Schnellstart: Durchführen des Onboardings für Microsoft Sentinel

Hinweis

Azure Sentinel heißt jetzt Microsoft Sentinel, und wir werden diese Seiten in den nächsten Wochen aktualisieren. Erfahren Sie mehr über die aktuellen Sicherheitsverbesserungen von Microsoft.

In dieser Schnellstartanleitung erfahren Sie, wie Sie das Onboarding für Microsoft Sentinel durchführen. Wenn Sie Microsoft Sentinel integrieren möchten, müssen Sie Microsoft Sentinel zuerst aktivieren und dann eine Verbindung mit Ihren Datenquellen herstellen.

Microsoft Sentinel enthält eine Reihe von Connectors für Microsoft-Lösungen, die vorkonfiguriert verfügbar sind und Echtzeitintegration bieten, u. a. für Microsoft 365 Defender-Lösungen (ehemals Microsoft Threat Protection), Microsoft 365-Quellen (einschließlich Office 365), Azure AD, Microsoft Defender for Identity (ehemals Azure ATP), Microsoft Defender for Cloud und Sicherheitswarnungen von Microsoft Defender for Cloud. Außerdem stehen integrierte Connectors für Sicherheitslösungen von anderen Anbietern als Microsoft zur Verfügung. Sie können auch Common Event Format (CEF), Syslog oder eine REST-API verwenden, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.

Nachdem Sie die Datenquellen verbunden haben, steht Ihnen ein Katalog von professionell erstellten Arbeitsmappen zur Anzeige der Erkenntnisse, die Sie aus Ihren Daten gewinnen, zur Auswahl. Diese Arbeitsmappen können einfach an Ihre Anforderungen angepasst werden.

Wichtig

Informationen zu den Gebühren im Zusammenhang mit Microsoft Sentinel finden Sie unter Microsoft Sentinel – Preise und Microsoft Sentinel – Kosten und Abrechnung.

Globale Voraussetzungen

  • Ein aktives Azure-Abonnement. Sollten Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

  • Log Analytics-Arbeitsbereich Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier. Weitere Informationen zu Log Analytics-Arbeitsbereichen finden Sie unter Entwerfen Ihrer Azure Monitor-Protokollbereitstellung.

    Standardmäßig ist in dem für Microsoft Sentinel verwendeten Log Analytics-Arbeitsbereich eine Aufbewahrungsdauer von 30 Tagen festgelegt. Um sicherzustellen, dass Sie den vollen Funktionsumfang von Microsoft Sentinel nutzen können, erhöhen Sie diesen Zeitraum auf 90 Tage. Weitere Informationen finden Sie unter Konfigurieren von Datenaufbewahrungs- und Archivrichtlinien in Azure Monitor-Protokollen.

  • Berechtigungen:

    • Um Microsoft Sentinel zu aktivieren, benötigen Sie Berechtigungen als Mitwirkender für das Abonnement, in dem sich der Microsoft Sentinel-Arbeitsbereich befindet.

    • Für die Ressourcengruppe, zu der der Arbeitsbereich gehört, benötigen Sie entweder Berechtigungen als Mitwirkende oder Leser, um Microsoft Sentinel zu verwenden.

    • Möglicherweise sind für die Verbindung mit bestimmten Datenquellen zusätzliche Berechtigungen erforderlich.

  • Microsoft Sentinel ist ein kostenpflichtiger Dienst. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel und Microsoft Sentinel – Preise.

Weitere Informationen finden Sie unter Aktivitäten vor der Bereitstellung und Voraussetzungen für die Bereitstellung von Microsoft Sentinel.

Geografische Verfügbarkeit und Data Residency

  • Microsoft Sentinel kann in Arbeitsbereichen in den meisten Regionen ausgeführt werden, in denen Log Analytics allgemein verfügbar ist. Das Onboarding des Microsoft Sentinel-Diensts in Regionen, in denen Log Analytics neu verfügbar ist, kann einige Zeit dauern.

  • Informationen zu Geografien und Regionen und zum Speicherort von Kundendaten finden Sie unter Datenresidenz in Azure.

  • Datenresidenz in einer einzelnen Region wird derzeit nur in der Region „Asien, Südosten“ (Singapur) des geografischen Raums „Asien-Pazifik“ und in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) des geografischen Raums „Brasilien“ bereitgestellt.

    Wichtig

    • Durch Aktivieren bestimmter Regeln, die die Machine Learning-Engine (ML) verwenden, erteilen Sie Microsoft die Berechtigung zum Kopieren von relevanten erfassten Daten außerhalb der geografischen Region Ihres Microsoft Sentinel-Arbeitsbereichs, da dies möglicherweise für die Verarbeitung dieser Regeln durch die Machine Learning-Engine erforderlich ist.

Aktivieren von Microsoft Sentinel

  1. Melden Sie sich beim Azure-Portal an. Achten Sie darauf, dass das Abonnement ausgewählt ist, in dem Microsoft Sentinel erstellt wird.

  2. Suchen Sie nach Microsoft Sentinel, und wählen Sie diese Lösung aus.

    Services search

  3. Wählen Sie Hinzufügen.

  4. Wählen Sie den Arbeitsbereich aus, den Sie verwenden möchten, oder erstellen Sie einen neuen. Sie können Microsoft Sentinel in mehr als einem Arbeitsbereich ausführen. Die Daten sind aber für einen einzelnen Arbeitsbereich isoliert.

    Choose a workspace

    Hinweis

    • Von Microsoft Defender for Cloud erstellte Standardarbeitsbereiche werden nicht in der Liste angezeigt. Sie können Microsoft Sentinel nicht in ihnen installieren.

    Wichtig

    • Nach der Bereitstellung in einem Arbeitsbereich bietet Microsoft Sentinel derzeit keine Unterstützung für das Verschieben dieses Arbeitsbereichs in andere Ressourcengruppen oder Abonnements.

      Haben Sie den Arbeitsbereich bereits verschoben, deaktivieren Sie alle aktiven Regeln unter Analytics, und aktivieren Sie sie nach fünf Minuten wieder. Dieser Vorgang sollte in den meisten Fällen wirksam sein. Für die Iteration wird er jedoch nicht unterstützt und auf eigenes Risiko ausgeführt.

  5. Wählen Sie Add Microsoft Sentinel (Microsoft Sentinel hinzufügen) aus.

Herstellen einer Verbindung mit Datenquellen

Microsoft Sentinel erfasst Daten aus Diensten und Apps, indem eine Verbindung mit dem Dienst hergestellt wird und die Ereignisse und Protokolle an Microsoft Sentinel weitergeleitet werden. Für physische und virtuelle Computer können Sie den Log Analytics-Agent installieren, mit dem die Protokolle gesammelt und an Microsoft Sentinel weitergeleitet werden. Für Firewalls und Proxys installiert Microsoft Sentinel den Log Analytics-Agent auf einem Linux-Syslog-Server, über den der Agent die Protokolldateien erfasst und an Microsoft Sentinel weiterleitet.

  1. Wählen Sie im Hauptmenü die Option Datenconnectors aus. Der Katalog mit den Datenconnectors wird geöffnet.

  2. Der Katalog enthält eine Liste mit allen Datenquellen, mit denen Sie eine Verbindung herstellen können. Wählen Sie eine Datenquelle und dann die Schaltfläche Connectorseite öffnen aus.

  3. Auf der Connectorseite werden eine Anleitung zum Konfigurieren des Connectors und alle erforderlichen weiteren Hinweise angezeigt.

    Wenn Sie beispielsweise die Datenquelle Azure Active Directory auswählen, mit der Sie Protokolle aus Azure AD an Microsoft Sentinel streamen können, können Sie angeben, welche Arten von Protokollen Sie erhalten möchten: Anmeldeprotokolle und/oder Überwachungsprotokolle.
    Führen Sie die Installationsanweisungen aus oder lesen Sie sich den entsprechenden Verbindungsleitfaden durch, um weitere Informationen zu erhalten. Weite Informationen zu Datenconnectors finden Sie unter Microsoft Sentinel-Datenconnectors.

  4. Auf der Connectorseite werden auf der Registerkarte Nächste Schritte relevante integrierte Arbeitsmappen, Beispielabfragen und Analyseregelvorlagen angezeigt, die zum Datenconnector gehören. Sie können diese Elemente unverändert verwenden oder anpassen. Auf jeden Fall können Sie sofort interessante Erkenntnisse zu Ihren Daten gewinnen.

Sobald Ihre Datenquellen verbunden wurden, beginnt das Streaming Ihrer Daten zu Microsoft Sentinel. Sie können dann mit der Arbeit mit Ihren Daten loslegen. Sie können die Protokolle in den integrierten Arbeitsmappen anzeigen und mit der Erstellung von Abfragen in Log Analytics beginnen, um die Daten zu untersuchen.

Weitere Informationen finden Sie unter Bewährte Methoden für die Datensammlung.

Nächste Schritte

Weitere Informationen finden Sie unter