Partilhar via


Conectores de dados do Microsoft Sentinel

Depois de integrar o Microsoft Sentinel ao seu espaço de trabalho, use conectores de dados para começar a ingerir seus dados no Microsoft Sentinel. O Microsoft Sentinel vem com muitos conectores prontos para serviços da Microsoft, que se integram em tempo real. Por exemplo, o conector Microsoft Defender XDR é um conector de serviço a serviço que integra dados do Office 365, Microsoft Entra ID, Microsoft Defender for Identity e Microsoft Defender for Cloud Apps.

Os conectores integrados permitem a conexão com o ecossistema de segurança mais amplo para produtos que não são da Microsoft. Por exemplo, use Syslog, Common Event Format (CEF) ou APIs REST para conectar suas fontes de dados ao Microsoft Sentinel.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Conectores de dados fornecidos com soluções

As soluções Microsoft Sentinel fornecem conteúdo de segurança empacotado, incluindo conectores de dados, pastas de trabalho, regras de análise, playbooks e muito mais. Ao implantar uma solução com um conector de dados, você obtém o conector de dados junto com o conteúdo relacionado na mesma implantação.

A página Conectores de dados do Microsoft Sentinel lista os conectores de dados instalados ou em uso.

Para adicionar mais conectores de dados, instale a solução associada ao conector de dados do Hub de conteúdo. Para obter mais informações, consulte os seguintes artigos:

Integração da API REST para conectores de dados

Muitas soluções de segurança fornecem um conjunto de APIs para recuperar arquivos de log e outros dados de segurança de seu produto ou serviço. Essas APIs se conectam ao Microsoft Sentinel com um dos seguintes métodos:

  • As APIs da fonte de dados são configuradas com a Codeless Connector Platform.
  • O conector de dados usa a API de Ingestão de Log para o Monitor do Azure como parte de uma Função do Azure ou Aplicativo Lógico.

Para obter mais informações sobre como se conectar com o Azure Functions, consulte os seguintes artigos:

Para obter mais informações sobre como se conectar com aplicativos lógicos, consulte Conectar-se com aplicativos lógicos.

Integração baseada em agente para conectores de dados

O Microsoft Sentinel pode usar agentes fornecidos pelo serviço Azure Monitor (no qual o Microsoft Sentinel se baseia) para coletar dados de qualquer fonte de dados que possa executar streaming de log em tempo real. Por exemplo, a maioria das fontes de dados locais se conecta usando a integração baseada em agente.

As seções a seguir descrevem os diferentes tipos de conectores de dados baseados em agente do Microsoft Sentinel. Para configurar conexões usando mecanismos baseados em agente, siga as etapas em cada página do conector de dados do Microsoft Sentinel.

Syslog e Formato Comum de Evento (CEF)

Você pode transmitir eventos de dispositivos baseados em Linux, com suporte a Syslog, para o Microsoft Sentinel usando o Azure Monitor Agent (AMA). Os formatos de log variam, mas muitas fontes suportam formatação baseada em CEF. Dependendo do tipo de dispositivo, o agente é instalado diretamente no dispositivo ou em um encaminhador de log dedicado baseado em Linux. O AMA recebe mensagens de evento Syslog ou CEF simples do daemon Syslog sobre UDP. O daemon Syslog encaminha eventos para o agente internamente, comunicando-se através de TCP ou UDS (Unix Domain Sockets), dependendo da versão. Em seguida, o AMA transmite esses eventos para o espaço de trabalho do Microsoft Sentinel.

Aqui está um fluxo simples que mostra como o Microsoft Sentinel transmite dados do Syslog.

  1. O daemon Syslog interno do dispositivo coleta eventos locais dos tipos especificados e encaminha os eventos localmente para o agente.
  2. O agente transmite os eventos para o espaço de trabalho do Log Analytics.
  3. Após a configuração bem-sucedida, as mensagens Syslog aparecem na tabela Log Analytics Syslog e as mensagens CEF na tabela CommonSecurityLog .

Para obter mais informações, consulte Syslog e CEF (Common Event Format) via conectores AMA para Microsoft Sentinel.

Registos personalizados

Para algumas fontes de dados, você pode coletar logs como arquivos em computadores Windows ou Linux usando o agente de coleta de logs personalizado do Log Analytics.

Para se conectar usando o agente de coleta de log personalizado do Log Analytics, siga as etapas em cada página do conector de dados do Microsoft Sentinel. Após a configuração bem-sucedida, os dados aparecem em tabelas personalizadas.

Para obter mais informações, consulte Logs personalizados via conector de dados AMA - Configurar a ingestão de dados para o Microsoft Sentinel a partir de aplicativos específicos.

Integração serviço-a-serviço para conectores de dados

O Microsoft Sentinel usa a fundação do Azure para fornecer suporte pronto para serviços da Microsoft e da Amazon Web Services.

Para obter mais informações, consulte os seguintes artigos:

Suporte a conector de dados

Tanto a Microsoft como outras organizações criam conectores de dados Microsoft Sentinel. Cada conector de dados tem um dos seguintes tipos de suporte listados na página do conector de dados no Microsoft Sentinel.

Tipo de suporte Description
Suportado pela Microsoft Aplica-se a:
  • Conectores de dados para fontes de dados em que a Microsoft é o provedor de dados e autor.
  • Alguns conectores de dados criados pela Microsoft para fontes de dados que não são da Microsoft.
A Microsoft suporta e mantém conectores de dados nesta categoria de acordo com os Planos de Suporte do Microsoft Azure.

Os parceiros ou os conectores de dados de suporte da Comunidade criados por qualquer outra parte que não a Microsoft.
Suportado por parceiros Aplica-se a conectores de dados criados por terceiros que não a Microsoft.

A empresa parceira fornece suporte ou manutenção para esses conectores de dados. A empresa parceira pode ser um Fornecedor Independente de Software, um Provedor de Serviços Gerenciados (MSP/MSSP), um Integrador de Sistemas (SI) ou qualquer organização cujas informações de contato sejam fornecidas na página do Microsoft Sentinel para esse conector de dados.

Para quaisquer problemas com um conector de dados suportado pelo parceiro, entre em contato com o contato de suporte do conector de dados especificado.
Suportado pela comunidade Aplica-se a conectores de dados criados pela Microsoft ou desenvolvedores parceiros que não têm contatos listados para suporte e manutenção de conectores de dados na página do conector de dados no Microsoft Sentinel.

Para perguntas ou problemas com esses conectores de dados, você pode registrar um problema na comunidade do Microsoft Sentinel GitHub.

Para obter mais informações, consulte Encontrar suporte para um conector de dados.

Próximos passos

Para obter mais informações sobre conectores de dados, consulte os seguintes artigos.

Para obter uma referência básica de Infraestrutura como Código (IaC) do Bicep, Azure Resource Manager e Terraform para implantar conectores de dados no Microsoft Sentinel, consulte Referência do IaC do conector de dados do Microsoft Sentinel.