APIs in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Connector ermöglicht das Abrufen von Daten, was unter anderem hilfreich ist, um potenzielle Sicherheitsrisiken zu untersuchen, Einblicke in Ihre Computerressourcen zu gewinnen und Konfigurationsprobleme zu diagnostizieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Tenable_VM_Asset_CL Yes Yes
Tenable_VM_Vuln_CL Yes Yes
Tenable_VM_Compliance_CL Yes Yes
Tenable_WAS_Asset_CL Yes Yes
Tenable_WAS_Vuln_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Für den Zugriff auf die Tenable REST-API ist sowohl ein TenableAccessKey als auch ein TenableSecretKey erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen und folgen Sie den Anleitungen um Zugangsdaten zu erhalten.

Tenant-based Microsoft Defender for Cloud

Unterstützt von:Microsoft Corporation

Microsoft Defender for Cloud ist ein Sicherheitsverwaltungstool, mit dem Sie Bedrohungen über Azure-, Hybrid- und Multi-Cloud-Workloads hinweg erkennen und schnell reagieren können. Mit diesem Connector können Sie Ihre MDC-Sicherheitswarnungen von Microsoft 365 Defender in Microsoft Sentinel streamen, sodass Sie die Vorteile von XDR-Korrelationen nutzen können, die die Punkte über Ihre Cloudressourcen, Geräte und Identitäten verbinden und die Daten in Arbeitsmappen anzeigen, Abfragen abfragen und auf Vorfälle untersuchen und darauf reagieren können. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityAlert Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

TheHive Project - TheHive (using Azure Functions)

Unterstützt von:Microsoft Corporation

Der TheHive-Datenconnector bietet die Möglichkeit, allgemeine TheHive-Ereignisse über Webhooks in Microsoft Sentinel aufzunehmen. TheHive kann das externe System über Änderungsereignisse (Fallerstellung, Warnungsaktualisierung, Aufgabenzuweisung) in Echtzeit benachrichtigen. Wenn es in TheHive zu einer Änderung kommt, wird eine HTTPS POST-Anforderung mit Ereignisinformationen an eine Rückrufdaten-Connector-URL gesendet. Weitere Informationen finden Sie in der Webhooks-Dokumentation . Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
TheHive_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Webhooks-Anmeldeinformationen/Berechtigungen: TheHiveBearerToken, Callback-URL sind für die Arbeit mit Webhooks erforderlich. Weitere Informationen zum Konfigurieren von Webhooks finden Sie in der Dokumentation.

Theom

Unterstützt von:Theom

Theom Data Connector ermöglicht Organisationen, ihre Theom-Umgebung mit Microsoft Sentinel zu verbinden. Mit dieser Lösung können Benutzer Warnungen zu Sicherheitsrisiken erhalten, Vorfälle erstellen und anreichern, Statistiken überprüfen und SOAR-Playbooks in Microsoft Sentinel

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
TheomAlerts_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Bedrohungserkennung - TAXII

Unterstützt von:Microsoft Corporation

Microsoft Sentinel in TAXII 2.0- und 2.1-Datenquellen integriert, um die Überwachung, Warnung und Suche mit Ihrer Bedrohungserkennung zu ermöglichen. Verwenden Sie diesen Connector, um die unterstützten STIX-Objekttypen von TAXII-Servern an Microsoft Sentinel zu senden. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs und Dateihashes sein. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel >.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Threat Intelligence-Plattformen

Unterstützt von:Microsoft Corporation

Microsoft Sentinel in Microsoft Graph Security API Datenquellen integriert, um die Überwachung, Warnung und Suche mithilfe Ihrer Bedrohungsintelligenz zu ermöglichen. Verwenden Sie diesen Connector, um Bedrohungsindikatoren an Microsoft Sentinel von Ihrer Threat Intelligence Platform (TIP) zu senden, z. B. Threat Connect, Palo Alto Networks MindMeld, MISP oder andere integrierte Anwendungen. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs und Dateihashes sein. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel >.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Threat Intelligence-Upload-API (Vorschau)

Unterstützt von:Microsoft Corporation

Microsoft Sentinel bietet eine Datenebenen-API, um Bedrohungsintelligenz von Ihrer Threat Intelligence Platform (TIP) wie Threat Connect, Palo Alto Networks MineMeld, MISP oder anderen integrierten Anwendungen zu integrieren. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs, Dateihashes und E-Mail-Adressen umfassen. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Transmit Security Connector (mit Azure Functions)

Unterstützt von:Transmit Security

Der [Übertragungssicherheit]-Datenconnector bietet die Möglichkeit, allgemeine Übertragungsereignisse Security API über die REST-API in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
TransmitSecurityActivity_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Client-ID: TransmitSecurityClientID ist erforderlich. Siehe die Dokumentation, um mehr über die API zu erfahren: https://developer.transmitsecurity.com/.
  • REST-API-Clientschlüssel: TransmitSecurityClientSecret ist erforderlich. Siehe die Dokumentation, um mehr über die API zu erfahren: https://developer.transmitsecurity.com/.

