Configurar conectores de dados no Microsoft Sentinel
Depois de integrar o Microsoft Sentinel ao seu espaço de trabalho, use conectores de dados para começar a ingerir seus dados no Microsoft Sentinel. O Microsoft Sentinel vem com muitos conectores prontos para serviços da Microsoft, que se integram em tempo real. Por exemplo, o conector do Microsoft 365 Defender é um conector de serviço a serviço que integra dados do Office 365, Microsoft Entra ID, Microsoft Defender for Identity e Microsoft Defender for Cloud Apps.
Os conectores integrados permitem a conexão com o ecossistema de segurança mais amplo para produtos que não são da Microsoft. Por exemplo, use Syslog, Common Event Format (CEF) ou APIs REST para conectar suas fontes de dados ao Microsoft Sentinel.
A página Conectores de dados do Microsoft Sentinel mostra a lista completa de conectores e seu status para seu espaço de trabalho. Em breve esta página mostrará apenas a lista de conectores de dados em uso.
Nota
Para adicionar mais conectores de dados, instale a solução associada ao conector de dados do Hub de conteúdo.
Ativar um conector de dados
Na página Conectores de dados, selecione o conector ativo ou personalizado que deseja conectar e selecione Abrir página do conector. Se você não vir o conector de dados desejado, instale a solução associada a ele a partir do Hub de conteúdo.
Depois de preencher todos os pré-requisitos listados na guia Instruções, a página do conector descreve como ingerir os dados para o Microsoft Sentinel. Pode levar algum tempo para que os dados comecem a chegar.
Depois de se conectar, você verá um resumo dos dados no gráfico Dados recebidos e o status de conectividade dos tipos de dados.
Integração da API REST para conectores de dados
Muitas tecnologias de segurança fornecem um conjunto de APIs para recuperar arquivos de log, e algumas fontes de dados podem usar essas APIs para se conectar ao Microsoft Sentinel.
Os conectores de dados que usam APIs integram-se do lado do provedor ou integram-se usando o Azure Functions, conforme descrito nas seções a seguir.
Integração da API REST no lado do provedor
Uma integração de API criada pelo provedor se conecta com as fontes de dados do provedor e envia dados para tabelas de log personalizadas do Microsoft Sentinel usando a API do Coletor de Dados do Azure Monitor.
Integração da API REST usando o Azure Functions
As integrações que usam o Azure Functions para se conectar a uma API de provedor primeiro formatam os dados e, em seguida, enviam-nos para tabelas de log personalizadas do Microsoft Sentinel usando a API do Coletor de Dados do Azure Monitor.
Integração baseada em agente para conectores de dados
O Microsoft Sentinel pode usar o protocolo Syslog para conectar um agente a qualquer fonte de dados que possa executar streaming de log em tempo real. Por exemplo, a maioria das fontes de dados locais se conecta usando a integração baseada em agente.
As seções a seguir descrevem os diferentes tipos de conectores de dados baseados em agente do Microsoft Sentinel. Siga as etapas em cada página do conector de dados do Microsoft Sentinel para configurar conexões usando mecanismos baseados em agente.
Syslog
Você pode transmitir eventos de dispositivos compatíveis com Syslog baseados em Linux para o Microsoft Sentinel usando o Azure Monitor Agent (AMA). Dependendo do tipo de dispositivo, o agente é instalado diretamente no dispositivo ou em um encaminhador de log dedicado baseado em Linux. O AMA recebe eventos do daemon Syslog sobre UDP. O daemon Syslog encaminha eventos para o agente internamente, comunicando-se através de UDS (Unix Domain Sockets). Em seguida, o AMA transmite esses eventos para o espaço de trabalho do Microsoft Sentinel.
Aqui está um fluxo simples que mostra como o Microsoft Sentinel transmite dados do Syslog.
- O daemon Syslog interno do dispositivo coleta eventos locais dos tipos especificados e encaminha os eventos localmente para o agente.
- O agente transmite os eventos para o espaço de trabalho do Log Analytics.
- Após a configuração bem-sucedida, os dados aparecem na tabela Log Analytics Syslog.
Common Event Format (CEF)
Os formatos de log variam, mas muitas fontes suportam formatação baseada em CEF. O agente Microsoft Sentinel, que na verdade é o agente do Log Analytics, converte logs formatados em CEF em um formato que o Log Analytics pode ingerir.
Para fontes de dados que emitem dados no CEF, configure o agente Syslog e, em seguida, configure o fluxo de dados CEF. Após a configuração bem-sucedida, os dados aparecem na tabela CommonSecurityLog .
Registos personalizados
Para algumas fontes de dados, você pode coletar logs como arquivos em computadores Windows ou Linux usando o agente de coleta de logs personalizado do Log Analytics.
Siga as etapas em cada página do conector de dados do Microsoft Sentinel para se conectar usando o agente de coleta de log personalizado do Log Analytics. Após a configuração bem-sucedida, os dados aparecem em tabelas personalizadas.
Integração serviço-a-serviço para conectores de dados
O Microsoft Sentinel usa a fundação do Azure para fornecer suporte pronto para uso, serviço a serviço, para serviços da Microsoft e Amazon Web Services.
Implantar conectores de dados como parte de uma solução
As soluções Microsoft Sentinel fornecem pacotes de conteúdo de segurança, incluindo conectores de dados, pastas de trabalho, regras de análise, playbooks e muito mais. Ao implantar uma solução com um conector de dados, você obtém o conector de dados junto com o conteúdo relacionado na mesma implantação.
Suporte a conector de dados
Tanto a Microsoft como outras organizações criam conectores de dados Microsoft Sentinel. Cada conector de dados tem um destes tipos de suporte:
| Tipo de suporte | Descrição |
|---|---|
| Suportado pela Microsoft | Aplica-se a conectores de dados para fontes de dados em que a Microsoft é o provedor de dados e autor. Alguns conectores de dados criados pela Microsoft para fontes de dados que não são da Microsoft. A Microsoft suporta e mantém conectores de dados nesta categoria de acordo com os Planos de Suporte do Microsoft Azure. Os parceiros ou os conectores de dados de suporte da Comunidade criados por qualquer outra parte que não a Microsoft. |
| Parceiros suportados | Aplica-se a conectores de dados criados por terceiros que não a Microsoft. A empresa parceira fornece suporte ou manutenção para esses conectores de dados. A empresa parceira pode ser um Fornecedor Independente de Software, um Provedor de Serviços Gerenciados, um Integrador de Sistemas ou qualquer organização cujas informações de contato sejam fornecidas na página do Microsoft Sentinel para esse conector de dados. Para quaisquer problemas com um conector de dados suportado por parceiro, entre em contato com o contato de suporte do conector de dados especificado. |
| Apoiada pela comunidade | Aplica-se a conectores de dados criados pela Microsoft ou desenvolvedores parceiros que não têm contatos listados para suporte e manutenção de conectores de dados na página do conector de dados especificado no Microsoft Sentinel. |