Einführung
Sie verbinden Windows-Geräte mit dem Arbeitsbereich von Microsoft Sentinel mithilfe des bereitgestellten Datenconnectors. Der Connector bietet Optionen zum Steuern der zu erfassenden Ereignisse.
Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. Sie müssen Ereignisprotokolldaten von Windows-Hosts erfassen. Bei den Hosts kann es sich um lokale Hosts oder VMs in Azure handeln.
Ihr SecOps-Team (Security Operations) ist von Ereignisdaten abhängig, die vom Sysmon-Tool erstellt werden, das auf einigen der Windows-Hosts installiert ist. Sie konfigurieren die Windows-Hosts so, dass Ereignisdaten an Microsoft Sentinel gesendet werden. Außerdem müssen Sie sicherstellen, dass die Sysmon-Ereignisse in Erkennungsregeln verwendet werden können.
Am Ende dieses Moduls können Sie mithilfe des bereitgestellten Datenconnectors eine Verbindung zwischen Windows-Geräten und dem Microsoft Sentinel-Arbeitsbereich herstellen.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Verbinden von Azure Windows-VMs mit Microsoft Sentinel
- Verbinden von Azure Windows-Hosts mit Microsoft Sentinel
- Konfigurieren von Log Analytics-Agents zum Erfassen von Sysmon-Ereignissen
Voraussetzungen
Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen