Einrichten von Verbunddatenconnectors in Microsoft Sentinel Data Lake

In diesem Artikel wird erläutert, wie Sie Verbunddatenconnectors konfigurieren, um das Abfragen externer Datenquellen aus dem Microsoft Sentinel Data Lake zu ermöglichen. Sie können einen Verbund mit Azure Databricks, Azure Data Lake Storage Gen 2 (ADLS) und Microsoft Fabric herstellen.

Voraussetzungen

Stellen Sie vor dem Einrichten des Datenverbunds sicher, dass sie die folgenden Anforderungen erfüllen:

Sentinel Data Lake-Onboarding: Ihr Mandant muss in den Sentinel Data Lake integriert werden. Weitere Informationen finden Sie unter Onboarding in Microsoft Sentinel Data Lake.
Öffentliche Barrierefreiheit: Die externe Quelle muss öffentlich zugänglich sein. Private Endpunkte werden derzeit nicht unterstützt.
Dienstprinzipal: Ein Dienstprinzipal mit den entsprechenden Berechtigungen in der Datenquelle, mit der Sie eine Verbindung herstellen möchten, ist für Azure Databricks- und Azure Data Lake Storage Gen2-Quellen erforderlich. Weitere Informationen finden Sie unter Microsoft Entra ID App-Registrierungen.
Azure Key Vault: Eine Azure Key Vault, die mit dem geheimen Clientschlüssel des Dienstprinzipals konfiguriert ist, ist erforderlich. Die Microsoft Sentinel Anwendungsidentität benötigt Berechtigungen, die dem Schlüsseltresor zugewiesen sind. Weitere Informationen zum Konfigurieren Azure Key Vaults finden Sie unter Azure Key Vaults.
Microsoft Sentinel Berechtigungen: Datenberechtigungen (verwalten) für Systemtabellen zum Konfigurieren eines Datenverbundconnectors. Weitere Informationen finden Sie unter Rollen und Berechtigungen in der Microsoft Sentinel-Plattform.

Erstellen eines Dienstprinzipals

Für Azure Databricks- und ADLS Gen2-Verbund benötigen Sie einen Dienstprinzipal mit Zugriffsanmeldeinformationen, die in Azure Key Vault gespeichert sind. Sie können einen vorhandenen Dienstprinzipal verwenden oder die folgenden Schritte ausführen, um einen neuen Dienstprinzipal zu erstellen.

Erstellen Sie eine Microsoft Entra ID Anwendungsregistrierung:
1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID>App-Registrierungen.
2. Wählen Sie Neue Registrierung aus.
3. Geben Sie einen Namen für die Anwendung ein.
4. Lassen Sie den Umleitungs-URI leer (für dieses Szenario nicht erforderlich).
5. Wählen Sie Registrieren aus.
Erstellen Sie einen geheimen Clientschlüssel:
1. Wechseln Sie in Ihrer App-Registrierung zu Zertifikate & Geheimnisse.
2. Wählen Sie Neues Clientgeheimnis aus.
3. Geben Sie eine Beschreibung ein, und wählen Sie einen Ablaufzeitraum aus.
4. Klicken Sie auf Hinzufügen.
5. Kopieren Sie den Wert des geheimen Clientschlüssels sofort zur Verwendung im nächsten Abschnitt. Sie können diesen Wert nicht mehr abrufen, nachdem Sie die Seite verlassen haben.
Beachten Sie die Anwendungsdetails:
- Anwendungs-ID (Client-ID)
- Objekt-ID
- Verzeichnis-ID (Mandant)

Weitere Informationen zum Erstellen von Dienstprinzipalen finden Sie unter Microsoft Entra ID App-Registrierungen.