Trend Vision One (mit Azure Functions)

Unterstützt von:Trend Micro

Mit dem Connector Trend Vision One können Sie Ihre Workbench-Warnungsdaten ganz einfach mit Microsoft Sentinel verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Überwachungs- und Untersuchungsfunktionen zu verbessern. Dadurch erhalten Sie einen besseren Einblick in das Netzwerk und die Systeme Ihrer Organisation und können Ihre Sicherheitsprozesse verbessern.

Der Trend Vision One Connector wird in Microsoft Sentinel in den folgenden Regionen unterstützt: Australien Ost, Australien Südost, Brasilien, Kanada Zentral, Kanada, Kanada Ost, Zentralindien, Zentral-USA, Ostasien, Ost-USA, Ost-USA 2, Frankreich Zentral, Japan, Korea Central, Nord-Zentral-USA, Nordeuropa, Norwegen Ost, Südafrika Nord, Süd-Zentral-USA, Südostasien, Schweden Zentral, Schweiz Nord, VAE Nord, Vereinigtes Königreich Süd, UK West, Westeuropa, West-USA, West-USA 2, West-USA 3.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
TrendMicro_XDR_WORKBENCH_CL Nein Nein
TrendMicro_XDR_RCA_Task_CL Nein Nein
TrendMicro_XDR_RCA_Result_CL Nein Nein
TrendMicro_XDR_OAT_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Trend Vision One-API-Token: Ein Trend Vision One-API-Token ist erforderlich. Weitere Informationen zur Trend Vision One-API finden Sie in der Dokumentation.

Tropicalo Security - Warnungen

Unterstützt von:TROPICALO Security

Aufnehmen von Sicherheitswarnungen von der Tropicalo Security Platform im OCSF Security Finding-Format.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
{{graphQueriesTableName}} Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Tropicalo Security - Events

Unterstützt von:TROPICALO Security

Aufnehmen von Sicherheitsereignissen von der Tropicalo Security Platform im OCSF Security Finding-Format.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
{{graphQueriesTableName}} Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Tropicalo Security - Vorfälle

Unterstützt von:TROPICALO Security

Aufnahme von Angreifersitzungsvorfällen von Tropicalo Security Platform.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
{{graphQueriesTableName}} Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Varonis Purview Push Connector

Unterstützt von:Varonis

Der Connector Varonis Purview bietet die Möglichkeit, Ressourcen von Varonis mit Microsoft Purview zu synchronisieren.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
varonisresources_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft Entra: Berechtigung zum Erstellen einer App-Registrierung in Microsoft Entra ID. Erfordert in der Regel entra ID-Anwendungsentwicklerrolle oder höher.
  • Microsoft Azure: Berechtigung zum Zuweisen der Rolle "Monitoring Metrics Publisher" für datensammlungsregel (DCR). Erfordert in der Regel Azure RBAC-Besitzer- oder Benutzerzugriffsadministratorrolle

Varonis SaaS

Unterstützt von:Varonis

Varonis SaaS bietet die Möglichkeit, Varonis Alerts in Microsoft Sentinel aufzunehmen.

Varonis priorisiert die Sichtbarkeit tiefer Daten, Klassifizierungsfunktionen und automatisierte Korrekturen für den Datenzugriff. Varonis erstellt eine einzige priorisierte Ansicht der Risiken für Ihre Daten, sodass Sie Risiken durch Insiderbedrohungen und Cyberangriffe proaktiv und systematisch beseitigen können.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
VaronisAlerts_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.

Vectra XDR (mit Azure Functions)

Unterstützt von:Vectra Support

Der Connector Vectra XDR bietet die Möglichkeit, Vectra-Erkennungen, Audits, Entitätsbewertungs-, Sperrmodus-, Integritäts- und Entitätsdaten über die Vectra REST-API in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API: https://support.vectra.ai/s/article/KB-VS-1666.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Detections_Data_CL Yes Yes
Audits_Data_CL Yes Yes
Entity_Scoring_Data_CL Yes Yes
Lockdown_Data_CL Yes Yes
Health_Data_CL Yes Yes
Entities_Data_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: Die Vectra-Client-ID und der geheime Clientschlüssel sind für Integrität, Entitätsbewertung, Entitäten, Erkennungen, Sperrmodus und Überwachungsdatensammlung erforderlich. Siehe die Dokumentation, um mehr über die API zu erfahren: https://support.vectra.ai/s/article/KB-VS-1666.

Veeam Data Connector (mit Azure Functions)

Unterstützt von:Software

Mit Dem Datenkonnektor können Sie Telemetriedaten aus mehreren benutzerdefinierten Tabellen in Microsoft Sentinel aufnehmen.

Der Connector unterstützt die Integration mit den Plattformen Veeam Backup & Replication, Veeam ONE und Coveware, um umfassende Überwachung und Sicherheitsanalysen bereitzustellen. Die Daten werden über Azure Functions gesammelt und in benutzerdefinierten Log Analytics Tabellen mit dedizierten Datensammlungsregeln (DATA Collection Rules, DCR) und Datensammlungsendpunkten (DATA Collection Endpoints, DCE) gespeichert.

Benutzerdefinierte Tabellen umfassten:

  • VeeamMalwareEvents_CL: Malware-Erkennungsereignisse von Backup & Replication
  • VeeamSecurityComplianceAnalyzer_CL: Ergebnisse der Security & Compliance Analyzer, die aus Komponenten der Backup-Infrastruktur von Backups gesammelt wurden
  • VeeamAuthorizationEvents_CL: Autorisierungs- und Authentifizierungsereignisse
  • VeeamOneTriggeredAlarms_CL: Ausgelöste Alarme von Einzelnen ONE-Servern
  • VeeamCovewareFindings_CL: Sicherheitsergebnisse der Coveware-Lösung
  • VeeamSessions_CL: Sessions

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
VeeamMalwareEvents_CL Yes Yes
VeeamSecurityComplianceAnalyzer_CL Yes Yes
VeeamOneTriggeredAlarms_CL Yes Yes
VeeamAuthorizationEvents_CL Yes Yes
VeeamCovewareFindings_CL Yes Yes
VeeamSessions_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Infrastructure Access: Der Zugriff auf die Backup & Replikations-REST-API und die Monitoring-Plattform Von Produktqualität ONE sind erforderlich. Dazu gehören die richtigen Authentifizierungsanmeldeinformationen und netzwerkkonnektivität.

VersasecCms

Unterstützt von:Versasec Support

Der VersasecCms-Datenconnector ermöglicht das Aufnehmen von Protokollen in Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
VersasecCmsSysLogs_CL Nein Nein
VersasecCmsErrorLogs_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

VirtualMetric DataStream für Microsoft Sentinel

Unterstützt von:VirtualMetric

Der VirtualMetric DataStream-Connector stellt Datensammlungsregeln bereit, um Sicherheitstelemetrie in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommonSecurityLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • App-Registrierung oder Azure verwaltete Identität: VirtualMetric DataStream erfordert eine Entra-ID-Identität zum Authentifizieren und Senden von Protokollen an Microsoft Sentinel. Sie können wählen, ob Sie eine App-Registrierung mit Client-ID und geheimem Clientschlüssel erstellen oder Azure verwaltete Identität zur erweiterten Sicherheit ohne Anmeldeinformationsverwaltung verwenden.
  • Ressourcengruppenrollenzuordnung: Die ausgewählte Identität (App-Registrierung oder verwaltete Identität) muss der Ressourcengruppe zugewiesen werden, die den Endpunkt der Datensammlung mit den folgenden Rollen enthält: Monitoring Metrics Publisher (für Protokollaufnahme) und Monitoring Reader (für die Konfiguration des Lesedatenstroms).

VirtualMetric DataStream für Microsoft Sentinel Data Lake

Unterstützt von:VirtualMetric

Der VirtualMetric DataStream-Connector stellt Datensammlungsregeln bereit, um Sicherheitstelemetrie in Microsoft Sentinel Data Lake aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommonSecurityLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • App-Registrierung oder Azure verwaltete Identität: VirtualMetric DataStream erfordert eine Entra-ID-Identität zum Authentifizieren und Senden von Protokollen an Microsoft Sentinel Data Lake. Sie können wählen, ob Sie eine App-Registrierung mit Client-ID und geheimem Clientschlüssel erstellen oder Azure verwaltete Identität zur erweiterten Sicherheit ohne Anmeldeinformationsverwaltung verwenden.
  • Ressourcengruppenrollenzuordnung: Die ausgewählte Identität (App-Registrierung oder verwaltete Identität) muss der Ressourcengruppe zugewiesen werden, die den Endpunkt der Datensammlung mit den folgenden Rollen enthält: Monitoring Metrics Publisher (für Protokollaufnahme) und Monitoring Reader (für die Konfiguration des Lesedatenstroms).

VirtualMetric Director Proxy

Unterstützt von:VirtualMetric

VirtualMetric Director Proxy stellt eine Azure Funktions-App bereit, um VirtualMetric DataStream sicher mit Azure Diensten wie Microsoft Sentinel, Azure Data Explorer und Azure Storage zu überbrücken.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommonSecurityLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Function App: Eine Azure Funktions-App muss bereitgestellt werden, um den Directorproxy zu hosten. Erfordert Lese-, Schreib- und Löschberechtigungen für Microsoft.Web/Sites-Ressourcen in Ihrer Ressourcengruppe, um die Funktions-App zu erstellen und zu verwalten.
  • VirtualMetric DataStream-Konfiguration: Sie benötigen VirtualMetric DataStream mit Authentifizierungsanmeldeinformationen konfiguriert, um eine Verbindung mit dem Director-Proxy herzustellen. Der Director-Proxy fungiert als sichere Brücke zwischen VirtualMetric DataStream und Azure-Diensten.
  • Target Azure Services: Konfigurieren Sie Ihre Zieldienste Azure Dienste wie Microsoft Sentinel Datensammlungsendpunkte, Azure Data Explorer Cluster oder Azure Storage Konten, in denen der Directorproxy Daten weiterleitet.

VMRayThreatIntelligence (mit Azure Functions)

Unterstützt von:VMRay

Der VMRayThreatIntelligence-Connector generiert und liefert automatisch Bedrohungsinformationen für alle Einsendungen an VMRay, wodurch die Bedrohungserkennung und die Reaktion auf Vorfälle in Sentinel verbessert werden. Diese nahtlose Integration befähigt Teams, neue Bedrohungen proaktiv anzugehen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ThreatIntelligenceIndicator Yes Nein

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Subscription: Azure Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in azure Active Directory() zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: VMRay-API-Schlüssel ist erforderlich.

VMware Carbon Black Cloud (mit Azure Functions)

Unterstützt von:Microsoft

Der VMware Carbon Black Cloud Connector bietet die Möglichkeit, Carbon Black-Daten in Microsoft Sentinel aufzunehmen. Der Connector bietet Einblicke in Überwachungs-, Benachrichtigungs- und Ereignisprotokolle in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und überwachungs- und untersuchungsfunktionen zu verbessern.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CarbonBlackEvents_CL Nein Nein
CarbonBlackNotifications_CL Nein Nein
CarbonBlackAuditLogs_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • VMware Carbon Black API Key(s): Carbon Black API und/oder SIEM Level API Key(s) sind erforderlich. Weitere Informationen zur Carbon Black-API finden Sie in der Dokumentation.
  • Für Überwachungs- und Ereignisprotokolle ist eine API-Zugriffsstufe der Carbon Black API und ein Schlüssel erforderlich.
  • Für Benachrichtigungswarnungen ist eine API-ID und ein Schlüssel der Zugriffsstufe "Carbon Black SIEM" erforderlich.
  • Amazon S3 REST API-Anmeldeinformationen/Berechtigungen: AWS Access Key ID, AWS Secret Access Key, AWS S3 Bucket Name, Folder Name in AWS S3 Bucket sind für Amazon S3 REST API erforderlich.

VMware Carbon Black Cloud über AWS S3

Unterstützt von:Microsoft

Der VMware Carbon Black Cloud über AWS S3-Datenconnector bietet die Möglichkeit, Watchlist-, Warnungs-, Authentifizierungs- und Endpunktereignisse über AWS S3 aufzunehmen und sie in normalisierte ASIM-Tabellen zu streamen. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CarbonBlack_Alerts_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Umgebung: Sie müssen die folgenden AWS-Ressourcen definiert und konfiguriert haben: S3, Simple Queue Service (SQS), IAM-Rollen und Berechtigungsrichtlinien
  • Umgebung: Sie müssen über das schwarze Carbon-Konto verfügen und erforderliche Berechtigungen zum Erstellen von Daten benötigen, die an AWS S3-Buckets weitergeleitet werden. Weitere Informationen finden Sie unter Carbon Black Data Forwarder Docs

Windows DNS-Ereignisse über AMA

Unterstützt von:Microsoft Corporation

Der Windows DNS-Protokollconnector ermöglicht es Ihnen, alle Analyseprotokolle von Ihren Windows DNS-Servern mithilfe des Azure Monitoring Agent (AMA) auf Ihren Microsoft Sentinel Arbeitsbereich zu filtern und zu streamen. Wenn Sie diese Daten in Microsoft Sentinel haben, können Sie Probleme und Sicherheitsbedrohungen wie:

  • Versuchen Sie, böswillige Domänennamen zu beheben.
  • Veraltete Ressourceneinträge.
  • Häufig abgefragte Domänennamen und talkative DNS-Clients.
  • Angriffe, die auf dem DNS-Server ausgeführt werden.

Sie erhalten die folgenden Einblicke in Ihre Windows DNS-Server von Microsoft Sentinel:

  • Alle Protokolle werden an einem zentralen Ort zentralisiert.
  • Anforderungslast auf DNS-Servern.
  • Dynamische DNS-Registrierungsfehler.

Windows DNS-Ereignisse werden von Advanced SIEM Information Model (ASIM) unterstützt und Daten in die ASimDnsActivityLogs-Tabelle streamen. Erfahren Sie mehr.

Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ASimDnsActivityLogs Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Windows Firewall

Unterstützt von:Microsoft Corporation

Windows Firewall ist eine Microsoft Windows-Anwendung, die Informationen filtert, die aus dem Internet auf Ihr System zugreifen und potenziell schädliche Programme blockieren. Die Software verhindert für die meisten Programme die Kommunikation über die Firewall. Benutzer fügen der Liste der zulässigen Programme einfach ein Programm hinzu, damit es über die Firewall kommunizieren kann. Wenn Sie ein öffentliches Netzwerk verwenden, kann Windows Firewall das System auch sichern, indem alle unerwünschten Versuche blockiert werden, eine Verbindung mit Ihrem Computer herzustellen. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Windows Firewallereignisse über AMA

Unterstützt von:Microsoft Corporation

Windows Firewall ist eine Microsoft Windows-Anwendung, die Informationen filtert, die aus dem Internet auf Ihr System zugreifen und potenziell schädliche Programme blockieren. Die Firewallsoftware blockiert für die meisten Programme die Kommunikation über die Firewall. Um Ihre Windows Firewallanwendungsprotokolle zu streamen, die von Ihren Computern gesammelt wurden, verwenden Sie den Azure Monitor-Agent (AMA), um diese Protokolle in den Microsoft Sentinel Arbeitsbereich zu streamen.

Ein konfigurierter Datensammlungsendpunkt (DATA Collection Endpoint, DCE) muss mit der Datensammlungsregel (DATA Collection Rule, DCR) verknüpft werden, die für den AMA zum Sammeln von Protokollen erstellt wurde. Für diesen Connector wird automatisch ein DCE in derselben Region wie der Arbeitsbereich erstellt. Wenn Sie bereits einen DCE verwenden, der in derselben Region gespeichert ist, können Sie den erstellten Standard-DCE ändern und Ihren vorhandenen über die API verwenden. DCEs können sich in Ihren Ressourcen mit dem SentinelDCE-Präfix im Ressourcennamen befinden.

Weitere Informationen finden Sie in den folgenden Artikeln:

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Windows Weitergeleitete Ereignisse

Unterstützt von:Microsoft Corporation

Sie können alle Windows Ereignisweiterleitungsprotokolle (WEF) von den Windows Servern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, indem Sie Azure Monitor Agent (AMA) verwenden. Diese Verbindung ermöglicht es Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dadurch erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
WindowsEvent Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Windows Security Ereignisse über AMA

Unterstützt von:Microsoft Corporation

Sie können alle Sicherheitsereignisse von den Windows Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, mithilfe des Windows-Agents. Diese Verbindung ermöglicht es Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dadurch erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityEvent Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

WithSecure Elements API (Azure Function)

Unterstützt von:WithSecure

WithSecure Elements ist eine einheitliche cloudbasierte Cyber-Sicherheitsplattform zur Reduzierung von Risiken, Komplexität und Ineffizienz.

Erhöhen Sie die Sicherheit von Ihren Endpunkten bis zu Ihren Cloudanwendungen. Schützen Sie sich vor jeder Art von Cyber-Bedrohung, von gezielten Angriffen bis hin zu Zero-Day-Ransomware.

WithSecure Elements kombiniert leistungsstarke prädiktive, präventive und responsive Sicherheitsfunktionen, die alle über eine einzelne Sicherheitszentrale verwaltet und überwacht werden. Unsere modulare Struktur und unsere flexiblen Preismodelle bieten Ihnen die Freiheit, Ihre Umgebung weiterzuentwickeln. Mit unserem Know-how und unseren Erkenntnissen verfügen Sie immer über eine solide Wissensbasis – und Sie werden nie allein sein.

