Compartilhar via


Conectores de dados do Microsoft Sentinel

Após integrar o Microsoft Sentinel com o workspace, use os conectores de dados para começar a ingerir os dados no Microsoft Sentinel. O Microsoft Sentinel vem com muitos conectores prontos para o uso em serviços da Microsoft, os quais são integrados em tempo real. Por exemplo, o conector Microsoft Defender XDR é um conector serviço a serviço que integra dados do Office 365, Microsoft Entra ID, Microsoft Defender para Identidade e Microsoft Defender para Nuvem Apps.

Os conectores internos permitem a conexão com o ecossistema de segurança mais amplo para produtos que não são da Microsoft. Por exemplo, use Syslog, Formato Comum de Evento (CEF) ou APIs REST para conectar suas fontes de dados com o Microsoft Sentinel.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, veja Microsoft Sentinel no portal Microsoft Defender.

Conectores de dados fornecidos com soluções

As soluções Microsoft Sentinel fornecem conteúdo de segurança empacotado, incluindo conectores de dados, pastas de trabalho, regras de análise, manuais e muito mais. Ao implantar uma solução com um conector de dados, você obterá o conector de dados juntamente com o conteúdo relacionado na mesma implantação.

A página Microsoft Sentinel Conectores de dados lista os conectores de dados instalados ou em uso.

Para adicionar mais conectores de dados, instale a solução associada ao conector de dados do Hub de Conteúdo. Para obter mais informações, consulte os seguintes artigos:

Integração da API REST para conectores de dados

Muitas soluções de segurança fornecem um conjunto de APIs para recuperar arquivos de log e outros dados de segurança de seu produto ou serviço. Essas APIs se conectam ao Microsoft Sentinel com um dos seguintes métodos:

  • As APIs da fonte de dados são configuradas com a Plataforma Conector sem Código.
  • O conector de dados usa a API de Ingestão de Log para o Azure Monitor como parte de uma função ou aplicativo lógico do Azure.

Para obter mais informações sobre como se conectar ao Azure Functions, consulte os seguintes artigos:

Para obter mais informações sobre como se conectar aos Aplicativos Lógicos, consulte Conectar-se aos Aplicativos Lógicos.

Integração baseada em agente para conectores de dados

O Microsoft Sentinel pode usar agentes fornecidos pelo serviço do Azure Monitor (no qual o Microsoft Sentinel se baseia) para coletar dados de qualquer fonte de dados que possa executar o streaming de log em tempo real. Por exemplo, a maioria das fontes de dados locais conecta-se usando integração baseada em agente.

As seções a seguir descrevem os diferentes tipos de conectores de dados baseados em agente do Microsoft Sentinel. Para configurar conexões usando mecanismos baseados em agente, siga as etapas em cada página do conector de dados do Microsoft Sentinel.

Syslog e Formato Comum de Evento (CEF)

Você pode transmitir eventos de dispositivos com suporte a Syslog baseados em Linux para o Microsoft Sentinel usando o Azure Monitor Agent (AMA). Os formatos de log variam, mas diversas fontes suportam formatação baseada em CEF. Dependendo do tipo de dispositivo, o agente é instalado diretamente no dispositivo ou em um encaminhador de log dedicado baseado no Linux. O AMA recebe mensagens de evento Syslog ou CEF simples do daemon Syslog por UDP. O daemon do Syslog encaminha eventos para o agente internamente, comunicando-se por TCP ou UDS (Soquetes de Domínio Unix), dependendo da versão. Em seguida, o AMA transmite esses eventos para o espaço de trabalho do Microsoft Sentinel.

Aqui está um fluxo simples que mostra como o Microsoft Sentinel transmite dados Syslog.

  1. O daemon Syslog integrado do dispositivo coleta eventos locais dos tipos específicos e encaminha os eventos localmente para o agente.
  2. O agente transmite os eventos para o workspace do Log Analytics.
  3. Após a configuração bem-sucedida, as mensagens do Syslog aparecem na tabela Syslog do Log Analytics e nas mensagens CEF na tabela CommonSecurityLog.

Para obter mais informações, consulte Syslog e CEF (Formato Comum de Evento) por meio de conectores AMA para o Microsoft Sentinel.

Logs personalizados

Para algumas fontes de dados, você pode coletar logs como arquivos nos computadores Windows ou Linux, usando o agente de coleta de logs personalizado do Log Analytics.

Para se conectar usando o agente de coleta de log personalizado do Log Analytics, siga as etapas em cada página do conector de dados do Microsoft Sentinel. Após a configuração, os dados aparecem em tabelas personalizadas.

Para obter mais informações, confira Conector de dados Logs Personalizados via AMA: configurar a ingestão de dados para o Microsoft Sentinel a partir de aplicativos específicos.

Integração de serviço a serviço para conectores de dados

O Microsoft Sentinel usa a fundação Azure para fornecer suporte pronto para uso de serviço a serviço para serviços Microsoft e Amazon Web Services.

Para obter mais informações, consulte os seguintes artigos:

Suporte ao conector de dados

Tanto a Microsoft quanto outras organizações criam conectores de dados do Microsoft Sentinel. Cada conector de dados tem um dos seguintes tipos de suporte listados na página do conector de dados no Microsoft Sentinel.

Tipo de suporte Descrição
Suporte da Microsoft Aplica-se a:
  • Conectores de dados para fontes de dados em que a Microsoft é o provedor de dados e autor
  • Alguns conectores de dados criados pela Microsoft para fontes de dados que não são da Microsoft
A Microsoft dá suporte e mantém os conectores de dados nessa categoria de acordo com os Planos de suporte do Microsoft Azure.

Os parceiros ou a Comunidade oferecem suporte a conectores de dados criados por terceiros que não a Microsoft.
Suporte do parceiro Aplica-se a conectores de dados criados por terceiros que não sejam a Microsoft.

A empresa parceira oferece suporte ou manutenção para esses conectores de dados. A empresa parceira pode ser um fornecedor independente de software, um Provedor de Serviços Gerenciados (MSP/MSSP), um Integrador de Sistemas (SI) ou qualquer organização cujas informações de contato sejam fornecidas na página do Microsoft Sentinel desse conector de dados.

Se você tiver problemas com um conector de dados com suporte do parceiro, entre em contato com o suporte do conector de dados específico.
Suporte da comunidade Aplica-se a conectores de dados de autoria da Microsoft ou de desenvolvedores parceiros que não listaram contatos para suporte e manutenção do conector de dados na página do conector de dados no Microsoft Sentinel.

Se tiver dúvidas ou problemas com esses conectores de dados, você pode registrar um problema na comunidade do GitHub do Microsoft Sentinel.

Para obter mais informações, veja Encontrar suporte para um conector de dados.

Próximas etapas

Para obter mais informações sobre conectores de dados, veja os artigos a seguir.

Para obter uma referência básica de Infraestrutura como Código (IaC) do Bicep, Azure Resource Manager e Terraform para implantar conectores de dados no Microsoft Sentinel, veja Referência IaC do conector de dados do Microsoft Sentinel.