Configurar conectores de dados no Microsoft Sentinel
Após integrar o Microsoft Sentinel com o workspace, use os conectores de dados para começar a ingerir os dados no Microsoft Sentinel. O Microsoft Sentinel vem com muitos conectores prontos para o uso em serviços da Microsoft, os quais são integrados em tempo real. Por exemplo, o conector do Microsoft 365 Defender é um conector de serviço a serviço que integra dados do Office 365, da ID do Microsoft Entra, do Microsoft Defender para Identidade e do Microsoft Defender para Aplicativos de Nuvem.
Os conectores internos permitem a conexão com o ecossistema de segurança mais amplo para produtos que não são da Microsoft. Por exemplo, use Syslog, Formato Comum de Evento (CEF) ou APIs REST para conectar suas fontes de dados com o Microsoft Sentinel.
A página Conectores de dados do Microsoft Sentinel mostra a lista completa de conectores e os respectivos status do seu workspace. Em breve, essa página mostrará apenas a lista de conectores de dados em uso.
Observação
Para adicionar mais conectores de dados, instale a solução associada ao conector de dados do Hub de Conteúdo.
Habilitar um conector de dados
Na página Conectores de dados , selecione o conector ativo ou personalizado que você deseja conectar e selecione Abrir página do conector. Se você não vir o conector de dados que deseja, instale a solução associada a ele no Hub de Conteúdo.
Depois de atender a todos os pré-requisitos listados na guia Instruções, a página do conector descreve como ingerir os dados no Microsoft Sentinel. Pode demorar um pouco para que os dados comecem a chegar.
Depois de se conectar, você verá um resumo dos dados no grafo Dados recebidos e o status de conectividade dos tipos de dados.
Integração da API REST para conectores de dados
Muitas tecnologias de segurança fornecem um conjunto de APIs para recuperar arquivos de log, e algumas fontes de dados podem usar essas APIs para se conectar ao Microsoft Sentinel.
Conectores de dados que usam APIs integram-se do lado do provedor ou se integram usando Azure Functions, conforme descrito nas seções a seguir.
Integração da API REST no lado do provedor
Uma integração de API criada pelo provedor conecta-se com as fontes de dados do provedor e envia dados por push para as tabelas de logs personalizadas do Microsoft Sentinel usando a API do Coletor de Dados do Azure Monitor.
Integração da API REST usando Azure Functions
As integrações que usam o Azure Functions para se conectar a uma API do provedor primeiro formatam os dados e, em seguida, enviam esses dados para as tabelas de log personalizadas do Microsoft Sentinel usando a API do Coletor de Dados do Azure Monitor.
Integração baseada em agente para conectores de dados
O Microsoft Sentinel pode usar o protocolo do Syslog para conectar um agente a qualquer fonte de dados que possa realizar o streaming de log em tempo real. Por exemplo, a maioria das fontes de dados locais se conecta usando a integração baseada em agente.
As seções a seguir descrevem os diferentes tipos de conectores de dados baseados em agente do Microsoft Sentinel. Siga as etapas em cada página do conector de dados do Microsoft Sentinel para configurar conexões usando mecanismos baseados em agente.
syslog
Você pode transmitir eventos de dispositivos com suporte do Syslog baseados em Linux para o Microsoft Sentinel usando o Agente do Azure Monitor (AMA). Dependendo do tipo de dispositivo, o agente é instalado diretamente no dispositivo ou em um encaminhador de log dedicado baseado no Linux. O AMA recebe eventos do daemon do Syslog por UDP. O daemon do Syslog encaminha eventos para o agente internamente, comunicando-se por UDS (Soquetes de Domínio Unix). Em seguida, o AMA transmite esses eventos para o espaço de trabalho do Microsoft Sentinel.
Este é um fluxo simples que mostra como o Microsoft Sentinel transmite dados do Syslog.
- O daemon Syslog integrado do dispositivo coleta eventos locais dos tipos específicos e encaminha os eventos localmente para o agente.
- O agente transmite os eventos para o workspace do Log Analytics.
- Após a configuração, os dados aparecem na tabela Syslog do Log Analytics.
CEF (Formato Comum de Evento)
Os formatos de log variam, mas diversas fontes suportam formatação baseada em CEF. O agente do Microsoft Sentinel, que é na verdade o agente do Log Analytics, converte os logs formatados por CEF em um formato que Log Analytics pode ingerir.
Para fontes de dados que emitem dados em CEF, configure o agente de Syslog e depois configure o fluxo de dados CEF. Após a configuração, os dados aparecem na tabela CommonSecurityLog.
Logs personalizados
Para algumas fontes de dados, você pode coletar logs como arquivos nos computadores Windows ou Linux, usando o agente de coleta de logs personalizado do Log Analytics.
Siga as etapas em cada página de conector de dados do Microsoft Sentinel para se conectar usando o agente de coleta de log personalizado do Log Analytics. Após a configuração, os dados aparecem em tabelas personalizadas.
Integração de serviço a serviço para conectores de dados
O Microsoft Sentinel usa a base do Azure para dar suporte imediato de serviço a serviço para os serviços da Microsoft e o Amazon Web Services.
Implantar conectores de dados como parte de uma solução
As soluções do Microsoft Sentinel fornecem pacotes de conteúdo de segurança, incluindo conectores de dados, pastas de trabalho, regras de análise, guias estratégicos e muito mais. Ao implantar uma solução com um conector de dados, você obterá o conector de dados juntamente com o conteúdo relacionado na mesma implantação.
Suporte ao conector de dados
Tanto a Microsoft quanto outras organizações criam conectores de dados do Microsoft Sentinel. Cada conector de dados tem um desses tipos de suporte:
| Tipo de suporte | Descrição |
|---|---|
| Suporte da Microsoft | Aplica-se a conectores de dados para fontes de dados em que a Microsoft é o provedor e o autor dos dados. Alguns conectores de dados criados pela Microsoft para fontes de dados que não são da Microsoft A Microsoft dá suporte e mantém os conectores de dados nessa categoria de acordo com os Planos de suporte do Microsoft Azure. Os parceiros e a comunidade dão suporte a conectores de dados criados por qualquer outra entidade que não seja a Microsoft. |
| Parceiro com suporte | Aplica-se a conectores de dados criados por terceiros que não sejam a Microsoft. A empresa parceira oferece suporte ou manutenção para esses conectores de dados. A empresa parceira pode ser um Fornecedor Independente de Software, um Provedor de Serviços Gerenciados, um Integrador de Sistemas ou qualquer organização cujas informações de contato sejam fornecidas na página do Microsoft Sentinel para esse conector de dados. Para qualquer problema com um conector de dados com suporte por um parceiro, entre em contato com o contato de suporte do conector de dados especificado. |
| Suporte da comunidade | Aplica-se a conectores de dados criados pela Microsoft ou por desenvolvedores parceiros que não têm contatos para suporte e manutenção de conectores de dados listados na página do conector de dados específico no Microsoft Sentinel. |