Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um die Datenquellen mit Microsoft Sentinel zu verbinden, müssen Sie Daten-Connectors installieren und konfigurieren. In diesem Artikel wird allgemein erläutert, wie man Datenconnectors installiert, die im Microsoft Sentinel Content Hub verfügbar sind, um Daten für eine verbesserte Bedrohungserkennung zu erfassen und zu analysieren.
- Microsoft Sentinel-Datenkonnektoren
- Finden Sie Ihren Microsoft Sentinel-Daten-Connector
- Entdecken und Verwalten von sofort einsatzbereiten Inhalten von Microsoft Sentinel
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über den entsprechenden Zugriff verfügen und Sie oder jemand in Ihrer Organisation die zugehörige Lösung installiert.
- Sie müssen über Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich verfügen.
- Installieren Sie die Lösung, die den Datenconnector aus dem Inhaltshub in Microsoft Sentinel enthält. Weitere Informationen finden Sie unter Entdecken und Verwalten von sofort einsatzbereiten Inhalten von Microsoft Sentinel.
Aktualisieren eines Datenconnectors
Nachdem Sie oder eine Person in Ihrer Organisation die Lösung installiert haben, die den benötigten Datenconnector enthält, konfigurieren Sie den Datenconnector, um mit dem Aufnehmen von Daten zu beginnen.
Wählen Sie im Defender-Portal für Microsoft Sentinel die Optionen Microsoft Sentinel>Konfigurationen>Datenconnectors aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Datenverbinder aus.
Suchen Sie nach dem Connector, und wählen Sie den Connector aus. Wenn der gewünschte Datenkonnektor nicht angezeigt wird, überprüfen Sie erneut, ob die relevante Lösung im Inhaltshub installiert ist.
Wählen Sie Connectorseite öffnen aus.
Überprüfen Sie die Voraussetzungen für Ihren Datenconnector, und stellen Sie sicher, dass sie erfüllt sind.
Führen Sie die im Abschnitt "Konfigurationen" für Ihren Datenconnector beschriebenen Schritte aus.
Für einige Connectors finden Sie spezifischere Konfigurationsinformationen im Abschnitt " Daten sammeln " in der Microsoft Sentinel-Dokumentation.
Konfigurieren der Datenaufbewahrung und des Tierings
Wenn Sie Microsoft Sentinel-Data Lake eingerichtet haben, können Sie die Datenaufbewahrung und das Datentiering für den Datenconnector konfigurieren. Der Data Lake besteht aus einer Analyseebene – Ihren aktuellen Microsoft Sentinel-Arbeitsbereichen und einer Data Lake Ebene, auf der Sie Daten für bis zu 12 Jahre speichern können. Weitere Informationen zum Onboarding finden Sie unter Onboarding in den Microsoft Sentinel Data Lake.
Wenn Sie einen Konnektor aktivieren, werden die Daten standardmäßig an die Analytics-Ebene gesendet und parallel in der Data-Lake-Ebene gespiegelt. Konfigurieren Sie die Datenaufbewahrung in jeder Ebene, oder senden Sie die Daten nur an die Datenseeebene. Aufbewahrung und Staffelung werden von den Konnektoreinrichtungsseiten oder über die Tabellenverwaltungsseite im Defender-Portal verwaltet. Weitere Informationen zur Tabellenverwaltung und -aufbewahrung finden Sie unter Verwalten von Datenebenen und Aufbewahrung in Microsoft Defender Portal.
Nachdem Sie Ihren Connector eingerichtet haben, konfigurieren Sie die Datenaufbewahrung und das Daten-Tiering anhand der folgenden Schritte:
Wählen Sie auf der Seite " Connectordetails " im Abschnitt "Tabellenverwaltung " die Tabelle aus, die Sie verwalten möchten.
Der Tabellenbereich wird mit den aktuellen Aufbewahrungseinstellungen angezeigt.
Um die Aufbewahrung zu konfigurieren, wählen Sie "Tabelle verwalten" aus.
Der Bereich "Tabelle verwalten " wird mit den aktuellen Aufbewahrungseinstellungen angezeigt. Sie können die Aufbewahrungseinstellungen für die Analyseebene und die Datenseeebene ändern. Standardmäßig werden die Daten auf die Data-Lake-Ebene mit der gleichen Aufbewahrung wie die Analyseebene gespiegelt.
Wählen Sie unter "Analyseaufbewahrung " den Aufbewahrungszeitraum für die Analyseebene aus.
Um die Datenseeebene zu konfigurieren, wählen Sie einen Aufbewahrungszeitraum aus der Dropdownliste " Gesamtaufbewahrung " aus.
Um die Stufe auf nur Data Lake zu ändern, wählen Sie die Data Lake-Stufe aus und wählen Sie einen Aufbewahrungszeitraum aus der Aufbewahrung-Dropdownliste. Wenn Sie diese Option auswählen, wird die Datenaufnahme in die Analyseebene gestoppt.
Klicken Sie zum Speichern der Änderungen auf Speichern.
Nachdem Sie den Datenconnector konfiguriert haben, kann es einige Zeit dauern, bis die Daten in Microsoft Sentinel aufgenommen werden. Es dauert 90 bis 120 Minuten, bis Daten in den Datensee aufgenommen werden. Wenn der Daten-Connector verbunden ist, wird eine Zusammenfassung der Daten im Diagramm 'Empfangene Daten' und der Verbindungsstatus der Datentypen angezeigt.
Suchen von Daten
Nachdem Sie den Connector erfolgreich aktiviert haben, beginnt der Connector mit dem Streamen von Daten in die Tabellenschemas im Zusammenhang mit den von Ihnen konfigurierten Datentypen.
Fragen Sie im Defender-Portal Daten auf der Seite " Erweiterte Suche" oder im Azure-Portal auf der Seite "Protokolle" ab.
Navigieren Sie zum Data Lake-Explorer , KQL-Abfragen , um Daten im Datensee abzufragen. Weitere Informationen finden Sie unter KQL und dem Microsoft Sentinel-Datensee.
Unterstützung für einen Datenconnector suchen
Sowohl Microsoft als auch andere Organisationen erstellen Microsoft Sentinel-Datenconnectors. Suchen Sie den Supportkontakt von der Datenconnectorseite in Microsoft Sentinel.
Wählen Sie auf der Microsoft Sentinel-Seite Datenconnectors den relevanten Connector aus.
Um auf Support und Wartung für den Verbinder zuzugreifen, verwenden Sie den Supportkontaktlink im Feld "Unterstützt von " im Seitenbereich für den Verbinder.
Weitere Informationen finden Sie unter Data Connector-Unterstützung.
Verwandte Inhalte
Weitere Informationen zu Lösungen und Datenconnectors in Microsoft Sentinel finden Sie in den folgenden Artikeln.
- Microsoft Sentinel-Datenkonnektoren
- Finden Sie Ihren Microsoft Sentinel-Daten-Connector
- Verbinden von Microsoft Sentinel mit Azure-, Windows-, Microsoft- und Amazon-Diensten
- Was ist Microsoft Sentinel-Datensee?
- Einstieg in Microsoft Sentinel Data Lake
- Verwalten von Datenebenen und Aufbewahrung in Microsoft Defender Portal.
- KQL und der Microsoft Sentinel-Datensee
- Jupyter-Notizbücher und der Microsoft Sentinel-Datensee