Conectar o Microsoft Sentinel a outros serviços da Microsoft por meio de conexões baseadas em configurações de diagnóstico
Este artigo descreve como se conectar ao Microsoft Sentinel por meio de conexões de configurações de diagnóstico. O Microsoft Sentinel usa a base do Azure para dar suporte interno de serviço a serviço à ingestão de dados de muitos serviços do Azure e do Microsoft 365, do Amazon Web Services e de vários serviços do Windows Server. Há alguns métodos diferentes para fazer essas conexões.
Este artigo apresenta informações comuns ao grupo de conectores de dados que usam conexões baseadas em configurações de diagnóstico. Alguns desses tipos de conectores são gerenciados pelo Azure Policy. Para os outros conectores desse tipo, siga as instruções para autônomos.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Pré-requisitos
Para ingerir dados no Microsoft Sentinel usando um conector autônomo baseado em configurações de diagnóstico, você deve ter permissões de leitura e gravação no espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel.
Para ingerir dados no Microsoft Sentinel usando conectores baseados em configurações de diagnóstico gerenciados pelo Azure Policy, você também deve ter os seguintes pré-requisitos:
Se você quiser usar o Azure Policy para aplicar uma política de streaming de log aos seus recursos, é necessário ter a função de Proprietário no escopo de atribuição de política.
Os seguintes pré-requisitos, dependendo do conector que você está usando:
Conector de dados Licenciamento, custos e outras informações Atividades do Azure Esse conector agora usa o pipeline de configurações de diagnóstico. Se você usa o método herdado, é necessário desconectar as assinaturas existentes antes de configurar o novo conector do log de atividades do Azure.
1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados. Na lista de conectores, selecione Atividade do Azure e clique no botão Abrir página do conector no canto inferior direito.
2. Na guia Instruções, na seção Configuração, na etapa 1, examine a lista de suas assinaturas existentes conectadas ao método herdado e desconecte todas de uma só vez com um clique no botão Desconectar tudo abaixo.
3. Continue a configuração do novo conector com as instruções nesta seção.Proteção contra DDoS do Azure - Plano de proteção do Azure DDoS Standard configurado.
- Rede virtual configurada com o Azure DDoS Standard habilitado
- Podem ser aplicados outros encargos
- O Status do conector de dados da Proteção contra DDoS do Azure muda para Conectado apenas quando os recursos protegidos estão sob ataque de negação de serviço distribuído.Conta de Armazenamento do Azure O recurso de conta de armazenamento (pai) tem, dentro dele, outros recursos (filho) para cada tipo de armazenamento: arquivos, tabelas, filas e blobs.
Ao configurar o diagnóstico para uma conta de armazenamento, você deve selecionar e configurar:
- O recurso da conta pai, com exportação da métrica Transação.
- Cada um dos recursos do tipo de armazenamento filho, com exportação de todos os logs e métricas.
Você verá apenas os tipos de armazenamento para os quais realmente definiu recursos.
Conecte-se por meio de um conector autônomo baseado em configurações de diagnóstico
Esse procedimento descreve como se conectar ao Microsoft Sentinel usando conectores de dados que utilizam conexões autônomas com base em configurações de diagnóstico.
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.
Escolha o tipo de recurso na galeria de conectores de dados e clique em Abrir página do conector no painel de visualização.
Na seção Configuração da página do conector, selecione o link para abrir a página de configuração do recurso.
Se for apresentada uma lista de recursos do tipo desejado, selecione o link de um recurso com os logs que você quer ingerir.
No menu de navegação do recurso, selecione Configurações de diagnóstico.
Selecione + Adicionar configuração de diagnóstico na parte inferior da lista.
Na tela Configurações de diagnóstico, insira um nome no campo Nome das configurações de diagnóstico.
Marque a caixa de seleção Enviar para o Log Analytics. Dois novos campos são exibidos abaixo dele. Escolha a Assinatura e o Workspace do Log Analytics relevantes (onde o Microsoft Sentinel reside).
Marque as caixas de seleção dos tipos de logs e métricas que você quer coletar. Confira nossas opções recomendadas para cada tipo de recurso na seção do conector do recurso, na página Referência dos conectores de dados.
Selecione Salvar na parte superior da tela.
Para saber mais, confira, também, Criar configurações de diagnóstico para enviar métricas e logs de plataforma do Azure Monitor para destinos diferentes na documentação do Azure Monitor.
Conecte-se por meio de um conector baseado em configuração de diagnóstico gerenciado pelo Azure Policy
Esse procedimento descreve como se conectar ao Microsoft Sentinel usando conectores de dados que utilizam conexões baseadas em configurações de diagnóstico e são gerenciadas pelo Azure Policy.
Os conectores desse tipo usam o Azure Policy para aplicar uma única configuração de definições de diagnóstico a uma coleção de recursos de um único tipo, definido como um escopo. Você pode ver os tipos de log ingeridos de um determinado tipo de recurso do lado esquerdo da página do conector desse recurso, em Tipos de dados.
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.
Escolha o tipo de recurso na galeria de conectores de dados e clique em Abrir página do conector no painel de visualização.
Na seção Configuração da página do conector, expanda todos os expansores que encontrar e clique no botão Iniciar o assistente de atribuição do Azure Policy.
O assistente de atribuição de políticas é aberto, pronto para criar uma nova política, com um nome de política pré-preenchido.
Na guia Básico, clique no botão de três pontos em Escopo para selecionar sua assinatura (e, opcionalmente, um grupo de recursos). Também é possível adicionar uma descrição.
Na guia Parâmetros :
- Desmarque a caixa de seleção Mostrar apenas parâmetros que requerem entrada.
- Se você vir os campos Efeito e Nome da configuração, não faça alterações.
- Escolha seu workspace do Microsoft Sentinel na lista suspensa doworkspace do Log Analytics.
- Os campos suspensos restantes representam os tipos de log de diagnóstico disponíveis. Deixe marcado como Verdadeiro todos os tipos de log que você deseja ingerir.
A política será aplicada aos recursos adicionados no futuro. Para aplicar a política em seus recursos existentes também, selecione a guia Correção e marque a caixa de seleção Criar uma tarefa de correção.
Na guia Revisar + criar, clique em Criar. Agora, sua política foi atribuída ao escopo escolhido.
Com esse tipo de conector de dados, os indicadores de status de conectividade (uma faixa colorida na galeria de conectores de dados e ícones de conexão ao lado dos nomes dos tipos de dados) são exibidos como conectado (verde) somente se os dados tiverem sido ingeridos em algum momento nos últimos 14 dias. Após 14 dias sem ingestão de dados, o conector será exibido como desconectado. No momento em que mais dados chegam, o status conectado retorna.
Você pode localizar e consultar os dados de cada tipo de recurso usando os nomes das tabelas que aparecem na seção do conector do recurso na página Referência de conectores de dados. Para saber mais, confira Criar configurações de diagnóstico para enviar métricas e logs de plataforma do Azure Monitor para destinos diferentes na documentação do Azure Monitor.
Conteúdo relacionado
Para saber mais, veja: