Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie mithilfe von Diagnoseeinstellungsverbindungen eine Verbindung mit Microsoft Sentinel herstellen. Microsoft Sentinel nutzt die Azure-Grundlage, um integrierte Service-to-Service-Unterstützung für die Datenerfassung aus vielen Azure- und Microsoft 365-Diensten, Amazon Web Services und verschiedenen Windows Server-Diensten bereitzustellen. Es gibt verschiedene Methoden, mit denen diese Verbindungen hergestellt werden.
Dieser Artikel enthält Informationen, die der Gruppe von Datenconnectors gemeinsam sind, die auf Diagnoseeinstellungen basierende Verbindungen verwenden. Einige dieser Arten von Connectors werden mithilfe von Azure Policy verwaltet. Verwenden Sie für die anderen Connectors dieses Typs die eigenständigen Anweisungen.
Hinweis
Informationen zur Featureverfügbarkeit in Clouds für US-Behörden finden Sie unter Microsoft Sentinel Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.
Voraussetzungen
Um Daten mithilfe eines eigenständigen, auf Diagnoseeinstellungen basierenden Connectors in Microsoft Sentinel erfassen zu können, müssen Sie über Lese- und Schreibberechtigungen für den Log Analytics-Arbeitsbereich verfügen, der für Microsoft Sentinel aktiviert ist.
Zum Erfassen von Daten in Microsoft Sentinel mithilfe von auf Diagnoseeinstellungen basierenden Connectors, die von Azure Policy verwaltet werden, müssen außerdem die folgenden Voraussetzungen erfüllt sein:
Um Azure Policy verwenden zu können, um eine Protokollstreamingrichtlinie auf Ihre Ressourcen anzuwenden, müssen Sie über die Rolle Besitzer für den Richtlinienzuweisungsbereich verfügen.
Je nachdem, welchen Connector Sie verwenden, gelten die folgenden Voraussetzungen:
Datenconnector Lizenzierung, Kosten und andere Informationen Azure-Aktivität Dieser Connector verwendet jetzt die Pipeline für Diagnoseeinstellungen. Wenn Sie die Legacymethode verwenden, müssen Sie die vorhandenen Abonnements von der Legacymethode trennen, bevor Sie den neuen Azure-Aktivitätsprotokollconnector einrichten.
1. Wählen Sie im Microsoft Sentinel Navigationsmenü Datenconnectors aus. Wählen Sie in der Liste der Connectors Azure-Aktivität und dann unten rechts die Schaltfläche Connectorseite öffnen aus.
2. Überprüfen Sie auf der Registerkarte Anweisungen im Abschnitt Konfiguration in Schritt 1 die Liste Ihrer vorhandenen Abonnements, die mit der Legacymethode verbunden sind, und trennen Sie alle gleichzeitig, indem Sie unten auf die Schaltfläche Alle trennen klicken.
3. Setzen Sie die Einrichtung des neuen Connectors mit den Anweisungen in diesem Abschnitt fort.Azure DDoS Protection – Konfiguriert Azure DDoS-Standard-Schutzplan.
– Konfiguriertes virtuelles Netzwerk mit aktiviertem Azure DDoS-Standard
- Möglicherweise fallen weitere Gebühren an.
– Der Status für Azure DDoS Protection Data Connector ändert sich nur dann in Verbunden, wenn die geschützten Ressourcen einem DDoS-Angriff ausgesetzt sind.Azure-Speicherkonto Die Speicherkontoressource (übergeordnete Ressource) enthält weitere (untergeordnete) Ressourcen für jeden Speichertyp: Dateien, Tabellen, Warteschlangen und Blobs.
Beim Konfigurieren von Diagnose für ein Speicherkonto müssen Sie Folgendes auswählen und konfigurieren:
– Die ressource des übergeordneten Kontos, die die Transaktionsmetrik exportiert.
– Jede der untergeordneten Speicherressourcen, die alle Protokolle und Metriken exportieren.
Es werden nur die Speichertypen angezeigt, für die Sie tatsächlich Ressourcen definiert haben.
Herstellen einer Verbindung über einen eigenständigen, auf Diagnoseeinstellungen basierenden Connector
In diesem Verfahren wird beschrieben, wie Sie mithilfe von Datenconnectors, die eigenständige Verbindungen basierend auf Diagnoseeinstellungen verwenden, eine Verbindung mit Microsoft Sentinel herstellen.
Wählen Sie im navigationsmenü Microsoft Sentinel die Option Datenconnectors aus.
Wählen Sie im Datenconnectorskatalog Ihren Ressourcentyp und dann im Vorschaubereich Connectorseite öffnen aus.
Wählen Sie im Abschnitt Konfiguration der Connectorseite den Link aus, um die Ressourcenkonfigurationsseite zu öffnen.
Wenn eine Liste der Ressourcen des gewünschten Typs angezeigt wird, wählen Sie den Link für eine Ressource aus, deren Protokolle Sie erfassen möchten.
Wählen Sie im Ressourcennavigationsmenü Diagnoseeinstellungen aus.
Wählen Sie unten in der Liste + Diagnoseeinstellung hinzufügen aus.
Geben Sie auf dem Bildschirm Diagnoseeinstellungen einen Namen in das Feld Name der Diagnoseeinstellungen ein.
Aktivieren Sie das Kontrollkästchen An Log Analytics senden . Darunter werden zwei neue Felder angezeigt. Wählen Sie das relevante Abonnement und den Log Analytics-Arbeitsbereich aus (in dem sich Microsoft Sentinel befindet).
Aktivieren Sie die Kontrollkästchen der Typen von Protokollen und Metriken, die Sie sammeln möchten. Sehen Sie sich die empfohlenen Optionen für jeden Ressourcentyp im Abschnitt für den Connector der Ressource auf der Referenzseite Datenconnectors an .
Wählen Sie oben auf dem Bildschirm Speichern aus.
Weitere Informationen finden Sie auch unter Erstellen von Diagnoseeinstellungen zum Senden von Azure Überwachen von Plattformprotokollen und Metriken an verschiedene Ziele in der Azure Monitor-Dokumentation.
Herstellen einer Verbindung über einen auf Diagnoseeinstellungen basierenden Connector, der von Azure Policy
In diesem Verfahren wird beschrieben, wie Sie eine Verbindung mit Microsoft Sentinel mithilfe von Datenconnectors herstellen, die Verbindungen verwenden, die auf Diagnoseeinstellungen basieren und von Azure Policy verwaltet werden.
Connectors dieses Typs verwenden Azure Policy, um eine einzelne Diagnoseeinstellungskonfiguration auf eine Sammlung von Ressourcen eines einzelnen Typs anzuwenden, die als Bereich definiert sind. Die von einem bestimmten Ressourcentyp erfassten Protokolltypen finden Sie auf der linken Seite der Connectorseite für diese Ressource unter Datentypen.
Wählen Sie im navigationsmenü Microsoft Sentinel die Option Datenconnectors aus.
Wählen Sie im Datenconnectorskatalog Ihren Ressourcentyp und dann im Vorschaubereich Connectorseite öffnen aus.
Erweitern Sie im Abschnitt Konfiguration der Connectorseite alle dort angezeigten Expander, und wählen Sie die Schaltfläche Start Azure Policy Zuweisungs-Assistent aus.
Der Richtlinienzuweisungs-Assistent wird geöffnet, der bereit ist, eine neue Richtlinie zu erstellen, wobei ein Richtlinienname bereits ausgefüllt ist.
Wählen Sie auf der Registerkarte Grundlagen die Schaltfläche mit den drei Punkten unter Bereich aus, um Ihr Abonnement (und optional eine Ressourcengruppe) auszuwählen. Sie können auch eine Beschreibung hinzufügen.
Auf der Registerkarte Parameter :
- Deaktivieren Sie das Kontrollkästchen Nur Parameter anzeigen, die Eingabe erfordern .
- Wenn die Felder Effekt und Einstellungsname angezeigt werden, lassen Sie sie unverändert.
- Wählen Sie ihren Microsoft Sentinel Arbeitsbereich aus der Dropdownliste Log Analytics-Arbeitsbereich aus.
- Die verbleibenden Dropdownfelder stellen die verfügbaren Diagnoseprotokolltypen dar. Lassen Sie alle Protokolltypen, die Sie erfassen möchten, als True markiert.
Die Richtlinie wird auf ressourcen angewendet, die in Zukunft hinzugefügt werden. Um die Richtlinie auch auf Ihre vorhandenen Ressourcen anzuwenden, aktivieren Sie die Registerkarte Wartung , und aktivieren Sie das Kontrollkästchen Wartungstask erstellen .
Klicken Sie auf der Registerkarte Überprüfen + erstellen auf Erstellen. Ihre Richtlinie ist jetzt dem von Ihnen ausgewählten Bereich zugewiesen.
Bei diesem Typ von Datenconnector wird die Konnektivität status Indikatoren (ein Farbstreifen im Datenconnectorskatalog und Verbindungssymbole neben den Datentypnamen) nur dann als verbunden (grün) angezeigt, wenn die Daten zu einem bestimmten Zeitpunkt in den letzten 14 Tagen erfasst wurden. Nachdem 14 Tage ohne Datenerfassung vergangen sind, wird der Connector als getrennt angezeigt. Sobald mehr Daten eingehen, wird die verbundene status zurückgegeben.
Sie können die Daten für jeden Ressourcentyp mithilfe des Tabellennamens suchen und abfragen, der im Abschnitt für den Connector der Ressource auf der Referenzseite Datenconnectors angezeigt wird. Weitere Informationen finden Sie unter Erstellen von Diagnoseeinstellungen zum Senden von Azure Überwachen von Plattformprotokollen und -metriken an verschiedene Ziele in der Azure Monitor-Dokumentation.
Verwandte Inhalte
Weitere Informationen finden Sie unter: