Suchen Ihres Microsoft Sentinel-Daten-Konnektors

Hinweis

Azure Sentinel heißt jetzt Microsoft Sentinel, und wir werden diese Seiten in den nächsten Wochen aktualisieren. Erfahren Sie mehr über die aktuellen Sicherheitsverbesserungen von Microsoft.

In diesem Artikel wird die Bereitstellung von Daten-Konnektoren in Microsoft Sentinel beschrieben, wobei alle unterstützten, sofort einsatzbereiten Daten-Konnektoren sowie Links zu allgemeinen Bereitstellungsverfahren und zusätzlichen Schritten, die für bestimmte Konnektoren erforderlich sind, aufgeführt werden.

Tipp

Einige Datenconnectors werden nur über Lösungen bereitgestellt. Weitere Informationen finden Sie im Microsoft Sentinel-Lösungskatalog. Sie finden auch andere, in der Community integrierte Daten-Konnektors im Microsoft Sentinel-GitHub Repository.

Verwendung dieses Leitfadens

  1. Suchen Sie zunächst den Connector für Ihr Produkt, Ihren Dienst oder Ihr Gerät im Menü mit den Überschriften auf der rechten Seite, und wählen Sie ihn aus.

    Die erste Information, die zu jedem Connector angezeigt wird, ist die Datenerfassungsmethode. Die dort angezeigte Methode enthält einen Link zu einem der folgenden generischen Bereitstellungsverfahren, die die meisten Informationen enthalten, die Sie benötigen, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden:

    Datenerfassungsmethode Verknüpfter Artikel mit Anweisungen
    Azure-Dienst-zu-Dienst-Integration Verbinden mit Azure-, Windows-, Microsoft- und Amazon-Diensten
    Common Event Format (CEF) über Syslog Einlesen von CEF-formatierten Protokollen von Ihrem Gerät oder Ihrer Anwendung in Microsoft Sentinel
    Microsoft Sentinel-Datensammler-API Verbinden Ihrer Datenquelle an die Microsoft Sentinel-Datensammler-API, um Daten zu erfassen
    Azure Functions und die REST-API Verwenden Azure Functions, um Microsoft Sentinel mit Ihrer Datenquelle zu verbinden
    Syslog Sammeln von Daten aus Linux-basierten Quellen mithilfe von Syslog
    Benutzerdefinierte Protokolle Sammeln von Daten in benutzerdefinierten Protokollformaten für Microsoft Sentinel mit dem Log Analytics-Agent

    Hinweis

    Die Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration steht je nach Connectortyp mit drei verschiedenen Abschnitten in diesem Artikel in Zusammenhang. Der Abschnitt unten für jeden Connector gibt den Abschnitt in diesem Artikel an, mit dem er verknüpft ist.

  2. Wenn Sie einen bestimmten Connector bereitstellen, wählen Sie den Artikel zur entsprechenden Datenerfassungsmethode aus und verwenden die Informationen und zusätzlichen Leitfäden im entsprechenden Abschnitt unten, als Ergänzung zu den Informationen in diesem Artikel.

Tipp

  • Viele Daten-Konnektoren können auch als Teil einer Microsoft Sentinel-Lösung eingesetzt werden, zusammen mit den zugehörigen Analyseregeln, Arbeitsmappen und Playbooks. Weitere Informationen finden Sie im Microsoft Sentinel-Lösungskatalog.

  • Weitere Daten-Konnektors werden von der Microsoft Sentinel-Community bereitgestellt und finden Sie im Azure Marketplace. Die Dokumentation dieser Communitydatenconnectors ist Verantwortung der Organisation, die den Connector erstellt hat.

  • Wenn Ihre Datenquelle nicht aufgeführt ist oder derzeit nicht unterstützt wird, können Sie auch einen eigenen, benutzerdefinierten Connector erstellen. Weitere Informationen finden Sie unter Ressourcen zum Erstellen von benutzerdefinierten Microsoft Sentinel-Konnektors.

Wichtig

Notierte Microsoft Sentinel-Daten-Konnektors befinden sich derzeit in der Vorschauversion. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen für Datenkonnektoren

Jeder Datenconnector hat seine eigenen Voraussetzungen, z. B. erforderliche Berechtigungen für Ihren Azure-Arbeitsbereich, Ihr Abonnement oder Ihre Richtlinie usw., oder andere Anforderungen für die Partnerdatenquelle, mit der Sie eine Verbindung herstellen.

Die Voraussetzungen für jeden Datenconnector werden auf der entsprechenden Datenconnectorseite in Microsoft Sentinel auf der Registerkarte Anweisungen aufgelistet.

Agari Phishing Defense and Brand Protection (Vorschau)

Connectorattribut BESCHREIBUNG
Datenerfassungsmethode Azure Functions und die REST-API

Vor der Bereitstellung:Aktivieren der Security Graph-API (optional)
Nach der Bereitstellung:Zuweisen der erforderlichen Berechtigungen zu Ihrer Funktions-App
Log Analytics-Tabellen agari_bpalerts_log_CL
agari_apdtc_log_CL
agari_apdpolicy_log_CL
DCR-Unterstützung Derzeit nicht unterstützt
Azure Functions-App-Code https://aka.ms/Sentinel-agari-functionapp
API-Anmeldeinformationen
  • Client-ID
  • Geheimer Clientschlüssel
  • (Optional: Graph-Mandanten-ID, Graph-Client-ID, Graph-Clientgeheimnis)
  • Lieferantendokumentation/
    Installationsanweisungen
  • Schnellstart
  • Agari-Website für Entwickler
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Anwendungseinstellungen
  • clientID
  • clientSecret
  • workspaceID
  • workspaceKey
  • enableBrandProtectionAPI (TRUE/FALSE)
  • enablePhishingResponseAPI (TRUE/FALSE)
  • enablePhishingDefenseAPI (TRUE/FALSE)
  • resGroup (Ressourcengruppe eingeben)
  • functionName
  • subId (Abonnement-ID eingeben)
  • enableSecurityGraphSharing (TRUE/FALSE; siehe unten)
    Erforderlich, wenn enableSecurityGraphSharing auf TRUE festgelegt ist (siehe unten):
  • GraphTenantId
  • GraphClientId
  • GraphClientSecret
  • logAnalyticsUri (optional)
  • Unterstützt von Agari

    Aktivieren der Security Graph-API (optional)

    Wichtig

    Wenn Sie diesen Schritt ausführen, sollte dies vor der Bereitstellung Ihres Datenconnectors erfolgen.

    Mit der Funktionsapp von Agari können Sie Informationen zu Bedrohungen mit Microsoft Sentinel über die Security Graph-API teilen. Hierfür muss der Sentinel Threat Intelligence Platforms-Connector aktiviert werden. Außerdem muss eine Anwendung in Azure Active Directory registriert werden.

    Dadurch erhalten Sie drei Informationen, die Sie beim Bereitstellen der Funktions-App verwenden: die Graph-Mandanten-ID, die Graph-Client-ID und das Graph-Clientgeheimnis (siehe Anwendungseinstellungen in der Tabelle unten).

    Zuweisen der erforderlichen Berechtigungen zu Ihrer Funktions-App

    Der Agari-Connector speichert Zeitstempel für Protokollzugriffe in einer Umgebungsvariablen. Damit die Anwendung in diese Variable schreiben kann, müssen der vom System zugewiesenen Identität Berechtigungen zugewiesen werden.

    1. Navigieren Sie im Azure-Portal zu Funktions-App.
    2. Wählen Sie auf der Seite Funktions-App in der Liste Ihre Funktions-App und dann im Navigationsmenü der Funktions-App Identität unter Einstellungen aus.
    3. Legen Sie auf der Registerkarte Systemseitig zugewiesen den Status auf Ein fest.
    4. Wählen Sie Speichern aus, woraufhin die Schaltfläche Azure-Rollenzuweisungen angezeigt wird. Wählen Sie ihn aus.
    5. Wählen Sie auf dem Bildschirm Azure-Rollenzuweisungen die Option Rollenzuweisung hinzufügen aus. Legen Sie Bereich auf Abonnement fest. Wählen Sie in der Dropdownliste Abonnement Ihr Abonnement aus, und legen Sie Rolle auf App Configuration-Datenbesitzer fest.
    6. Wählen Sie Speichern aus.

    AI Analyst (AIA) von Darktrace (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog

    Konfigurieren der CEF-Protokollweiterleitung für AI Analyst
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Darktrace

    Konfigurieren der CEF-Protokollweiterleitung für AI Analyst

    Konfigurieren Sie Darktrace, um Syslog-Nachrichten im CEF-Format über den Log Analytics-Agent an Ihren Azure-Arbeitsbereich weiterzuleiten.

    1. Navigieren Sie in Darktrace Threat Visualizer im Hauptmenü unter Admin zur Seite System Config (Systemkonfiguration).
    2. Wählen Sie im Menü auf der linken Seite Module aus, und wählen Sie Microsoft Sentinel aus den verfügbaren Workflow- Integrationenaus.
    3. Ein Konfigurationsfenster wird geöffnet. Suchen Sie Microsoft Sentinel Syslog CEF, und wählen Sie Neu aus, um die Konfigurationseinstellungen offenzulegen, sofern sie nicht bereits verfügbar gemacht wurden.
    4. Geben Sie im Feld Server configuration (Serverkonfiguration) den Speicherort der Protokollweiterleitung ein, und ändern Sie optional den Kommunikationsport. Stellen Sie sicher, dass der Port auf 514 festgelegt ist und von allen zwischengeschalteten Firewalls zugelassen wird.
    5. Konfigurieren Sie ggf. Warnungsschwellenwerte, Zeitoffsets oder zusätzliche Einstellungen.
    6. Überprüfen Sie alle zusätzlichen Konfigurationsoptionen, die Sie möglicherweise aktivieren möchten, um die Syslog-Syntax anzupassen.
    7. Aktivieren Sie Warnungen senden, und speichern Sie Ihre Änderungen.

    AI Vectra Detect (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog

    Konfigurieren der CEF-Protokollweiterleitung für AI Vectra Detect
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Vectra AI

    Konfigurieren der CEF-Protokollweiterleitung für AI Vectra Detect

    Konfigurieren Sie den Vectra-Agent (X-Serie), um Syslog-Nachrichten im CEF-Format über den Log Analytics-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.

    Navigieren Sie in der Vectra-Schnittstelle zu Einstellungen > Benachrichtigungen und wählen Sie Syslog-Konfiguration bearbeiten. Folgen Sie den unten stehenden Anweisungen, um die Verbindung herzustellen:

    • Neues Ziel hinzufügen (der Hostname von Protokollweiterleitung)
    • Port als 514 festlegen
    • Protokoll als UDP festlegen
    • Format als CEF festlegen
    • Protokolltypen festlegen (alle verfügbaren Protokolltypen auswählen)
    • Wählen Sie Speichern aus.

    Sie können die Schaltfläche Test auswählen, um das Senden einiger Testereignisse an die Protokollweiterleitung zu erzwingen.

    Weitere Informationen finden Sie im Syslog-Leitfaden zu Cognito Detect, den Sie auf der Ressourcenseite der Benutzeroberfläche von Detect herunterladen können.

    Akamai Security Events (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: AkamaiSIEMEvent
    Kusto-Funktions-URL: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt
    Lieferantendokumentation/
    Installationsanweisungen
    SIEM-Integration (Security Information & Event Management) konfigurieren
    Einrichten eines CEF-Connectors
    Unterstützt von Akamai

    Alcide kAudit

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen alcide_kaudit_activity_1_CL: Alcide kAudit-Aktivitätsprotokolle
    alcide_kaudit_detections_1_CL: Alcide kAudit-Erkennungen
    alcide_kaudit_selections_count_1_CL: Alcide kAudit-Aktivitätsanzahl
    alcide_kaudit_selections_details_1_CL: Alcide kAudit-Aktivitätsdetails
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Installationsleitfaden für Alcide kAudit
    Unterstützt von Alcide

    Alsid for Active Directory

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Log Analytics-Agent: benutzerdefinierte Protokolle

    Zusätzliche Konfiguration für Alsid
    Log Analytics-Tabellen AlsidForADLog_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Kusto-Funktionsalias: afad_parser
    Kusto-Funktions-URL: https://aka.ms/Sentinel-alsidforad-parser
    Unterstützt von Alsid

    Zusätzliche Konfiguration für Alsid

    1. Konfigurieren des Syslog-Servers

      Sie benötigen zunächst einen Linux-Syslog-Server, an den Alsid for AD Protokolle sendet. Unter Ubuntu können Sie in der Regel rsyslog ausführen.

      Sie können diesen Server dann wie gewünscht konfigurieren. Es wird jedoch empfohlen, AFAD-Protokolle in eine separate Datei auszugeben. Alternativ können Sie eine Schnellstartvorlage verwenden, um den Syslog-Server und den Microsoft-Agent bereitzustellen. Wenn Sie die Vorlage verwenden, können Sie die Installationsanweisungen für den Agent überspringen.

    2. Konfigurieren von Alsid zum Senden von Protokollen an Ihren Syslog-Server

      Wechseln Sie im Alsid for AD-Portal zu System, Konfiguration und dann Syslog. Dort können Sie eine neue Syslog-Warnung für Ihren Syslog-Server erstellen.

      Nachdem Sie eine neue Syslog-Warnung erstellt haben, überprüfen Sie, ob die Protokolle ordnungsgemäß auf Ihrem Server in einer separaten Datei erfasst wurden. Um beispielsweise Ihre Protokolle zu prüfen, können Sie die Schaltfläche Konfiguration testen in der Syslog-Warnungskonfiguration in AFAD verwenden. Wenn Sie die Schnellstartvorlage verwendet haben, lauscht der Syslog-Server standardmäßig an Port 514 bei UDP und 1514 bei TCP ohne TLS.

    Amazon Web Services

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Verbinden Sie Microsoft Sentinel mit Amazon Web Services, um AWS-Serviceprotokolldaten zu erfassen
    (Top Konnektor Artikel)
    Log Analytics-Tabellen AWSCloudTrail
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Amazon Web Services S3 (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Verbinden Sie Microsoft Sentinel mit Amazon Web Services, um AWS-Serviceprotokolldaten zu erfassen
    (Top Konnektor Artikel)
    Log Analytics-Tabellen AWSCloudTrail
    AWSGuardDuty
    AWSVPCFlow
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Apache HTTP Server

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Log Analytics-Agent: benutzerdefinierte Protokolle
    Log Analytics-Tabellen ApacheHTTPServer_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Kusto-Funktionsalias: ApacheHTTPServer
    Kusto-Funktions-URL: https://aka.ms/Sentinel-apachehttpserver-parser
    Beispieldatei für benutzerdefinierte Protokolle: „access.log“ oder „error.log“

    Apache Tomcat

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Log Analytics-Agent: benutzerdefinierte Protokolle
    Log Analytics-Tabellen Tomcat_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Kusto-Funktionsalias: TomcatEvent
    Kusto-Funktions-URL: https://aka.ms/Sentinel-ApacheTomcat-parser
    Beispieldatei für benutzerdefinierte Protokolle: „access.log“ oder „error.log“

    Aruba ClearPass (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: ArubaClearPass
    Kusto-Funktions-URL: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt
    Lieferantendokumentation/
    Installationsanweisungen
    Befolgen Sie die Anweisungen von Aruba, um ClearPass zu konfigurieren.
    Unterstützt von Microsoft

    Atlassian Confluence Audit (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API
    Log Analytics-Tabellen Confluence_Audit_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-confluenceauditapi-functionapp
    API-Anmeldeinformationen
  • ConfluenceAccessToken
  • ConfluenceUsername
  • ConfluenceHomeSiteName
  • Lieferantendokumentation/
    Installationsanweisungen
  • API-Dokumentation
  • Anforderungen und Anweisungen zum Abrufen von Anmeldeinformationen
  • Anzeigen des Überwachungsprotokolls
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias ConfluenceAudit
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-confluenceauditapi-parser
    Anwendungseinstellungen
  • ConfluenceUsername
  • ConfluenceAccessToken
  • ConfluenceHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Atlassian Jira Audit (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API
    Log Analytics-Tabellen Jira_Audit_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-jiraauditapi-functionapp
    API-Anmeldeinformationen
  • JiraAccessToken
  • JiraUsername
  • JiraHomeSiteName
  • Lieferantendokumentation/
    Installationsanweisungen
  • API-Dokumentation: Überwachungsdatensätze
  • Anforderungen und Anweisungen zum Abrufen von Anmeldeinformationen
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias JiraAudit
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-jiraauditapi-parser
    Anwendungseinstellungen
  • JiraUsername
  • JiraAccessToken
  • JiraHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Azure Active Directory

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Verbinden Sie Azure Active Directory-Daten mit Microsoft Sentinel
    (Top Konnektor Artikel)
    Lizenzvoraussetzungen/
    Kosteninformationen
  • Azure Active Directory P1- oder P2-Lizenz für Anmeldeprotokolle
  • Eine beliebige Azure AD-Lizenz (Free/O365/P1/P2) für andere Protokolltypen
    Möglicherweise fallen weitere Gebühren an.
  • Log Analytics-Tabellen SigninLogs
    AuditLogs
    AADNonInteractiveUserSignInLogs
    AADServicePrincipalSignInLogs
    AADManagedIdentitySignInLogs
    AADProvisioningLogs
    ADFSSignInLogs
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Azure Active Directory Identity Protection

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen
    Lizenzvoraussetzungen/
    Kosteninformationen
    Azure AD Premium P2-Abonnement
    Möglicherweise fallen weitere Gebühren an.
    Log Analytics-Tabellen SecurityAlert
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Hinweis

    Dieser Connector wurde entwickelt, um nur die Warnungen zu importieren, deren Status „Offen“ ist. Warnungen, die in Azure AD Identity Protection geschlossen wurden, werden nicht in Microsoft Sentinel importiert.

    Azure-Aktivität

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Einstellungsbasierte Diagnoseverbindungen, verwaltet von Azure Policy


    Aktualisieren auf den neuen Azure-Aktivitätsconnector
    Log Analytics-Tabellen AzureActivity
    DCR-Unterstützung Derzeit nicht unterstützt
    Unterstützt von Microsoft

    Aktualisieren auf den neuen Azure-Aktivitätsconnector

    Änderungen der Datenstruktur

    Bei diesem Connector wurde kürzlich der Back-End-Mechanismus für das Sammeln von Aktivitätsprotokollereignissen geändert. Er nutzt nun die Diagnoseeinstellungspipeline. Wenn Sie weiterhin die Legacymethode für diesen Connector verwenden, wird dringend empfohlen, ein Upgrade auf die neue Version durchzuführen, die eine bessere Funktionalität und höhere Konsistenz mit Ressourcenprotokollen bietet. Weitere Informationen finden Sie in den nachstehenden Anweisungen.

    Die Methode Diagnoseeinstellungen sendet dieselben Daten, die die Legacymethode aus dem Aktivitätsprotokolldienst gesendet hat, obwohl es einige Änderungen an der Struktur der AzureActivity-Tabelle gegeben hat.

    Im Folgenden finden Sie einige der wichtigsten Verbesserungen, die sich aus dem Umstieg auf die Diagnoseeinstellungspipeline ergeben:

    • Verbesserte Erfassungslatenz (Ereigniserfassung innerhalb von 2 bis 3 Minuten nach dem Auftreten anstelle von 15 bis 20 Minuten).
    • Verbesserte Zuverlässigkeit.
    • Diese Ebene bietet eine verbesserte Leistung.
    • Unterstützung für alle Kategorien von Ereignissen, die vom Aktivitätsprotokolldienst protokolliert werden (der Legacymechanismus unterstützt nur eine Teilmenge, z. B. gibt es keine Unterstützung für Service Health-Ereignisse).
    • Verwaltung im großen Stil mit Azure Policy.

    In der Azure Monitor-Dokumentation finden Sie eine ausführlichere Behandlung des Azure-Aktivitätsprotokolls und der Diagnoseeinstellungspipeline.

    Trennen der Verbindung mit der alten Pipeline

    Bevor Sie den neuen Connector für das Azure-Aktivitätsprotokoll einrichten, müssen Sie die vorhandenen Abonnements von der Legacymethode trennen.

    1. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Option Daten-Konnektor aus. Klicken Sie in der Liste mit Connectoren auf Azure-Aktivität und dann unten rechts auf die Schaltfläche Connectorseite öffnen.

    2. Überprüfen Sie unter der Registerkarte Anweisungen im Abschnitt Konfiguration in Schritt 1 die Liste Ihrer vorhandenen Abonnements, die mit der alten Methode verbunden sind (damit Sie wissen, welche Abonnements Sie der neuen Methode hinzufügen müssen), und trennen Sie diese alle auf einmal, indem Sie unten auf die Schaltfläche Alle trennen klicken.

    3. Setzen Sie die Einrichtung des neuen Connectors mit den Anweisungen in der obigen Tabelle fort.

    Azure DDoS Protection

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Einstellungsbasierte Diagnoseverbindungen
    Lizenzvoraussetzungen/
    Kosteninformationen
  • Sie müssen über einen konfigurierten Azure DDoS Protection-Standardplan verfügen.
  • Sie müssen über ein konfiguriertes virtuelles Netzwerk mit Aktivierung von Azure DDoS Standard verfügen.
    Möglicherweise fallen weitere Gebühren an.
  • Log Analytics-Tabellen AzureDiagnostics
    DCR-Unterstützung Derzeit nicht unterstützt
    Empfohlene Diagnose DDoSProtectionNotifications
    DDoSMitigationFlowLogs
    DDoSMitigationReports
    Unterstützt von Microsoft

    Hinweis

    Der Status des Azure DDoS Protection-Datenconnectors ändert sich nur in Verbunden, wenn die geschützten Ressourcen einem DDoS-Angriff ausgesetzt sind.