Erstellen einer Azure Key Vault und Speichern von Anmeldeinformationen

Sie können ein vorhandenes Azure Key Vault verwenden und die folgenden Schritte ausführen, um Key Vault Zugriff zu konfigurieren, oder eine neue Key Vault erstellen, indem Sie die folgenden Schritte ausführen:

Erstellen Sie eine Azure Key Vault:
1. Erstellen Sie im Azure-Portal eine neue Azure Key Vault.
2. Verwenden Sie das berechtigungsmodell Azure rollenbasierte Zugriffssteuerung (empfohlen).
3. Aktivieren Sie die Einstellungen für vorläufiges Löschen und Löschschutz für den Schlüsseltresor.
4. Notieren Sie sich den Key Vault-URI nach der Erstellung.
Konfigurieren des Key Vault Zugriffs:
1. Weisen Sie der verwalteten Identität der Microsoft Sentinel Plattform die Rolle Key Vault Geheimnisbenutzer zu. Der Identität wird das Präfix vorangestellt msg-resources-.
2. Wenn Sie Zugriffsrichtlinien für Key Vaults anstelle von Azure rollenbasierten Zugriffssteuerung verwenden, stellen Sie die Berechtigungen für Get und List für Geheimnisverwaltungsvorgänge bereit.
Speichern Sie den geheimen Clientschlüssel in Key Vault:
1. Wechseln Sie in Ihrem Key Vault zu Geheimnisse>generieren/importieren.
2. Erstellen Sie ein neues Geheimnis, das den geheimen Clientschlüssel des Dienstprinzipals enthält.
3. Notieren Sie sich den Geheimnisnamen. Sie wird beim Konfigurieren des Datenverbundconnectors instance verwendet.

Weitere Informationen zum Konfigurieren Azure Key Vaults finden Sie unter Azure Key Vaults.

Verbunddatenconnectors

Verbundconnectors werden auf der Seite Datenconnectors in Microsoft Sentinel im Defender-Portal verwaltet.

Navigieren Sie zu Microsoft Sentinel>Konfigurationsdatenconnectors>.
Wählen Sie unter Datenverbunddie Option Katalog aus, um die verfügbaren Verbundconnectors anzuzeigen.

Auf der Katalogseite wird Folgendes angezeigt:
- Verfügbare Verbundconnectortypen
- Anzahl der konfigurierten Instanzen für jeden Connector
- Herausgeber- und Supportinformationen
Wählen Sie die Seite Meine Connectors aus, um alle konfigurierten Connectorinstanzen anzuzeigen. Auf der Seite werden die Datenverbundconnectorinstanzen Ihres Mandanten sowie deren Anzeigename, Version, status und Supportanbieter aufgelistet.
Wählen Sie die einzelnen instance aus, um Details anzuzeigen, Konfigurationen zu bearbeiten oder die instance zu löschen.

Erstellen eines instance

Der Prozess zum Erstellen eines Connectors instance hängt von der externen Datenquelle ab, mit der Sie eine Verbindung herstellen. Befolgen Sie die Anweisungen für Ihren spezifischen Datenquellentyp.

Erstellen eines Microsoft Fabric-Connectors instance

Bevor Sie den Fabric-Connector instance konfigurieren, müssen Sie Berechtigungen innerhalb der Microsoft Fabric-Umgebung einrichten, damit Microsoft Sentinel auf die Daten zugreifen können.

Konfigurieren der Administratoreinstellungen in Microsoft Fabric, sodass der Mandant für die externe Datenfreigabe aktiviert ist. Weitere Informationen finden Sie unter Erstellen einer externen Datenfreigabe.
Konfigurieren Sie die Administratoreinstellungen in Microsoft Fabric so, dass die Einstellung für Dienstprinzipale aktiviert ist, die öffentliche Fabric-APIs aufrufen können. Weitere Informationen finden Sie unter Dienstprinzipale können öffentliche Fabric-APIs aufrufen.
Fügen Sie die Sentinel Plattformidentität mit dem Präfix msg-resources- als Arbeitsbereichsmitglied auf dem Lakehouse hinzu, aus dem Sie Tabellen im Verbund erstellen möchten. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf Arbeitsbereiche.

Wählen Sie auf der Seite Datenverbundkatalog> die Zeile Microsoft Fabric aus.
Wählen Sie im Seitenbereich Verbindung verbinden aus.

Geben Sie die folgenden Informationen ein:

Feld	Beschreibung
Instanzname	Ein Anzeigename für diesen Connector instance. Dieser instance Name wird an die Tabellen angefügt, die im Lake aus diesem instance dargestellt werden.
Id des Fabric-Arbeitsbereichs	ID des Fabric-Arbeitsbereichs, der als Verbund erstellt werden soll. Wenn Sie zum Fabric-Arbeitsbereich oder lakehouse navigieren, befindet sich die Arbeitsbereichs-ID in der URL nach `/groups/`
Lakehouse-Tabellen-ID	ID der Fabric Lakehouse-Tabelle, die als Verbund verwendet werden soll. Wenn Sie zum Fabric Lakehouse navigieren, wird die Lakehouse-ID in der URL nach `/lakehouses/`angezeigt.

Wählen Sie Weiter aus.
Wählen Sie die Tabellen aus, die Sie als Verbund erstellen möchten.
Wählen Sie Weiter aus.
Überprüfen Sie die Konfiguration des Verbundziels.
Wählen Sie Verbinden aus, um die Verbindung instance zu erstellen.

Hinweis

Die Dateien in Der Zieldatenquelle müssen im Delta Parquet-Format vorliegen, um aus dem Sentinel Data Lake gelesen werden zu können.

Erstellen eines ADLS Gen 2-Connectors instance

Bereiten Sie vor dem Erstellen des Connectors Ihr Speicherkonto vor:

Wenn Sie ein neues Speicherkonto erstellen, stellen Sie sicher, dass die Einstellung Hierarchische Namespaces aktiviert ist.
Weisen Sie dem zuvor erstellten Dienstprinzipal die Rolle Storage-Blobdatenleser zu. Weitere Informationen zum Gewähren des Zugriffs über die Azure-Portal finden Sie unter Zuweisen von Azure Rollen mithilfe der Azure-Portal – Azure RBAC.
Wählen Sie auf der Seite Datenverbundkatalog>die Option Azure Data Lake Storage aus.
Wählen Sie Connector verbinden aus.

Konfigurieren Sie den folgenden Namen und die Verbindungsdetails:

Feld	Beschreibung
Instanzname	Ein Anzeigename für diesen Connector instance. Der instance Name wird an die Tabellennamen im Lake angefügt.
Anwendungs-ID (Client-ID)	GUID des Dienstprinzipals mit Zugriff auf die Key Vault und die Zieldatenquelle.
Azure Key Vault-URI	Der URI des Key Vault, der das Authentifizierungsgeheimnis für den Dienstprinzipal enthält.
Geheimnisname	Name des Geheimnisses in Key Vault, das den geheimen Clientschlüssel des Dienstprinzipals enthält
Azure Data Lake Storage URL	URL des ADLS Gen 2-Endpunkts (muss öffentlich zugänglich sein)

Wählen Sie Weiter aus, um fortzufahren.
Wählen Sie die Tabellen aus, die Sie aus Ihrem ADLS Gen 2-Speicherkonto erstellen möchten.
Durchsuchen Sie die verfügbaren Tabellen in Ihrem ADLS Gen 2-Speicher.
Wählen Sie mindestens eine Tabelle für den Verbund aus.
Wählen Sie Weiter aus, um fortzufahren.
Nachdem Sie die Tabellen ausgewählt haben, überprüfen Sie die Konfigurationseinstellungen.
Wählen Sie Verbinden aus, um den Connector instance zu erstellen.
Wenn Sie Änderungen vornehmen müssen, wählen Sie Zurück aus, um zu den vorherigen Schritten zurückzukehren.

Wählen Sie Verbinden aus, um das Setup für den ADLS Gen 2-Connector instance abzuschließen. Der Assistent wird geschlossen, und die anzahl der instance für Azure Data Lake Storage Gen2 steigt.