Mit Microsoft Sentinel Integration können Sie Security-Ereignisse Daten aus der WithSecure Elements-Lösung mit Daten aus anderen Quellen korrelieren und einen umfassenden Überblick über Ihre gesamte Umgebung und eine schnellere Reaktion auf Bedrohungen ermöglichen.

Mit dieser Lösung wird Azure Function für Ihren Mandanten bereitgestellt, wobei die Sicherheitsereignisse von WithSecure Elements regelmäßig abgerufen werden.

Weitere Informationen finden Sie auf unserer Website unter: https://www.withsecure.com.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
WsSecurityEvents_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Clientanmeldeinformationen der API für unsichere Elemente: Clientanmeldeinformationen sind erforderlich. Weitere Informationen finden Sie in der Dokumentation.

Wiz (mit Azure Functions)

Unterstützt von:Wiz

Mit dem Wiz-Connector können Sie wiz-Probleme, Sicherheitsrisikoergebnisse und Überwachungsprotokolle auf einfache Weise an Microsoft Sentinel senden.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) Nein Nein
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) Nein Nein
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Wiz-Dienstkontoanmeldeinformationen: Stellen Sie sicher, dass Sie über die Client-ID ihres Wiz-Dienstkontos und den geheimen Clientschlüssel, die API-Endpunkt-URL und die Authentifizierungs-URL verfügen. Anweisungen finden Sie in der Wiz-Dokumentation.

Workday-Benutzeraktivität

Unterstützt von:Microsoft Corporation

Der Workday Benutzeraktivitätsdatenconnector bietet die Möglichkeit, Benutzeraktivitätsprotokolle aus Workday-API in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ASimAuditEventLogs Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Zugriff auf die Workday-Benutzeraktivitäts-API: Der Zugriff auf die Workday-Benutzeraktivitäts-API über Oauth ist erforderlich. Der API-Client muss den Bereich haben: System und muss von einem Konto mit Systemüberwachungsberechtigungen autorisiert werden.

Workplace von Facebook (mit Azure Functions)

Unterstützt von:Microsoft Corporation

Der Workplace-Datenconnector bietet die Möglichkeit, allgemeine Workplace-Ereignisse über Webhooks in Microsoft Sentinel aufzunehmen. Webhooks ermöglichen es benutzerdefinierten Integrations-Apps, Ereignisse in Workplace zu abonnieren und Updates in Echtzeit zu erhalten. Wenn es in Workplace zu einer Änderung kommt, wird eine HTTPS POST-Anforderung mit Ereignisinformationen an eine Datenconnector-URL für Rückrufe gesendet. Weitere Informationen finden Sie in der Webhooks-Dokumentation . Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Workplace_Facebook_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Webhooks-Anmeldeinformationen/Berechtigungen: WorkplaceAppSecret, WorkplaceVerifyToken, Rückruf-URL sind für die Arbeit mit Webhooks erforderlich. Weitere Informationen zum Konfigurieren von Webhooks und zum Konfigurieren von Berechtigungen finden Sie in der Dokumentation.

Zero Networks Segment-Audit

Unterstützt von:Zero Networks

Der Zero Networks Segment Überwachungsdatenconnector bietet die Möglichkeit, Zero Networks Audit-Ereignisse über die REST-API in Microsoft Sentinel aufzunehmen. Dieser Datenconnector verwendet Microsoft Sentinel systemeigene Abruffunktion.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ZNSegmentAuditNativePoller_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Zero Networks API Token: ZeroNetworksAPIToken ist für REST-API erforderlich. Lesen Sie den API-Leitfaden, und befolgen Sie die Anweisungen zum Abrufen von Anmeldeinformationen.

ZeroFox CTI

Unterstützt von:ZeroFox

Die ZeroFox CTI-Datenconnectors bieten die Möglichkeit, die verschiedenen ZeroFox Cyber Threat Intelligence-Warnungen in Microsoft Sentinel aufzunehmen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ZeroFox_CTI_advanced_dark_web_CL Nein Nein
ZeroFox_CTI_botnet_CL Nein Nein
ZeroFox_CTI_breaches_CL Nein Nein
ZeroFox_CTI_C2_CL Nein Nein
ZeroFox_CTI_compromised_credentials_CL Nein Nein
ZeroFox_CTI_credit_cards_CL Nein Nein
ZeroFox_CTI_dark_web_CL Nein Nein
ZeroFox_CTI_discord_CL Nein Nein
ZeroFox_CTI_disruption_CL Nein Nein
ZeroFox_CTI_email_addresses_CL Nein Nein
ZeroFox_CTI_exploits_CL Nein Nein
ZeroFox_CTI_irc_CL Nein Nein
ZeroFox_CTI_malware_CL Nein Nein
ZeroFox_CTI_national_ids_CL Nein Nein
ZeroFox_CTI_phishing_CL Nein Nein
ZeroFox_CTI_phone_numbers_CL Nein Nein
ZeroFox_CTI_ransomware_CL Nein Nein
ZeroFox_CTI_telegram_CL Nein Nein
ZeroFox_CTI_threat_actors_CL Nein Nein
ZeroFox_CTI_vulnerabilities_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • ZeroFox API Credentials/permissions: ZeroFox Username, ZeroFox Personal Access Token sind für ZeroFox CTI REST API erforderlich.

ZeroFox Enterprise – Warnungen (Umfrage CCF)

Unterstützt von:ZeroFox

Sammelt Benachrichtigungen aus der ZeroFox-API.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ZeroFoxAlertPoller_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • ZeroFox Personal Access Token (PAT): Ein ZeroFox PAT ist erforderlich. Sie können es in > abrufen.

Zimperium Mobile Bedrohungsverteidigung

Unterstützt von:Zimperium

Zimperium Mobile Threat Defense Connector bietet Ihnen die Möglichkeit, das Zimperium-Bedrohungsprotokoll mit Microsoft Sentinel zu verbinden, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. So erhalten Sie einen besseren Einblick in die Bedrohungslage mobiler Geräte in Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
ZimperiumThreatLog_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Zoom Reports (using Azure Functions)

Unterstützt von:Microsoft Corporation

Der Zoom Berichtsdatenconnector bietet die Möglichkeit, Zoom Reports Ereignisse über die REST-API in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu bewerten, die Zusammenarbeit zu überwachen und Konfigurationsprobleme zu diagnostizieren und zu beheben.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Zoom_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • REST-API-Anmeldeinformationen/Berechtigungen: AccountID, ClientID und ClientSecret sind für die Zoom-API erforderlich. Weitere Informationen finden Sie unter Zoom-API. Befolgen Sie die Anweisungen für Zoom-API-Konfigurationen.

Veraltete Sentinel-Datenconnectors

Note

In der folgenden Tabelle sind die veralteten und älteren Datenconnectors aufgeführt. Veraltete Connectors werden nicht mehr unterstützt.

[Veraltet] GitHub Unternehmensüberwachungsprotokoll

Unterstützt von:Microsoft Corporation

Der GitHub Überwachungsprotokollconnector bietet die Möglichkeit, GitHub Protokolle in Microsoft Sentinel aufzunehmen. Indem Sie GitHub Überwachungsprotokolle mit Microsoft Sentinel verbinden, können Sie diese Daten in Arbeitsmappen anzeigen, sie verwenden, um benutzerdefinierte Warnungen zu erstellen und Ihren Untersuchungsprozess zu verbessern.

Note: Wenn Sie GitHub abonnierten Ereignisse in Microsoft Sentinel aufnehmen möchten, lesen Sie bitte GitHub (mithilfe von Webhooks) Connector aus dem Katalog "Data Connectors".

HINWEIS: Dieser Datenconnector ist veraltet, erwägen Sie, in die lösung verfügbare CCF-Datenkonnektor zu wechseln, die die Aufnahme über die veraltete HTTP-Datensammler-API ersetzt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
GitHubAuditLogPolling_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • GitHub API personal access token: Sie benötigen ein GitHub persönliches Zugriffstoken, um das Abfragen für das Überwachungsprotokoll der Organisation zu ermöglichen. Sie können entweder ein klassisches Token mit dem Bereich „read:org“ oder ein differenziertes Token mit dem Bereich „Verwaltung: Schreibgeschützt“ verwenden.
  • GitHub Enterprise-Typ: Dieser Connector funktioniert nur mit GitHub Enterprise Cloud. Er unterstützt GitHub Enterprise Server nicht.

[Veraltet] Infoblox SOC Insight Data Connector über Legacy Agent

Unterstützt von:Infoblox

Mit dem Infoblox SOC Insight Data Connector können Sie Ihre Infoblox BloxOne SOC Insight-Daten ganz einfach mit Microsoft Sentinel verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie die Vorteile der Such- und Korrelations-, Warnungs- und Bedrohungserkennungserweiterung für jedes Protokoll nutzen.

Dieser Datenkonnektor erfasst Infoblox SOC Insight CDC mithilfe des älteren Log Analytics-Agents in Ihrem Log Analytics Workspace.

Microsoft empfiehlt die Installation von Infoblox SOC Insight Data Connector über AMA Connector. Der Legacyconnector verwendet den Log Analytics-Agent, der von Aug 31, 2024, veraltet ist und nur installiert werden sollte, wenn AMA nicht unterstützt wird.

Die Verwendung von MMA und AMA auf demselben Computer kann zu Protokollduplizierungs- und zusätzlichen Aufnahmekosten führen. Weitere Informationen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
CommonSecurityLog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

[Veraltet] Ausguck

Unterstützt von:Lookout

Der Lookout-Datenkonnektor bietet die Möglichkeit, ereignisse Lookout über die mobile Risiko-API in Microsoft Sentinel aufzunehmen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Lookout-Datenconnector bietet die Möglichkeit, Ereignisse abzurufen, die helfen, potenzielle Sicherheitsrisiken und mehr zu untersuchen.

HINWEIS: Dieser Datenconnector ist veraltet, erwägen Sie, in die lösung verfügbare CCF-Datenkonnektor zu wechseln, die die Aufnahme über die veraltete HTTP-Datensammler-API ersetzt.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Lookout_CL Nein Nein

Unterstützung von Datensammlungsregel: Zurzeit nicht unterstützt

Voraussetzungen:

  • Microsoft.Web/sites permissions: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen finden Sie unter Azure Functions.
  • Anmeldeinformationen/Berechtigungen der mobilen Risiko-API: EnterpriseName & ApiKey sind für die MOBILE Risiko-API erforderlich. Weitere Informationen finden Sie unter API. Überprüfen Sie alle Anforderungen und folgen Sie den Anleitungen um Zugangsdaten zu erhalten.

[Veraltet] Microsoft Exchange Protokolle und Ereignisse

Supported by:Community

Veraltet, verwenden Sie die Dataconnectors "ESI-Opt". Sie können alle Exchange-Überwachungsereignisse, IIS-Protokolle, HTTP-Proxyprotokolle und Sicherheitsereignisprotokolle von den Windows Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, mithilfe des Windows-Agents. Diese Verbindung ermöglicht es Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dies wird von Microsoft Exchange Sicherheitsarbeitsmappen verwendet, um Sicherheitseinblicke ihrer lokalen Exchange-Umgebung bereitzustellen.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Event Yes Nein
SecurityEvent Yes Yes
W3CIISLog Yes Nein
MessageTrackingLog_CL Yes Yes
ExchangeHttpProxy_CL Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Voraussetzungen:

  • Azure Log Analytics werden veraltet sein, um Daten von nicht Azure VMs zu sammeln, Azure Arc empfohlen wird. Weitere Informationen
  • Detaillierte Dokumentation> Ausführliche Dokumentation zu Installationsverfahren und Nutzung finden Sie hier

Sicherheitsereignisse über Legacy-Agent

Unterstützt von:Microsoft Corporation

Sie können alle Sicherheitsereignisse von den Windows Computern streamen, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, mithilfe des Windows-Agents. Diese Verbindung ermöglicht es Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dadurch erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge. Weitere Informationen finden Sie in der dokumentation Microsoft Sentinel.

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityEvent Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Subscription-based Microsoft Defender for Cloud (Legacy)

Unterstützt von:Microsoft Corporation

Microsoft Defender for Cloud ist ein Sicherheitsverwaltungstool, mit dem Sie Bedrohungen über Azure-, Hybrid- und Multi-Cloud-Workloads hinweg erkennen und schnell reagieren können. Mit diesem Connector können Sie Ihre Sicherheitswarnungen von Microsoft Defender for Cloud in Microsoft Sentinel streamen, sodass Sie Defender-Daten in Arbeitsmappen anzeigen, sie abfragen können, um Warnungen zu erstellen und Vorfälle zu untersuchen und darauf zu reagieren.

Weitere Informationen>

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
SecurityAlert Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Syslog über Legacy-Agent

Unterstützt von:Microsoft Corporation

Syslog ist ein gängiges Protokoll zur Ereignisprotokollierung für Linux. Anwendungen senden Nachrichten, die auf dem lokalen Computer gespeichert oder an einen Syslog-Sammler übermittelt werden können. Wenn der Agent für Linux installiert ist, konfiguriert er den lokalen Syslog-Daemon zum Weiterleiten von Nachrichten an den Agent. Der Agent sendet die Nachricht dann an den Arbeitsbereich.

Weitere Informationen>

Log Analytics Tabelle(n):

Table DCR-Unterstützung Nur-See-Aufnahme
Syslog Yes Yes

Unterstützung von Datensammlungsregel:Arbeitsbereichstransformation DCR

Nächste Schritte

Weitere Informationen finden Sie unter

  • Last updated on