    Azure Defender

    Siehe Microsoft Defender für Cloud.

    Azure Firewall

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Einstellungsbasierte Diagnoseverbindungen
    Log Analytics-Tabellen AzureDiagnostics
    DCR-Unterstützung Derzeit nicht unterstützt
    Empfohlene Diagnose AzureFirewallApplicationRule
    AzureFirewallNetworkRule
    AzureFirewallDnsProxy
    Unterstützt von Microsoft

    Azure Information Protection (Preview)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration
    Log Analytics-Tabellen InformationProtectionLogs_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Unterstützt von Microsoft

    Hinweis

    Der AIP-Datenconnector (Azure Information Protection) verwendet das Feature für AIP-Überwachungsprotokolle (Public Preview). Ab dem 18. März 2022 wird die öffentliche Vorschauversion für die AIP-Analyse und -Überwachungsprotokolle außer Betrieb genommen. In Zukunft wird die Überwachungslösung von Microsoft 365 verwendet. Die vollständige Außerbetriebnahme ist für den 30. September 2022 geplant.

    Weitere Informationen finden Sie unter Entfernte und eingestellte Dienste.

    Azure-Schlüsseltresor

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Einstellungsbasierte Diagnoseverbindungen, verwaltet von Azure Policy
    Log Analytics-Tabellen KeyVaultData
    DCR-Unterstützung Derzeit nicht unterstützt
    Unterstützt von Microsoft

    Azure Kubernetes Service (AKS)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Einstellungsbasierte Diagnoseverbindungen, verwaltet von Azure Policy
    Log Analytics-Tabellen kube-apiserver
    kube-audit
    kube-audit-admin
    kube-controller-manager
    kube-scheduler
    cluster-autoscaler
    guard
    DCR-Unterstützung Derzeit nicht unterstützt
    Unterstützt von Microsoft

    Microsoft Purview

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Einstellungsbasierte Diagnoseverbindungen


    Weitere Informationen finden Sie unter Tutorial: Integrieren von Microsoft Sentinel und Microsoft Purview.
    Log Analytics-Tabellen PurviewDataSensitivityLogs
    DCR-Unterstützung Derzeit nicht unterstützt
    Unterstützt von Microsoft

    Azure SQL-Datenbank-Instanzen

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Einstellungsbasierte Diagnoseverbindungen, verwaltet von Azure Policy


    Auch in Azure SQL und Microsoft Sentinel für SQL PaaS-Lösungen verfügbar
    Log Analytics-Tabellen SQLSecurityAuditEvents
    SQLInsights
    AutomaticTuning
    QueryStoreWaitStatistics
    Errors
    DatabaseWaitStatistics
    Timeouts
    Blöcke
    Deadlocks
    Basic
    InstanceAndAppAdvanced
    WorkloadManagement
    DevOpsOperationsAudit
    DCR-Unterstützung Derzeit nicht unterstützt
    Unterstützt von Microsoft

    Azure Storage-Konto

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Einstellungsbasierte Diagnoseverbindungen


    Hinweise zur Konfiguration von Diagnoseeinstellungen für Speicherkonten
    Log Analytics-Tabellen StorageBlobLogs
    StorageQueueLogs
    StorageTableLogs
    StorageFileLogs
    Empfohlene Diagnose Kontoressource
  • Transaktion
    Blob-/Warteschlangen-/Tabellen-/Dateiressourcen
  • StorageRead
  • StorageWrite
  • StorageDelete
  • Transaktion
  • DCR-Unterstützung Derzeit nicht unterstützt
    Unterstützt von Microsoft

    Hinweise zur Konfiguration von Diagnoseeinstellungen für Speicherkonten

    Die (übergeordnete) Speicherkontoressource enthält andere (untergeordnete) Ressourcen für jeden Speichertyp: Dateien, Tabellen, Warteschlangen und Blobs.

    Beim Konfigurieren von Diagnosen für ein Speicherkonto müssen Sie wiederum Folgendes auswählen und konfigurieren:

    • Die übergeordnete Kontoressource, die die Transaktionsmetrik exportiert.
    • Alle untergeordneten Speichertypressourcen, die alle Protokolle und Metriken exportieren (siehe Tabelle oben).

    Es werden nur die Speichertypen angezeigt, für die Sie tatsächlich Ressourcen definiert haben.

    Azure Web Application Firewall (WAF)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Einstellungsbasierte Diagnoseverbindungen
    Log Analytics-Tabellen AzureDiagnostics
    DCR-Unterstützung Derzeit nicht unterstützt
    Empfohlene Diagnose Application Gateway
  • ApplicationGatewayAccessLog
  • ApplicationGatewayFirewallLog
    Front Door
  • FrontdoorAccessLog
  • FrontdoorWebApplicationFirewallLog
    CDN-WAF-Richtlinie
  • WebApplicationFirewallLogs
  • Unterstützt von Microsoft

    Barracuda CloudGen Firewall

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: CGFWFirewallActivity
    Kusto-Funktions-URL: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity
    Lieferantendokumentation/
    Installationsanweisungen
    https://aka.ms/Sentinel-barracudacloudfirewall-connector
    Unterstützt von Barracuda

    Barracuda WAF

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen CommonSicherheitsprotokoll (Barracuda)
    Barracuda_CL
    Lieferantendokumentation/
    Installationsanweisungen
    https://aka.ms/asi-barracuda-connector
    Unterstützt von Barracuda

    Siehe Barracuda-Anweisungen – beachten Sie die zugewiesenen Einrichtungen für die verschiedenen Arten von Protokollen und stellen Sie sicher, dass Sie sie der Standard-Syslog-Konfiguration hinzufügen.

    BETTER Mobile Threat Defense (MTD) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen BetterMTDDeviceLog_CL
    BetterMTDIncidentLog_CL
    BetterMTDAppLog_CL
    BetterMTDNetflowLog_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Dokumentation zu BETTER MTD

    Einrichtung der Bedrohungsrichtlinie, die die Vorfälle definiert, die an Microsoft Sentinel gemeldet werden:
    1. Wählen Sie in der Better MTD Console in der Seitenleiste Richtlinien aus.
    2. Wählen Sie die Schaltfläche Edit (Bearbeiten) für die von Ihnen verwendete Richtlinie aus.
    3. Wechseln Sie für jeden Vorfallstyp, den Sie protokollieren möchten, zum Feld Send to Integrations (An Integrationen senden), und wählen Sie Sentinel aus.
    Unterstützt von Better Mobile

    Beyond Security beSECURE

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen beSECURE_ScanResults_CL
    beSECURE_ScanEvents_CL
    beSECURE_Audit_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Zugreifen auf das Menü Integration:
    1. Wählen Sie die Menüoption More (Weitere) aus.
    2. Wählen Sie Server aus.
    3. Wählen Sie Integration aus.
    4. Aktivieren von Microsoft Sentinel
    5. Fügen Sie die Werte für die Arbeitsbereichs-ID und den Primärschlüssel aus der beSECURE-Konfiguration ein.
    6. Wählen Sie Ändern aus.
    Unterstützt von Beyond Security

    BlackBerry CylancePROTECT (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: CylancePROTECT
    Kusto-Funktions-URL: https://aka.ms/Sentinel-cylanceprotect-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Syslog-Leitfaden für Cylance
    Unterstützt von Microsoft

    Broadcom Symantec Data Loss Prevention (DLP) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: SymantecDLP
    Kusto-Funktions-URL: https://aka.ms/Sentinel-symantecdlp-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Konfigurieren der Aktion zur Protokollierung auf einem Syslog-Server
    Unterstützt von Microsoft

    Check Point

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog

    Verfügbar von der Check Point Lösung
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Log Exporter: Check Point-Protokollexport
    Unterstützt von Check Point

    Cisco ASA

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog

    Verfügbar in der Cisco ASA Lösung
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    CLI-Konfigurationshandbuch für die Cisco ASA-Serie
    Unterstützt von Microsoft

    Cisco Firepower eStreamer (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog

    Zusätzliche Konfiguration für Cisco Firepower eStreamer
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Betriebsleitfaden für eStreamer eNcore für Sentinel
    Unterstützt von Cisco

    Zusätzliche Konfiguration für Cisco Firepower eStreamer

    1. Installieren des Firepower eNcore-Clients
      Installieren und konfigurieren Sie den Firepower eNcore eStreamer-Client. Weitere Informationen finden Sie im vollständigen Installationsleitfaden von Cisco.

    2. Herunterladen des Firepower-Connectors von GitHub
      Laden Sie die neueste Version des Firepower eNcore-Konnektors für Microsoft Sentinel aus dem Cisco GitHub-Repository herunter. Wenn Sie Python3 verwenden möchten, nutzen Sie den eStreamer-Connector für Python3.

    3. Erstellen einer PKCS12-Datei mithilfe der Azure-/VM-IP-Adresse
      Erstellen Sie ein pkcs12-Zertifikat mit der öffentlichen IP-Adresse der VM-Instanz in Firepower unter System > Integration > eStreamer. Weitere Informationen finden Sie im Installationsleitfaden.

    4. Testen der Konnektivität zwischen Azure/VM-Client und dem FMC
      Kopieren Sie die PKCS12-Datei aus dem FMC auf die Azure/VM-Instanz, und stellen Sie mithilfe des Testhilfsprogramms (./encore.sh test) sicher, dass eine Verbindung hergestellt werden kann. Weitere Informationen finden Sie im Einrichtungsleitfaden.

    5. Konfigurieren von eNcore zum Streamen von Daten an den Agent
      Konfigurieren Sie eNcore für das Streamen von Daten über TCP an den Log Analytics-Agent. Diese Konfiguration sollte standardmäßig aktiviert sein, aber abhängig von Ihrem Netzwerksicherheitsstatus können zusätzliche Ports und Streamingprotokolle konfiguriert werden. Es ist auch möglich, die Daten im Dateisystem zu speichern. Weitere Informationen finden Sie unter Konfigurieren von eNcore.

    Cisco Meraki (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog

    Verfügbar in der Cisco ISE Lösung
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: CiscoMeraki
    Kusto-Funktions-URL: https://aka.ms/Sentinel-ciscomeraki-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Dokumentation zu Meraki Device Reporting
    Unterstützt von Microsoft

    Cisco Umbrella (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Verfügbar in der Cisco Umbrella Lösung
    Log Analytics-Tabellen Cisco_Umbrella_dns_CL
    Cisco_Umbrella_proxy_CL
    Cisco_Umbrella_ip_CL
    Cisco_Umbrella_cloudfirewall_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
    API-Anmeldeinformationen
  • ID des AWS-Zugriffsschlüssels
  • Geheimnis für den AWS-Zugriffsschlüssel
  • Name des AWS S3-Buckets
  • Lieferantendokumentation/
    Installationsanweisungen
  • Protokollierung bei Amazon S3
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias Cisco_Umbrella
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-ciscoumbrella-function
    Anwendungseinstellungen
  • WorkspaceID
  • WorkspaceKey
  • S3Bucket
  • AWSAccessKeyId
  • AWSSecretAccessKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Cisco Unified Computing System (UCS) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: CiscoUCS
    Kusto-Funktions-URL: https://aka.ms/Sentinel-ciscoucs-function
    Lieferantendokumentation/
    Installationsanweisungen
    Einrichten von Syslog für Cisco UCS – Cisco
    Unterstützt von Microsoft

    Citrix Analytics (Security)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen CitrixAnalytics_SAlerts_CL​
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Verbinden Citrix zu Microsoft Sentinel
    Unterstützt von Citrix Systems

    Citrix Web App Firewall (WAF) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Informationen zum Konfigurieren von WAF finden Sie unter Support-WIKI: WAF-Konfiguration mit NetScaler.

    Weitere Informationen zum Konfigurieren von CEF-Protokollen finden Sie unter Unterstützung für CEF-Protokollierung (Common Event Format) in der Anwendungsfirewall.

    Informationen zum Weiterleiten der Protokolle an den Proxy finden Sie unter Konfigurieren der Citrix ADC-Appliance für Überwachungsprotokollierung.
    Unterstützt von Citrix Systems

    Cognni (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen CognniIncidents_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Herstellen einer Verbindung mit Cognni
    1. Navigieren Sie zur Integrationsseite von Cognni.
    2. Wählen Sie Verbinden im Feld Microsoft Sentinel aus.
    3. Fügen Sie auf der Integrationsseite von Cognni die workspaceId und den sharedKey (Primärschlüssel) in die entsprechenden Felder ein.
    4. Wählen Sie die Schaltfläche Connect (Verbinden) aus, um die Konfiguration abzuschließen.
    Unterstützt von Cognni

    Kontinuierliche Bedrohungsüberwachung für SAP (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Nur verfügbar nach der Installation der kontinuierlichen Bedrohungsüberwachung für SAP-Lösung
    Log Analytics-Tabellen Siehe Datenreferenz für die Microsoft Sentinel-Lösung für SAP
    Lieferantendokumentation/
    Installationsanweisungen
    Bereitstellen der kontinuierlichen Bedrohungsüberwachung in SAP
    Unterstützt von Microsoft

    CyberArk Enterprise Password Vault (EPV) Events (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    SIEM-Anwendungen (Security Information & Event Management)
    Unterstützt von CyberArk

    Cyberpion Security Logs (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen CyberpionActionItems_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Erwerben eines Cyberpion-Abonnements
    Integrieren von Cyberpion-Sicherheitswarnungen in Microsoft Sentinel
    Unterstützt von Cyberpion

    DNS (Vorschau)

    Siehe Windows DNS Server (Vorschau).

    Dynamics 365

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen


    Auch als Teil der Microsoft Sentinel 4 Dynamics 365-Lösung verfügbar
    Lizenzvoraussetzungen/
    Kosteninformationen
  • Microsoft Dynamics 365-Produktionslizenz. Nicht für Sandboxumgebungen verfügbar.
  • Mindestens ein Benutzer hat eine Microsoft-/Office 365-Lizenz vom Typ E1 oder höher zugewiesen.
    Möglicherweise fallen weitere Gebühren an.
  • Log Analytics-Tabellen Dynamics365Activity
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    ESET Enterprise Inspector (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Erstellen eines API-Benutzers
    Log Analytics-Tabellen ESETEnterpriseInspector_CL​
    DCR-Unterstützung Derzeit nicht unterstützt
    API-Anmeldeinformationen
  • EEI-Benutzername
  • EEI-Kennwort
  • Basis-URL
  • Lieferantendokumentation/
    Installationsanweisungen
  • REST-API-Dokumentation für ESET Enterprise Inspector
  • Anweisungen zur Connectorbereitstellung Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
    Unterstützt von ESET

    Erstellen eines API-Benutzers

    1. Melden Sie sich im ESET Security Management Center mit einem Administratorkonto an der ESET PROTECT-Konsole an, und wählen Sie die Registerkarte More (Mehr) und die Unterregisterkarte Users (Benutzer) aus.
    2. Wählen Sie die Schaltfläche ADD NEW (NEU HINZUFÜGEN) aus, um einen nativen Benutzer hinzuzufügen.
    3. Erstellen Sie einen neuen Benutzer für das API-Konto. Optional: Wählen Sie eine andere Home group (Startgruppe) als All (Alle) aus, um die erfassten Erkennungen zu begrenzen.
    4. Weisen Sie auf der Registerkarte Permission Sets (Berechtigungssätze) den Berechtigungssatz Enterprise Inspector reviewer (Enterprise Inspector-Prüfer) zu.
    5. Melden Sie sich beim Administratorkonto ab, und melden Sie sich zur Überprüfung mit den neuen API-Anmeldeinformationen an der Konsole an. Melden Sie sich nach der Überprüfung beim API-Konto ab.

    ESET Security Management Center (SMC) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog

    Konfigurieren der zu erfassenden ESET SMC-Protokolle
    Konfigurieren des OMS-Agents, sodass ESET SMC-Daten im API-Format übergeben werden
    Ändern der OMS-Agent-Konfiguration für das Abfangen des Tags „oms.api.eset“ und das Analysieren strukturierter Daten
    Deaktivieren der automatische Konfiguration und Neustarten des Agents
    Log Analytics-Tabellen eset_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Dokumentation zum ESET-Syslog-Server
    Unterstützt von ESET

    Konfigurieren der zu erfassenden ESET SMC-Protokolle

    Konfigurieren Sie rsyslog so, dass Protokolle von Ihrer ESET-SMC-IP-Adresse akzeptiert werden.

        sudo -i
        # Set ESET SMC source IP address
        export ESETIP={Enter your IP address}
    
        # Create rsyslog configuration file
        cat > /etc/rsyslog.d/80-remote.conf << EOF
        \$ModLoad imudp
        \$UDPServerRun 514
        \$ModLoad imtcp
        \$InputTCPServerRun 514
        \$AllowedSender TCP, 127.0.0.1, $ESETIP
        \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
        EOF
    
        # Restart rsyslog
        systemctl restart rsyslog
    

    Konfigurieren des OMS-Agents, sodass ESET SMC-Daten im API-Format übergeben werden

    Um Eset-Daten leicht erkennen zu können, pushen Sie sie in eine separate Tabelle, und analysieren Sie sie beim Agent, um Ihre Microsoft Sentinel-Abfrage zu vereinfachen und zu beschleunigen.

    Ändern Sie in der Datei /etc/opt/microsoft/omsagent/{IhreArbeitsbereichsID}/conf/omsagent.conf den Abschnitt match oms.** so, dass Daten als API-Objekte gesendet werden. Ändern Sie dazu den Typ in out_oms_api.

    Der folgende Code ist ein Beispiel für den vollständigen match oms.**Abschnitt :

        <match oms.** docker.**>
          type out_oms_api
          log_level info
          num_threads 5
          run_in_background false
    
          omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
          cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
          key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
    
          buffer_chunk_limit 15m
          buffer_type file
          buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
    
          buffer_queue_limit 10
          buffer_queue_full_action drop_oldest_chunk
          flush_interval 20s
          retry_limit 10
          retry_wait 30s
          max_retry_wait 9m
        </match>
    

    Ändern der OMS-Agent-Konfiguration für das Abfangen des Tags „oms.api.eset“ und das Analysieren strukturierter Daten

    Ändern Sie die Datei /etc/opt/microsoft/omsagent/{IhreArbeitsbereichsID}/conf/omsagent.d/syslog.conf.

    Beispiel:

        <source>
          type syslog
          port 25224
          bind 127.0.0.1
          protocol_type udp
          tag oms.api.eset
        </source>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format /(?<message>.*?{.*})/
        </filter>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format json
        </filter>
    

    Deaktivieren der automatische Konfiguration und Neustarten des Agents

    Beispiel:

        # Disable changes to configuration files from Portal
        sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
    
        # Restart agent
        sudo /opt/microsoft/omsagent/bin/service_control restart
    
        # Check agent logs
        tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    

    Konfigurieren von ESET SMC zum Senden von Protokollen an den Connector

    Konfigurieren Sie ESET-Protokolle im BSD-Stil und im JSON-Format.

    • Wechseln Sie zur Syslog-Serverkonfiguration, konfigurieren Sie den Host (Ihr Connector), ändern Sie das Format in „BSD“ und legen Sie als Übertragungsprotokoll „TCP“ fest.
    • Wechseln Sie zum Abschnitt „Logging“ (Protokollierung), und aktivieren Sie „JSON“.

    Weitere Informationen finden Sie in der ESET-Dokumentation.

    Exabeam Advanced Analytics (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: ExabeamEvent
    Kusto-Funktions-URL: https://aka.ms/Sentinel-Exabeam-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Konfigurieren von Advanced Analytics-Systemaktivitätsbenachrichtigungen
    Unterstützt von Microsoft

    ExtraHop Reveal(x)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    ExtraHop Detection-SIEM-Connector
    Unterstützt von ExtraHop

    F5 BIG-IP

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen F5Telemetry_LTM_CL
    F5Telemetry_system_CL
    F5Telemetry_ASM_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Integrieren von F5 BIG-IP in Microsoft Sentinel
    Unterstützt von F5 Networks

    F5 Networks (ASM)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Konfigurieren der Ereignisprotokollierung zur Anwendungssicherheit
    Unterstützt von F5 Networks

    Forcepoint Cloud Access Security Broker (CASB) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Forcepoint CASB und Microsoft Sentinel
    Unterstützt von Forcepoint

    Forcepoint Cloud Security Gateway (CSG) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Forcepoint Cloud Security Gateway und Microsoft Sentinel
    Unterstützt von Forcepoint

    Forcepoint Data Loss Prevention (DLP) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen ForcepointDLPEvents_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Verhinderung von Datenverlust durch Forcepoint und Microsoft Sentinel
    Unterstützt von Forcepoint

    Forcepoint Next Generation Firewall (NGFW) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Forcepoint Next-Gen-Firewall und Microsoft Sentinel
    Unterstützt von Forcepoint

    ForgeRock Common Audit (CAUD) für CEF (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Bitte Installieren Sie dies zuerst! ForgeRock Common Audit (CAUD) für Microsoft Sentinel
    Unterstützt von ForgeRock

    Fortinet

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog

    Senden von Fortinet-Protokollen an die Protokollweiterleitung

    Verfügbar in der Fortinet Fortigate-Lösung
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Fortinet-Dokumentbibliothek
    Wählen Sie Ihre Version aus, und nutzen Sie die PDFs mit dem Handbuch (Handbook) und der Referenz für Protokollmeldungen (Log Message Reference).
    Unterstützt von Fortinet

    Senden von Fortinet-Protokollen an die Protokollweiterleitung

    Öffnen Sie die Befehlszeilenschnittstelle für Ihre Fortinet-Appliance, und führen Sie die folgenden Befehle aus:

    config log syslogd setting
    set status enable
    set format cef
    set port 514
    set server <ip_address_of_Forwarder>
    end
    
    • Ersetzen Sie die IP-Adresse des Servers durch die IP-Adresse der Protokollweiterleitung.
    • Legen Sie den Syslog-Port auf 514 fest oder auf den Port, den Sie für den Syslog-Daemon in der Weiterleitung festgelegt haben.
    • In frühen Versionen von FortiOS muss zum Aktivieren des CEF-Formats ggf. der Befehl set csv disable ausgeführt werden.

    GitHub (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API

    Nur verfügbar nach der Installation der Lösung Kontinuierliche Bedrohungsüberwachung (Continuous Threat Monitoring) für GitHub.
    Log Analytics-Tabellen GitHubAuditLogPolling_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    API-Anmeldeinformationen GitHub-Zugriffstoken
    Anweisungen zur Connectorbereitstellung Zusatzkonfiguration für den GitHub-Konnektor
    Unterstützt von Microsoft

    Zusatzkonfiguration für den GitHub-Konnektor

    Voraussetzung: Sie müssen über ein GitHub-Unternehmenskonto und eine zugängliche Organisation verfügen, um von Microsoft Sentinel aus eine Verbindung zu GitHub herzustellen.

    1. Installieren Sie die Lösung Kontinuierliche Bedrohungsüberwachung (Continuous Threat Monitoring) für GitHub in Ihrem Microsoft Sentinel-Arbeitsbereich. Weitere Informationen finden Sie unter Entdecken und verteilen Sie betriebsbereite Inhalte und -lösungen von Microsoft Sentinel (öffentliche Vorschau).

    2. Erstellen Sie ein persönliches GitHub-Zugriffstoken zur Verwendung im Microsoft Sentinel-Konnektor. Weitere Informationen finden Sie in der entsprechenden GitHub-Dokumentation.

    3. Suchen und lokalisieren Sie den GitHub Konnektor im Bereich Datenkonnektor von Microsoft Sentinel. Wählen Sie rechts Konnektor-Seite öffnen aus.

    4. Geben Sie auf der Registerkarte Anleitung im Bereich Konfiguration die folgenden Details ein:

      • Organisationsname: Geben Sie den Namen der Organisation ein, zu deren Protokollen Sie eine Verbindung herstellen möchten.
      • API-Schlüssel: Geben Sie das persönliche GitHub-Zugriffstoken ein, das Sie zuvor in diesem Verfahren erstellt haben.
    5. Wählen Sie Verbinden aus, um mit der Aufnahme Ihrer GitHub-Protokolle in Microsoft Sentinel zu beginnen.

    Google Workspace (G-Suite) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Zusätzliche Konfiguration für die Google Reports-API
    Log Analytics-Tabellen GWorkspace_ReportsAPI_admin_CL
    GWorkspace_ReportsAPI_calendar_CL
    GWorkspace_ReportsAPI_drive_CL
    GWorkspace_ReportsAPI_login_CL
    GWorkspace_ReportsAPI_mobile_CL
    GWorkspace_ReportsAPI_token_CL
    GWorkspace_ReportsAPI_user_accounts_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
    API-Anmeldeinformationen
  • GooglePickleString
  • Lieferantendokumentation/
    Installationsanweisungen
  • API-Dokumentation
  • Rufen Sie die Anmeldeinformationen unter Ausführen von domänenweiter Google Workspace-Delegierung der Autorität ab.
  • Konvertieren der Datei „token.pickle“ in eine pickle-Zeichenfolge
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias GWorkspaceActivityReports
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
    Anwendungseinstellungen
  • GooglePickleString
  • WorkspaceID
  • workspaceKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Zusätzliche Konfiguration für die Google Reports-API

    Fügen Sie unter Authorized redirect URIs (Autorisierte Umleitungs-URIs) den Eintrag http://localhost:8081/ hinzu, während Sie die Anmeldeinformationen für Webanwendungen erstellen.

    1. Befolgen Sie die Anweisungen zum Abrufen der Datei „credentials.json“.
    2. Um die pickle-Zeichenfolge von Google abzurufen, führen Sie dieses Python-Skript (im gleichen Pfad wie „credentials.json“) aus.
    3. Kopieren Sie die Ausgabe der pickle-Zeichenfolge in einfache Anführungszeichen, und speichern Sie sie. Sie wird für die Bereitstellung der Funktions-App benötigt.

    Illusive Attack Management System (AMS) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Administratorleitfaden für Illusive Networks
    Unterstützt von Illusive Networks

    Imperva WAF Gateway (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog

    Verfügbar in der Imperva Cloud WAF Lösung
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Schritte zum Aktivieren der Imperva WAF Gateway-Alarm-Protokollierung in Microsoft Sentinel
    Unterstützt von Imperva

    Infoblox Network Identity Operating System (NIOS) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog

    verfügbar in der InfoBlox Bedrohungsabwehr-Lösung
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: InfobloxNIOS
    Kusto-Funktions-URL: https://aka.ms/sentinelgithubparsersinfoblox
    Lieferantendokumentation/
    Installationsanweisungen
    Syslog-Bereitstellungsleitfaden für NIOS SNMP
    Unterstützt von Microsoft

    Juniper SRX (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: JuniperSRX
    Kusto-Funktions-URL: https://aka.ms/Sentinel-junipersrx-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Konfigurieren der Datenverkehrsprotokollierung (Sicherheitsrichtlinienprotokolle) für SRX Branch-Geräte
    Konfigurieren der Systemprotokollierung
    Unterstützt von Juniper Networks

    Lookout Mobile Bedrohungsabwehr (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Nur verfügbar nach Installation der Lookout Mobile Threat Defense für Microsoft Sentinel Lösung
    Log Analytics-Tabellen Lookout_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    API-Anmeldeinformationen
  • Lookout-Anwendungsschlüssel
  • Lieferantendokumentation/
    Installationsanweisungen
  • Installationshandbuch (Anmeldung erforderlich)
  • API-Dokumentation (Anmeldung erforderlich)
  • Lookout Mobile Endpoint-Sicherheit
  • Unterstützt von Lookout

    Microsoft 365 Defender

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Verbinden Sie Daten von Microsoft 365 Defender mit Microsoft Sentinel
    (Top Konnektor Artikel)
    Lizenzvoraussetzungen/
    Kosteninformationen
    Gültige Lizenz für Microsoft 365 Defender
    Log Analytics-Tabellen Alerts:
    SecurityAlert
    SecurityIncident
    Defender für Endpunktereignisse:
    DeviceEvents
    DeviceFileEvents
    DeviceImageLoadEvents
    DeviceInfo
    DeviceLogonEvents
    DeviceNetworkEvents
    DeviceNetworkInfo
    DeviceProcessEvents
    DeviceRegistryEvents
    DeviceFileCertificateInfo
    Defender für Office 365-Ereignisse:
    EmailAttachmentInfo
    EmailUrlInfo
    EmailEvents
    EmailPostDeliveryEvents
    Defender for Identity-Ereignisse:
    IdentityDirectoryEvents
    IdentityInfo
    IdentityLogonEvents
    IdentityQueryEvents
    Defender for Cloud Apps-Ereignisse:
    CloudAppEvents
    Defender-Warnungen als Ereignisse:
    AlertInfo
    AlertEvidence
    DCR-Unterstützung Derzeit nicht unterstützt
    Unterstützt von Microsoft

    Microsoft 365-Insider-Risikomanagement (IRM) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen


    Auch verfügbar in der Microsoft 365-Insider Risiko-Management-Lösung
    Lizenz und weitere Voraussetzungen
    • Gültiges Abonnement für Microsoft 365 E5/A5/G5 oder die zugehörigen Compliance- oder IRM-Add-Ons.
    • Microsoft 365-Insider Risikomanagement vollständig eingerichtet und IRM-Policies festgelegt und Warnungen ausgebend.
    • Microsoft 365 IRM konfiguriert, um den Export von IRM-Warnungen an die Office 365 Management Activity API zu aktivieren, um die Warnmeldungen über den Microsoft Sentinel Konnektor zu empfangen).
    Log Analytics-Tabellen SecurityAlert
    Datenabfragefilter SecurityAlert
    | where ProductName == "Microsoft 365 Insider Risk Management"
    Unterstützt von Microsoft

    Microsoft Defender für Cloud

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Verbinden Sie Sicherheitswarnungen von Microsoft Defender für Cloud
    (Top Konnektor Artikel)
    Log Analytics-Tabellen SecurityAlert
    Unterstützt von Microsoft

    Microsoft Defender für Cloud-Apps

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen


    Aktivieren Cloud Discovery Microsoft Sentinel als SIEM in Microsoft Defender für Cloud-Apps.
    Log Analytics-Tabellen SecurityAlert: für Warnungen
    McasShadowItReporting – für Cloud Discovery-Protokolle
    Unterstützt von Microsoft

    Microsoft Defender für den Endpunkt

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen
    Lizenzvoraussetzungen/
    Kosteninformationen
    Gültige Lizenz für die Bereitstellung von Microsoft Defender für Endpunkt
    Log Analytics-Tabellen SecurityAlert
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Microsoft Defender for Identity

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen
    Log Analytics-Tabellen SecurityAlert
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Microsoft Defender für IoT

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen
    Log Analytics-Tabellen SecurityAlert
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Microsoft Defender für Office 365

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen
    Lizenzvoraussetzungen/
    Kosteninformationen
    Sie benötigen eine gültige Lizenz für Office 365 ATP-Plan 2.
    Log Analytics-Tabellen SecurityAlert
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Microsoft Office 365

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen
    Lizenzvoraussetzungen/
    Kosteninformationen
    Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich.
    Möglicherweise fallen weitere Gebühren an.
    Log Analytics-Tabellen OfficeActivity
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Microsoft Power BI (Vorschauversion)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen
    Lizenzvoraussetzungen/
    Kosteninformationen
    Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich.
    Möglicherweise fallen weitere Gebühren an.
    Log Analytics-Tabellen PowerBIActivity
    Unterstützt von Microsoft

    Microsoft Project (Vorschauversion)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    API-basierte Verbindungen
    Lizenzvoraussetzungen/
    Kosteninformationen
    Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich.
    Möglicherweise fallen weitere Gebühren an.
    Log Analytics-Tabellen ProjectActivity
    Unterstützt von Microsoft

    Microsoft Sysmon für Linux (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Syslog, mit ASIM-Parsern auf der Basis von Kusto-Funktionen
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Morphisec UTPP (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: Morphisec
    Kusto-Funktions-URL https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/Morphisec
    Unterstützt von Morphisec

    Netskope (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API
    Log Analytics-Tabellen Netskope_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-netskope-functioncode
    API-Anmeldeinformationen
  • Netskope-API-Token
  • Lieferantendokumentation/
    Installationsanweisungen
  • Netskope Cloud Security Platform
  • Dokumentation zur Netskope-API
  • Abrufen eines API-Tokens
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias Netskope
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-netskope-parser
    Anwendungseinstellungen
  • apikey
  • workspaceID
  • workspaceKey
  • URI (hängt von der Region ab, hat das Schema: https://<Tenant Name>.goskope.com)
  • timeInterval (auf 5 festgelegt)
  • logTypes
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    NGINX HTTP Server (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Log Analytics-Agent: benutzerdefinierte Protokolle
    Log Analytics-Tabellen NGINX_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Kusto-Funktionsalias: NGINXHTTPServer
    Kusto-Funktions-URL https://aka.ms/Sentinel-NGINXHTTP-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Module ngx_http_log_module
    Beispieldatei für benutzerdefinierte Protokolle: „access.log“ oder „error.log“
    Unterstützt von Microsoft

    NXLog Basic Security Module (BSM) macOS (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen BSMmacOS_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    NXLog Microsoft Sentinel-Benutzerhandbuch
    Unterstützt von NXLog

    NXLog DNS Logs (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen DNS_Logs_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    NXLog Microsoft Sentinel-Benutzerhandbuch
    Unterstützt von NXLog

    NXLog LinuxAudit (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen LinuxAudit_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    NXLog Microsoft Sentinel-Benutzerhandbuch
    Unterstützt von NXLog

    Okta Single Sign-On (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API
    Log Analytics-Tabellen Okta_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/sentineloktaazurefunctioncodev2
    API-Anmeldeinformationen
  • API-Token
  • Lieferantendokumentation/
    Installationsanweisungen
  • Dokumentation zur Okta-Systemprotokoll-API
  • Erstellen eines API-Tokens
  • Verbinden des einmaligen Anmeldens von Okta bei Microsoft Sentinel
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Anwendungseinstellungen
  • apiToken
  • workspaceID
  • workspaceKey
  • uri (hat das Schema https://<OktaDomain>/api/v1/logs?since=. Ermitteln Sie Ihren Domänennamespace.)
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Onapsis Platform (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog mit Kusto-Funktionen für Lookup und Anreicherung

    Konfigurieren von Onapsis zum Senden von CEF-Protokollen an die Protokollweiterleitung
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: incident_lookup
    Kusto-Funktions-URL https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt
    Unterstützt von Onapsis

    Konfigurieren von Onapsis zum Senden von CEF-Protokollen an die Protokollweiterleitung

    Informationen zum Einrichten der Protokollweiterleitung an den Log Analytics-Agent finden Sie in der internen Onapsis-Produkthilfe.

    1. Gehen Sie zu Einrichtung (Setup)> Integrationen von Drittanbietern > Alarmverteidigung und befolgen Sie die Anweisungen für Microsoft Sentinel.
    2. Stellen Sie sicher, dass die Onapsis-Konsole den Protokollweiterleitungscomputer erreichen kann, auf dem der Agent installiert ist. Protokolle sollten per TCP über Port 514 gesendet werden.

    One Identity Safeguard (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Administratorleitfaden für One Identity Safeguard for Privileged Sessions
    Unterstützt von One Identity

    Oracle WebLogic Server (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Log Analytics-Agent: benutzerdefinierte Protokolle
    Log Analytics-Tabellen OracleWebLogicServer_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Kusto-Funktionsalias: OracleWebLogicServerEvent
    Kusto-Funktions-URL: https://aka.ms/Sentinel-OracleWebLogicServer-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Dokumentation zu Oracle WebLogic Server
    Beispieldatei für benutzerdefinierte Protokolle: server.log
    Unterstützt von Microsoft

    Orca Security (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen OrcaAlerts_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Microsoft Sentinel-Integration
    Unterstützt von Orca Security

    OSSEC (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: OSSECEvent
    Kusto-Funktions-URL: https://aka.ms/Sentinel-OSSEC-parser
    Lieferantendokumentation/
    Installationsanweisungen
    OSSEC-Dokumentation
    Senden von Warnungen über Syslog
    Unterstützt von Microsoft

    Palo Alto Networks

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog

    Auch in den Palo Alto PAN-OS- und Prisma-Lösungen verfügbar
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Common Event Format (CEF): Konfigurationsleitfäden
    Konfigurieren der Syslog-Überwachung
    Unterstützt von Palo Alto Networks

    Perimeter 81 Activity Logs (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen Perimeter81_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Dokumentation zu Perimeter 81
    Unterstützt von Perimeter 81

    Proofpoint On Demand (POD) Email Security (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Auch in der Proofpoint POD-Lösung verfügbar
    Log Analytics-Tabellen ProofpointPOD_message_CL
    ProofpointPOD_maillog_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-proofpointpod-functionapp
    API-Anmeldeinformationen
  • ProofpointClusterID
  • ProofpointToken
  • Lieferantendokumentation/
    Installationsanweisungen
  • Anmelden bei der Proofpoint-Community
  • Dokumentation und Anweisungen zur Proofpoint-API
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias ProofpointPOD
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-proofpointpod-parser
    Anwendungseinstellungen
  • ProofpointClusterID
  • ProofpointToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Proofpoint Targeted Attack Protection (TAP) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Auch in der Proofpoint TAP-Lösung verfügbar
    Log Analytics-Tabellen ProofPointTAPClicksPermitted_CL
    ProofPointTAPClicksBlocked_CL
    ProofPointTAPMessagesDelivered_CL
    ProofPointTAPMessagesBlocked_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/sentinelproofpointtapazurefunctioncode
    API-Anmeldeinformationen
  • API-Benutzername
  • API-Kennwort
  • Lieferantendokumentation/
    Installationsanweisungen
  • Dokumentation zur Proofpoint-SIEM-API
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Anwendungseinstellungen
  • apiUsername
  • apiUsername
  • uri (festgelegt auf https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300)
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Pulse Connect Secure (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: PulseConnectSecure
    Kusto-Funktions-URL: https://aka.ms/sentinelgithubparserspulsesecurevpn
    Lieferantendokumentation/
    Installationsanweisungen
    Konfigurieren von Syslog
    Unterstützt von Microsoft

    Qualys VM KnowledgeBase (KB) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Zusätzliche Konfiguration für Qualys VM KB

    Auch in der Qualys VM-Lösung verfügbar
    Log Analytics-Tabellen QualysKB_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-qualyskb-functioncode
    API-Anmeldeinformationen
  • API-Benutzername
  • API-Kennwort
  • Lieferantendokumentation/
    Installationsanweisungen
  • Benutzerleitfaden für die QualysVM-API
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias QualysKB
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-qualyskb-parser
    Anwendungseinstellungen
  • apiUsername
  • apiUsername
  • uri (nach Region; siehe API-Serverliste. Hat das Schema: https://<API Server>/api/2.0.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (am Ende des URI anfügen, getrennt durch &. Keine Leerzeichen)
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Zusätzliche Konfiguration für Qualys VM KB

    1. Melden Sie sich mit einem Administratorkonto an der Qualys Vulnerability Management-Konsole an, und wählen Sie die Registerkarte Users (Benutzer) und die Unterregisterkarte Users (Benutzer) aus.
    2. Wählen Sie das Dropdownmenü New (Neu) und dann Users (Benutzer) aus.
    3. Erstellen Sie einen Benutzernamen und ein Kennwort für das API-Konto.
    4. Stellen Sie auf der Registerkarte Benutzerrollen sicher, dass die Kontorolle auf Manager festgelegt ist und dass der Zugriff auf GUI und API zulässig ist.
    5. Melden Sie sich beim Administratorkonto ab, und melden Sie sich zur Überprüfung mit den neuen API-Anmeldeinformationen an der Konsole an. Melden Sie sich nach der Überprüfung beim API-Konto ab.
    6. Melden Sie sich wieder mit einem Administratorkonto an der Konsole an, und ändern Sie die Benutzerrollen der API-Konten, indem Sie den Zugriff auf die GUI (grafische Benutzeroberfläche) entfernen.
    7. Speichern Sie alle Änderungen.

    Qualys Vulnerability Management (VM) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Zusätzliche Konfiguration für Qualys VM
    Manuelle Bereitstellung – nach dem Konfigurieren der Funktions-App
    Log Analytics-Tabellen QualysHostDetection_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/sentinelqualysvmazurefunctioncode
    API-Anmeldeinformationen
  • API-Benutzername
  • API-Kennwort
  • Lieferantendokumentation/
    Installationsanweisungen
  • Benutzerleitfaden für die QualysVM-API
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Anwendungseinstellungen
  • apiUsername
  • apiUsername
  • uri (nach Region; siehe API-Serverliste. Hat das Schema: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (am Ende des URI anfügen, getrennt durch &. Keine Leerzeichen)
  • timeInterval (auf 5 festgelegt. Passen Sie bei einer Änderung auch den Timertrigger der Funktions-App entsprechend an.)
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Zusätzliche Konfiguration für Qualys VM

    1. Melden Sie sich mit einem Administratorkonto an der Qualys Vulnerability Management-Konsole an, und wählen Sie die Registerkarte Users (Benutzer) und die Unterregisterkarte Users (Benutzer) aus.
    2. Wählen Sie das Dropdownmenü New (Neu) und dann Users (Benutzer) aus.
    3. Erstellen Sie einen Benutzernamen und ein Kennwort für das API-Konto.
    4. Stellen Sie auf der Registerkarte Benutzerrollen sicher, dass die Kontorolle auf Manager festgelegt ist und dass der Zugriff auf GUI und API zulässig ist.
    5. Melden Sie sich beim Administratorkonto ab, und melden Sie sich zur Überprüfung mit den neuen API-Anmeldeinformationen an der Konsole an. Melden Sie sich nach der Überprüfung beim API-Konto ab.
    6. Melden Sie sich wieder mit einem Administratorkonto an der Konsole an, und ändern Sie die Benutzerrollen der API-Konten, indem Sie den Zugriff auf die GUI (grafische Benutzeroberfläche) entfernen.
    7. Speichern Sie alle Änderungen.

    Manuelle Bereitstellung – nach dem Konfigurieren der Funktions-App

    Konfigurieren der Datei „host.json“

    Aufgrund der potenziell großen Menge an erfassten Qualys-Hosterkennungsdaten kann dies dazu führen, dass die Ausführungszeit das Standardtimeout für Funktions-Apps von fünf Minuten überschreitet. Erhöhen Sie das Standardtimeout unter dem Verbrauchstarif auf maximal 10 Minuten, um mehr Zeit für die Ausführung der Funktions-App zuzulassen.

    1. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann die Seite App Service-Editor aus.
    2. Wählen Sie Los aus, um den Editor zu öffnen, und wählen Sie dann die Datei host.json unter dem Verzeichnis wwwroot aus.
    3. Fügen Sie die Zeile "functionTimeout": "00:10:00", über der Zeile managedDependancy hinzu.
    4. Stellen Sie sicher, dass in der rechten oberen Ecke des Editors GESPEICHERT angezeigt wird, und beenden Sie dann den Editor.

    Wenn eine noch längere Timeoutdauer erforderlich ist, sollten Sie ein Upgrade auf einen App Service-Plan in Betracht ziehen.

    Salesforce Service Cloud (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API
    Log Analytics-Tabellen SalesforceServiceCloud_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
    API-Anmeldeinformationen
  • Salesforce-API-Benutzername
  • Salesforce-API-Kennwort
  • Salesforce-Sicherheitstoken
  • Salesforce-Consumerschlüssel
  • Salesforce-Consumergeheimnis
  • Lieferantendokumentation/
    Installationsanweisungen
    Entwicklerleitfaden zur Salesforce-REST-API
    Verwenden Sie unter Set up authorization (Autorisierung einrichten) die Methode Session ID (Sitzungs-ID) anstelle von OAuth.
    Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias SalesforceServiceCloud
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-SalesforceServiceCloud-parser
    Anwendungseinstellungen
  • SalesforceUser
  • SalesforcePass
  • SalesforceSecurityToken
  • SalesforceConsumerKey
  • SalesforceConsumerSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Sicherheitsereignisse über Legacy-Agent (Windows)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Agent-basierte Verbindungen von Protokollanalysen (Legacy)
    Log Analytics-Tabellen SecurityEvents
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Weitere Informationen finden Sie unter

    SentinelOne (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Zusätzliche Konfiguration für SentinelOne
    Log Analytics-Tabellen SentinelOne_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-SentinelOneAPI-functionapp
    API-Anmeldeinformationen
  • SentinelOneAPIToken
  • SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net)
  • Lieferantendokumentation/
    Installationsanweisungen
  • https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview
  • Weitere Informationen finden Sie in den Anweisungen unten.
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias SentinelOne
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-SentinelOneAPI-parser
    Anwendungseinstellungen
  • SentinelOneAPIToken
  • SentinelOneUrl
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Zusätzliche Konfiguration für SentinelOne

    Befolgen Sie die Anweisungen zum Abrufen der Anmeldeinformationen.

    1. Melden Sie sich mit Anmeldeinformationen eines Administratorbenutzers an der SentinelOne-Verwaltungskonsole an.
    2. Wählen Sie an der Verwaltungskonsole Settings (Einstellungen) aus.
    3. Wählen Sie in der Ansicht SETTINGS (EINSTELLUNGEN) die Option USERS (BENUTZER) aus.
    4. Wählen Sie Neuer Benutzer aus.
    5. Geben Sie die Informationen zum neuen Konsolenbenutzer ein.
    6. Wählen Sie als Rolle Admin aus.
    7. Wählen Sie SAVE (SPEICHERN) aus.
    8. Speichern Sie die Anmeldeinformationen des neuen Benutzers für die Verwendung im Datenconnector.

    SonicWall Firewall (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Protokoll > Syslog
    Wählen Sie die Einrichtung „local4“ und als Syslog-Format „ArcSight“ aus.
    Unterstützt von SonicWall

    Sophos Cloud Optix (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen SophosCloudOptix_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Integrieren Sie in Microsoft Sentinel,und überspringen Sie den ersten Schritt.
    Sophos-Abfragebeispiele
    Unterstützt von Sophos

    Sophos XG Firewall (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: SophosXGFirewall
    Kusto-Funktions-URL: https://aka.ms/sentinelgithubparserssophosfirewallxg
    Lieferantendokumentation/
    Installationsanweisungen
    Hinzufügen eines Syslog-Servers
    Unterstützt von Microsoft

    Squadra Technologies secRMM

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen secRMM_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    secRMM Microsoft Sentinel Administrator Guide (SecRMM Microsoft Sentinel-Administratorhandbuch)
    Unterstützt von Squadra Technologies

    Squid Proxy (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Log Analytics-Agent: benutzerdefinierte Protokolle
    Log Analytics-Tabellen SquidProxy_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Kusto-Funktionsalias: SquidProxy
    Kusto-Funktions-URL https://aka.ms/Sentinel-squidproxy-parser
    Beispieldatei für benutzerdefinierte Protokolle: „access.log“ oder „cache.log“
    Unterstützt von Microsoft

    Symantec Integrated Cyber Defense Exchange (ICDx)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API
    Log Analytics-Tabellen SymantecICDx_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    secRMM Microsoft Sentinel Administrator Guide (SecRMM Microsoft Sentinel-Administratorhandbuch)
    Unterstützt von Broadcom Symantec

    Symantec ProxySG (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: SymantecProxySG
    Kusto-Funktions-URL: https://aka.ms/sentinelgithubparserssymantecproxysg
    Lieferantendokumentation/
    Installationsanweisungen
    Senden von Zugriffsprotokollen an einen Syslog-Server
    Unterstützt von Microsoft

    Symantec VIP (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: SymantecVIP
    Kusto-Funktions-URL: https://aka.ms/sentinelgithubparserssymantecvip
    Lieferantendokumentation/
    Installationsanweisungen
    Konfigurieren von Syslog
    Unterstützt von Microsoft

    Thycotic Secret Server (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Sichere Syslog-/CEF-Protokollierung
    Unterstützt von Thycotic

    Trend Micro Deep Security

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: TrendMicroDeepSecurity
    Kusto-Funktions-URL https://aka.ms/TrendMicroDeepSecurityFunction
    Lieferantendokumentation/
    Installationsanweisungen
    Weiterleiten von Deep Security-Ereignissen an einen Syslog- oder SIEM-Server
    Unterstützt von Trend Micro

    Trend Micro TippingPoint (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: TrendMicroTippingPoint
    Kusto-Funktions-URL https://aka.ms/Sentinel-trendmicrotippingpoint-function
    Lieferantendokumentation/
    Installationsanweisungen
    Senden von Syslog-Nachrichten im ArcSight-CEF-Format v4.2
    Unterstützt von Trend Micro

    Trend Micro Vision One (XDR) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API
    Log Analytics-Tabellen TrendMicro_XDR_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    API-Anmeldeinformationen
  • API-Token
  • Lieferantendokumentation/
    Installationsanweisungen
  • Trend Micro Vision One-API
  • Abrufen von API-Schlüsseln für den Zugriff durch Drittanbieter
  • Anweisungen zur Connectorbereitstellung Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
    Unterstützt von Trend Micro

    VMware Carbon Black Endpoint Standard (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API
    Log Analytics-Tabellen CarbonBlackEvents_CL
    CarbonBlackAuditLogs_CL
    CarbonBlackNotifications_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/sentinelcarbonblackazurefunctioncode
    API-Anmeldeinformationen API-Zugriffsebene (für Überwachungs- und Ereignisprotokolle):
  • API-ID
  • API-Schlüssel

    SIEM-Zugriffsebene (für Benachrichtigungsereignisse):
  • SIEM-API-ID
  • SIEM-API-Schlüssel
  • Lieferantendokumentation/
    Installationsanweisungen
  • Dokumentation zur Carbon Black-API
  • Erstellen eines API-Schlüssels
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Anwendungseinstellungen
  • apiId
  • apiKey
  • WorkspaceID
  • WorkspaceKey
  • uri (nach Region; siehe Liste der Optionen. Hat das Schema: https://<API URL>.conferdeploy.net.)
  • timeInterval (auf 5 festgelegt)
  • SIEMapiId (für das Erfassen von Benachrichtigungsereignissen)
  • SIEMapiKey (für das Erfassen von Benachrichtigungsereignissen)
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    VMware ESXi (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: VMwareESXi
    Kusto-Funktions-URL: https://aka.ms/Sentinel-vmwareesxi-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Aktivieren von Syslog unter ESXi 3.5 und 4.x
    Konfigurieren von Syslog auf ESXi-Hosts
    Unterstützt von Microsoft

    WatchGuard Firebox (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode syslog
    Log Analytics-Tabellen Syslog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Kusto-Funktionsalias: WatchGuardFirebox
    Kusto-Funktions-URL: https://aka.ms/Sentinel-watchguardfirebox-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Microsoft Sentinel-Integrationshandbuch
    Unterstützt von WatchGuard Technologies

    WireX Network Forensics Platform (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Wenden Sie sich an den WireX-Support, um Ihre NFP-Lösung für das Senden von Syslog-Nachrichten im CEF-Format zu konfigurieren.
    Unterstützt von WireX Systems

    Windows DNS Server (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Agent-basierte Verbindungen von Protokollanalysen (Legacy)
    Log Analytics-Tabellen DnsEvents
    DnsInventory
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Unterstützt von Microsoft

    Problembehandlung bei Ihrem Windows-DNS-Server-Datenkonnektor

    Wenn Ihre DNS-Ereignisse nicht in Microsoft Sentinel angezeigt werden:

    1. Stellen Sie sicher, dass DNS-Analyseprotokolle auf Ihren Servern aktiviert sind.
    2. Wechseln Sie zu Azure DNS-Analyse.
    3. Ändern Sie im Bereich Konfiguration beliebige Einstellungen und speichern Sie Ihre Änderungen. Ändern Sie Ihre Einstellungen bei Bedarf zurück und speichern Sie Ihre Änderungen erneut.
    4. Überprüfen Sie Ihre Azure DNS-Analyse, um sicherzustellen, dass Ihre Ereignisse und Abfragen ordnungsgemäß angezeigt werden.

    Weitere Informationen finden Sie unter Einblicke in Ihre DNS-Infrastruktur mit der DNS-Analyse Vorschau-Lösung.

    Weitergeleitete Windows-Ereignisse (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Azure Monitor Agent-basierte Verbindungen


    Zusätzliche Anweisungen zum Bereitstellen des Connectors für Windows Weitergeleitete Ereignisse
    Voraussetzungen Sie müssen Windows Event Collection (WEC) aktiviert und ausgeführt haben.
    Installieren Sie Azure Monitor-Agent auf dem WEC-Computer.
    Präfix für xPath-Abfragen "ForwardedEvents!*"
    Log Analytics-Tabellen WindowsEvents
    DCR-Unterstützung Standard-DCR
    Unterstützt von Microsoft

    Zusätzliche Anweisungen zum Bereitstellen des Connectors für Windows Weitergeleitete Ereignisse

    Es wird empfohlen, die ASIM-Parser (Advanced Security Information Model) zu installieren, um die vollständige Unterstützung für die Datennormalisierung sicherzustellen. Sie können diese Parser aus dem Azure-Sentinel GitHub-Repository über die dortige Schaltfläche In Azure bereitstellen.