Erstellen eines Azure Databricks-Connectors instance

Konfigurieren Sie vor dem Erstellen des Connectors den Zugriff in Ihrer Databricks-Umgebung wie folgt:

Wählen Sie in Azure Databricks den Katalog aus, mit dem Sie eine Verbindung aus Microsoft Sentinel Data Lake herstellen möchten.
Wählen Sie das Zahnradsymbol für den Katalog und dann Metastore aus.
Legen Sie auf der Detailseite des Metastores Externer Datenzugriff aufAktiviert fest.
Wählen Sie in dem Katalog, mit dem Sie einen Verbund erstellen, Berechtigungen und dann Gewähren aus.
Suchen Sie nach dem Dienstprinzipal, den Sie zuvor erstellt haben.
Weisen Sie dem Dienstprinzipal die Voreinstellung "Datenleseberechtigung " zu, wählen Sie die Berechtigung Schema für externe Verwendung aus, und wählen Sie Bestätigen aus.
Wählen Sie oben rechts auf ihrem Azure Databricks-Bildschirm Ihr Konto und dann Einstellungen aus.
Wählen Sie unter Identität und Zugriff die Schaltfläche Verwalten neben Dienstprinzipale aus.
Wählen Sie Dienstprinzipal hinzufügen aus.
Verwenden Sie das Feld Dienstprinzipal, um einen vorhandenen Prinzipal auszuwählen.
Wählen Sie den Dienstprinzipal aus, den Sie zuvor erstellt haben, und wählen Sie Hinzufügen aus.

Erstellen des connector-instance

Wählen Sie auf der Seite Datenverbundkatalog> die zeile Azure Databricks aus.
Wählen Sie im Seitenbereich Verbindung verbinden aus.

Geben Sie die folgenden Details ein:

Feld	Beschreibung
Instanzname	Ein Anzeigename für diesen Connector instance
Prinzipal-ID	GUID des Dienstprinzipals mit Key Vault Zugriff
Azure Key Vault-URI	URI der Key Vault, die das Authentifizierungsgeheimnis enthält
Geheimnisname	Name des Geheimnisses in Key Vault, das die Databricks-Verbindungsinformationen enthält
Databricks-URL	URL des Azure Databricks-instance (muss öffentlich zugänglich sein)
Katalogname	Name des Katalogs in Azure Databricks, um einen Verbund zu erstellen
Schemaname	Name des Schemas in Azure Databricks, um einen Verbund zu erstellen

Wählen Sie Weiter aus.
Wählen Sie die Tabellen aus Ihrem Azure Databricks-instance aus, die Sie erstellen möchten.
Wählen Sie Weiter aus, um fortzufahren.
Überprüfen Sie die Konfigurationseinstellungen.
Wählen Sie Verbinden aus, um den Connector instance zu erstellen.
Wenn Sie Änderungen vornehmen müssen, wählen Sie Zurück aus, um zu den vorherigen Schritten zurückzukehren.

Nachdem Sie Verbinden ausgewählt haben, wird der Assistent geschlossen, und die anzahl der instance für Databricks steigt.

Überprüfen von Tabellen aus Ihrem Connector-instance

Überprüfen Sie nach dem Erstellen eines Connectors instance, ob die Tabellen, die Sie im Verbund erstellt haben, in Microsoft Sentinel verfügbar sind.

Navigieren Sie zu Microsoft Sentinel > Konfigurationstabellen>.
Filtern Sie nach Typ Verbund , um alle Verbundtabellen anzuzeigen.
Suchen Sie nach Ihrem Connector instance Namen.
Tabellen aus Ihrem Connector-instance werden mit ihrem Namen gefolgt von _instance nameaufgeführt. Wenn Ihr Datenconnector z. B. instance Name lautet GlobalHRData und Ihre Tabelle den Namen hathrlogs, wird Der Tabellenname als hrlogs_GlobalHRDataangezeigt.
Wählen Sie eine Tabelle aus der Liste aus, um den Detailbereich zu öffnen.
Wählen Sie die Registerkarte Übersicht aus, um den Tabellentyp und den Verbundanbieter anzuzeigen.
Wählen Sie die Registerkarte Datenquelle aus, um den Connector instance Datenanbieter und quellprodukt für die Tabelle anzuzeigen. Wenn Sie den Connector instance Namen auswählen, gelangen Sie zu diesem instance unter Meine Connectors innerhalb von Datenconnectors.
Wählen Sie die Registerkarte Schema aus, um das Tabellenschema anzuzeigen.
Wählen Sie auf der Registerkarte Schema die Option Aktualisieren aus, um das der Verbundtabelle zugeordnete Tabellenschema zu aktualisieren.

Verwalten von Connectorinstanzen

So ändern oder löschen Sie einen Connector instance:

Navigieren Sie zur Seite Datenverbund>Meine Connectors.
Wählen Sie den Connector instance aus, den Sie verwalten möchten.
Verwenden Sie im Detailbereich die verfügbaren Optionen für Folgendes:
- Bearbeiten von Verbindungseinstellungen
- Hinzufügen oder Entfernen von Verbundtabellen
- Löschen des connector-instance

Hinweis

Microsoft Fabric-Verbindungsinstanzen unterstützen keine Bearbeitung. Sie können eine neue Verbundverbindung erstellen, um weitere Tabellen hinzuzufügen, oder Sie können die Fabric-Verbindung instance löschen und mit demselben instance Namen und einer anderen ausgewählten Gruppe von Tabellen neu erstellen.

Problembehandlung

Verbindungsfehler

Vergewissern Sie sich, dass die verwaltete Sentinel Plattformidentität mit dem Präfix von msg-resources- über die richtigen Berechtigungen für Azure Key Vault verfügt.
Wenn ihre Verbindungsquelle Azure Databricks oder Azure Data Lake Storage Gen2 ist, stellen Sie sicher, dass das Key Vault Geheimnis den richtigen geheimen Clientschlüssel für Ihren Dienstprinzipal enthält.
Das Key Vault-Netzwerk muss während der Connectorkonfiguration auf Öffentlichen Zugriff aus allen Netzwerken zulassen festgelegt werden. Dies ist die Standardkonfiguration von Key Vault. Sie kann nach der Erstellung oder Bearbeitung des Connectors geändert werden.
Vergewissern Sie sich, dass die externe Datenquelle öffentlich zugänglich ist.
Überprüfen Sie, ob der Dienstprinzipal über die entsprechenden Berechtigungen für die Zieldatenquelle für Azure Databricks und ADLS verfügt.
Wenn die Zieldatenquelle Fabric ist, überprüfen Sie, ob der msg-resources- Präfixidentität für Microsoft Sentinel die Berechtigung als Arbeitsbereichsmitglied erteilt wurde.
Stellen Sie sicher, dass Sie nicht über mehr als 100 Verbindungsinstanzen verfügen.

Hinweis

ADLS und Azure Databricks verwenden eine Verbindung instance pro Verbundverbindung. Fabric kann mehr Instanzen pro Verbundverbindung verwenden. Für Fabric gilt für jedes Lakehouse-Schema in Ihrer Verbundverbindung der Grenzwert von 100 instance.

Tabellen werden nicht angezeigt

Vergewissern Sie sich, dass der Dienstprinzipal über Lesezugriff auf die Zieltabellen für ADLS und Azure Databricks verfügt und sich der Dienstprinzipal im selben Mandanten wie diese Datenquellen befindet.
Stellen Sie für Databricks sicher, dass Sie dem Dienstprinzipal sowohl die integrierte Berechtigung "Datenleseberechtigte" als auch die Berechtigung "Schema für externe Verwendung" erteilt haben.
Vergewissern Sie sich für ADLS Gen 2, dass dem Dienstprinzipal die Rolle Storage-Blobdatenleser zugewiesen ist.

Probleme mit der Abfrageleistung

Berücksichtigen Sie die Größe der Daten, die aus externen Quellen abgefragt werden.
Optimieren Sie Abfragen, um Daten frühzeitig zu filtern.
Überprüfen Sie die Netzwerkkonnektivität zwischen Sentinel und der externen Quelle.

Nächste Schritte

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-23

Einrichten von Verbunddatenconnectors in Microsoft Sentinel Data Lake

Voraussetzungen

Erstellen eines Dienstprinzipals

Erstellen einer Azure Key Vault und Speichern von Anmeldeinformationen

Verbunddatenconnectors

Erstellen eines instance

Erstellen eines Microsoft Fabric-Connectors instance

Überprüfen von Tabellen aus Ihrem Connector-instance

Verwalten von Connectorinstanzen

Problembehandlung

Verbindungsfehler

Tabellen werden nicht angezeigt

Probleme mit der Abfrageleistung

Nächste Schritte

Feedback

Zusätzliche Ressourcen