    Windows-Firewall

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Agent-basierte Verbindungen von Protokollanalysen (Legacy)
    Log Analytics-Tabellen WindowsFirewall
    Unterstützt von Microsoft

    Windows-Sicherheitsereignisse über AMA

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration:
    Azure Monitor Agent-basierte Verbindungen
    Präfix für xPath-Abfragen "Security!*"
    Log Analytics-Tabellen SecurityEvents
    DCR-Unterstützung Standard-DCR
    Unterstützt von Microsoft

    Siehe auch: Sicherheitsereignisse über Agenten-Connector einer Vorgängerversion.

    Konfigurieren des Connectors für Sicherheitsereignisse/Windows-Sicherheitsereignisse zur Erkennung ungewöhnlicher RDP-Anmeldungen

    Wichtig

    Die Erkennung ungewöhnlicher RDP-Anmeldungen befindet sich derzeit in der öffentlichen Vorschauphase. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

    Microsoft Sentinel kann maschinelles Lernen (ML) auf Sicherheitsereignisdaten anwenden, um anomale RDP-Anmeldeaktivitäten (Remote Desktop Protocol) zu identifizieren. Mögliche Szenarien:

    • Ungewöhnliche IP-Adresse: Die IP-Adresse ist in den letzten 30 Tagen nur selten oder gar nicht aufgetreten.

    • Ungewöhnliche Geolocation: IP-Adresse, Ort, Land und ASN sind in den letzten 30 Tagen nur selten oder gar nicht aufgetreten.

    • Neuer Benutzer: Ein neuer Benutzer meldet sich über eine IP-Adresse oder Geolocation an, mit deren Auftreten (einzeln oder gemeinsam) anhand der Daten der letzten 30 Tage nicht gerechnet wurde.

    Konfigurationsanweisungen

    1. Sie müssen RDP-Anmeldedaten (Ereignis-ID 4624) über den Datenconnector für Sicherheitsereignisse oder für Windows-Sicherheitsereignisse erfassen. Stellen Sie sicher, dass Sie neben "Keiner" einen Ereignissatz ausgewählt oder eine Datensammlungsregel erstellt haben, die diese Ereignis-ID enthält, um sie an Microsoft Sentinel zu streamen.

    2. Wählen Sie im Microsoft Sentinel-Portal Analyticsund dann die Registerkarte Regelvorlagen aus. Wählen Sie die Regel (Vorschau) Anomale RDP-Anmeldeerkennung aus, und verschieben Sie den Schieberegler Status auf Aktiviert.

      Hinweis

      Da für den Machine Learning-Algorithmus zum Erstellen eines Basisprofils für das Benutzerverhalten die Daten von 30 Tagen benötigt werden, müssen Sie die Erfassung von Windows-Sicherheitsereignissen für 30 Tage zulassen, bevor Incidents erkannt werden können.

    Workplace from Facebook (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API

    Konfigurieren von Webhooks
    Hinzufügen einer Rückruf-URL zur Webhookkonfiguration
    Log Analytics-Tabellen Workplace_Facebook_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip
    API-Anmeldeinformationen
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • Lieferantendokumentation/
    Installationsanweisungen
  • Konfigurieren von Webhooks
  • Konfigurieren von Berechtigungen
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias Workplace_Facebook
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt
    Anwendungseinstellungen
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Konfigurieren von Webhooks

    1. Melden Sie sich bei Workplace mit den Anmeldeinformationen eines Administratorbenutzers an.
    2. Wählen Sie im Administratorbereich Integrations aus.
    3. Wählen Sie in der Ansicht All Integrations (Alle Integrationen) die Option Create custom integration (Benutzerdefinierte Integration erstellen) aus.
    4. Geben Sie den Namen und eine Beschreibung ein, und wählen Sie Create (Erstellen) aus.
    5. Zeigen Sie im Bereich Integration details (Integrationsdetails) das App secret (App-Geheimnis) an, und kopieren Sie es.
    6. Legen Sie im Bereich Integration permission (Integrationsberechtigungen) alle Leseberechtigungen fest. Details dazu finden Sie auf der Berechtigungsseite.

    Hinzufügen einer Rückruf-URL zur Webhookkonfiguration

    1. Öffnen Sie die Seite Ihrer Funktions-App, wechseln Sie zur Liste Funktionen, wählen Sie Funktions-URL abrufen aus, und kopieren Sie diese.
    2. Wechseln Sie zurück zu Workplace from Facebook. Legen Sie im Bereich Configure webhooks (Webhooks konfigurieren) auf jeder Registerkarte die Rückruf-URL, die Sie im letzten Schritt kopiert haben, als Funktions-URL fest. Legen Sie außerdem das Verify token (Überprüfungstoken) auf den gleichen Wert fest, den Sie bei der automatischen Bereitstellung erhalten oder während der manuellen Bereitstellung eingegeben haben.
    3. Wählen Sie Speichern aus.

    Zimperium Mobile Thread Defense (Vorschau)

    Der Zimperium Mobile Threat Defense-Datenkonnektor verbindet das Zimperium-Bedrohungsprotokoll mit Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Durch diesen Connector erhalten Sie einen besseren Einblick in die Bedrohungslage mobiler Geräte in Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge.

    Weitere Informationen finden Sie unter Verbinden Sie Zimperium mit Microsoft Sentinel.

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Microsoft Sentinel-Datensammler-API

    Konfigurieren und Verbinden von Zimperium MTD
    Log Analytics-Tabellen ZimperiumThreatLog_CL
    ZimperiumMitigationLog_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Lieferantendokumentation/
    Installationsanweisungen
    Zimperium-Portal für den Kundensupport (Anmeldung erforderlich)
    Unterstützt von Zimperium

    Konfigurieren und Verbinden von Zimperium MTD

    1. Wählen Sie in zConsole auf der Navigationsleiste Manage (Verwalten) aus.
    2. Wählen Sie die Registerkarte Integrations aus.
    3. Wählen Sie die Schaltfläche Threat Reporting (Bedrohungsberichte) und dann die Schaltfläche Add Integrations (Integrationen hinzufügen) aus.
    4. Erstellen Sie die Integration:
      1. Wählen Sie unter den verfügbaren Integrationen Microsoft Sentinel.
      2. Geben Sie als Nächstes Ihre Arbeitsbereichs-ID und den Primärschlüssel ein, und wählen Sie dann Weiter aus.
      3. Geben Sie einen Namen für Ihre Microsoft Sentinel-Integration ein.
      4. Wählen Sie eine Filterstufe für die Bedrohungsdaten, die Sie an Microsoft Sentinel senden möchten.
      5. Wählen Sie Fertig stellen aus.

    Zoom Reports (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Azure Functions und die REST-API
    Log Analytics-Tabellen Zoom_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Azure Functions-App-Code https://aka.ms/Sentinel-ZoomAPI-functionapp
    API-Anmeldeinformationen
  • ZoomApiKey
  • ZoomApiSecret
  • Lieferantendokumentation/
    Installationsanweisungen
  • Abrufen von Anmeldeinformationen mithilfe von JWT With Zoom
  • Anweisungen zur Connectorbereitstellung
  • Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
  • Manuelle Bereitstellung
  • Kusto-Funktionsalias Zoom
    Kusto-Funktions-URL/
    Parser-Konfigurationsanweisungen
    https://aka.ms/Sentinel-ZoomAPI-parser
    Anwendungseinstellungen
  • ZoomApiKey
  • ZoomApiSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (optional)
  • Unterstützt von Microsoft

    Zscaler

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Common Event Format (CEF) über Syslog
    Log Analytics-Tabellen CommonSecurityLog
    DCR-Unterstützung Arbeitsbereichstransformations-DCR
    Lieferantendokumentation/
    Installationsanweisungen
    Bereitstellungshandbuch für Zscaler und Microsoft Sentinel
    Unterstützt von Zscaler

    Zscaler Private Access (ZPA) (Vorschau)

    Connectorattribut BESCHREIBUNG
    Datenerfassungsmethode Log Analytics-Agent: benutzerdefinierte Protokolle

    Zusätzliche Konfiguration für Zscaler Private Access
    Log Analytics-Tabellen ZPA_CL
    DCR-Unterstützung Derzeit nicht unterstützt
    Kusto-Funktionsalias: ZPAEvent
    Kusto-Funktions-URL https://aka.ms/Sentinel-zscalerprivateaccess-parser
    Lieferantendokumentation/
    Installationsanweisungen
    Dokumentation zu Zscaler Private Access
    Weitere Informationen finden Sie auch unten.
    Unterstützt von Microsoft

    Zusätzliche Konfiguration für Zscaler Private Access

    Führen Sie die folgenden Konfigurationsschritte aus, um Zscaler Private Access-Protokolle in Microsoft Sentinel abzurufen. Weitere Informationen finden Sie in der Azure Monitor DoKumentation. Zscaler Private Access-Protokolle werden über LSS (Log Streaming Service, Protokollstreamingdienst) übermittelt. Ausführliche Informationen finden Sie in der Dokumentation zu LSS.

    1. Konfigurieren Sie Protokollempfänger. Wählen Sie beim Konfigurieren eines Protokollempfängers JSON als Protokollvorlage aus.

    2. Laden Sie die Konfigurationsdatei zpa.conf herunter.

      wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
      
    3. Melden Sie sich auf dem Server an, auf dem Sie den Azure Log Analytics-Agent installiert haben.

    4. Kopieren Sie die Datei „zpa.conf“ in den Ordner „/etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/“.

    5. Bearbeiten Sie die Datei „zpa.conf“ wie folgt:

      1. Geben Sie den Port an, den Sie als Ziel für die Protokollweiterleitung durch Ihre Zscaler-Protokollempfänger festgelegt haben (Zeile 4)
      2. Ersetzen Sie workspace_id durch den tatsächlichen Wert Ihrer Arbeitsbereichs-ID (Zeilen 14, 15, 16, 19).
    6. Speichern Sie Ihre Änderungen, und starten Sie den Azure Log Analytics-Agent für den Linux-Dienst mit dem folgenden Befehl neu:

      sudo /opt/microsoft/omsagent/bin/service_control restart
      

    Den Wert Ihrer Arbeitsbereichs-ID finden Sie auf der Seite des ZScaler Private Access-Connectors oder auf der Verwaltungsseite für Agents Ihres Log Analytics-Arbeitsbereichs.

    Nächste Schritte

    Weitere Informationen finden Sie unter