Conectores de dados do Microsoft Sentinel
Depois de integrar o Microsoft Sentinel ao seu espaço de trabalho, use conectores de dados para começar a ingerir seus dados no Microsoft Sentinel. O Microsoft Sentinel vem com muitos conectores prontos para serviços da Microsoft, que se integram em tempo real. Por exemplo, o conector Microsoft Defender XDR é um conector de serviço a serviço que integra dados do Office 365, Microsoft Entra ID, Microsoft Defender for Identity e Microsoft Defender for Cloud Apps.
Os conectores integrados permitem a conexão com o ecossistema de segurança mais amplo para produtos que não são da Microsoft. Por exemplo, use Syslog, Common Event Format (CEF) ou APIs REST para conectar suas fontes de dados ao Microsoft Sentinel.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Importante
O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Conectores de dados fornecidos com soluções
As soluções Microsoft Sentinel fornecem conteúdo de segurança empacotado, incluindo conectores de dados, pastas de trabalho, regras de análise, playbooks e muito mais. Ao implantar uma solução com um conector de dados, você obtém o conector de dados junto com o conteúdo relacionado na mesma implantação.
A página Conectores de dados do Microsoft Sentinel lista os conectores de dados instalados ou em uso.
Para adicionar mais conectores de dados, instale a solução associada ao conector de dados do Hub de conteúdo. Para obter mais informações, consulte os seguintes artigos que podem estar em inglês:
- Encontrar o seu conector de dados do Microsoft Sentinel
- Sobre o conteúdo e as soluções do Microsoft Sentinel
- Descubra e gerencie conteúdo pronto para uso do Microsoft Sentinel
- Catálogo do hub de conteúdo do Microsoft Sentinel
- Soluções de domínio baseadas em ASIM (Advanced Security Information Model) para o Microsoft Sentinel
Integração da API REST para conectores de dados
Muitas tecnologias de segurança fornecem um conjunto de APIs para recuperar arquivos de log. Algumas fontes de dados podem usar essas APIs para se conectar ao Microsoft Sentinel.
Os conectores de dados que usam APIs integram-se do lado do provedor ou integram-se usando o Azure Functions, conforme descrito nas seções a seguir.
Integração do lado do fornecedor
Uma integração de API criada pelo provedor se conecta com as fontes de dados do provedor e envia dados por push para tabelas de log personalizadas do Microsoft Sentinel usando a API do Coletor de Dados do Azure Monitor. Para obter mais informações, consulte Enviar dados de log para o Azure Monitor usando a API do Coletor de Dados HTTP.
Para saber mais sobre a integração da API REST, leia a documentação do seu provedor e Conecte sua fonte de dados à API REST do Microsoft Sentinel para ingerir dados.
Integração usando o Azure Functions
As integrações que usam o Azure Functions para se conectar a uma API de provedor primeiro formatam os dados e, em seguida, enviam-nos para tabelas de log personalizadas do Microsoft Sentinel usando a API do Coletor de Dados do Azure Monitor.
Para obter mais informações, consulte:
- Enviar dados de log para o Azure Monitor usando a API do Coletor de Dados HTTP
- Usar o Azure Functions para conectar sua fonte de dados ao Microsoft Sentinel
- Documentação das Funções do Azure
As integrações que usam o Azure Functions podem ter custos extras de ingestão de dados, porque você hospeda o Azure Functions em sua organização do Azure. Saiba mais sobre os preços do Azure Functions.
Integração baseada em agente para conectores de dados
O Microsoft Sentinel pode usar o protocolo Syslog para conectar um agente a qualquer fonte de dados que possa executar streaming de log em tempo real. Por exemplo, a maioria das fontes de dados locais se conecta usando a integração baseada em agente.
As seções a seguir descrevem os diferentes tipos de conectores de dados baseados em agente do Microsoft Sentinel. Para configurar conexões usando mecanismos baseados em agente, siga as etapas em cada página do conector de dados do Microsoft Sentinel.
Syslog
Você pode transmitir eventos de dispositivos baseados em Linux, com suporte a Syslog, para o Microsoft Sentinel usando o Azure Monitor Agent (AMA). Dependendo do tipo de dispositivo, o agente é instalado diretamente no dispositivo ou em um encaminhador de log dedicado baseado em Linux. O AMA recebe eventos do daemon Syslog sobre UDP. O daemon Syslog encaminha eventos para o agente internamente, comunicando-se através de UDS (Unix Domain Sockets). Em seguida, o AMA transmite esses eventos para o espaço de trabalho do Microsoft Sentinel.
Aqui está um fluxo simples que mostra como o Microsoft Sentinel transmite dados do Syslog.
- O daemon Syslog interno do dispositivo coleta eventos locais dos tipos especificados e encaminha os eventos localmente para o agente.
- O agente transmite os eventos para o espaço de trabalho do Log Analytics.
- Após a configuração bem-sucedida, os dados aparecem na tabela Log Analytics Syslog.
Para obter mais informações, consulte Tutorial: Encaminhar dados do Syslog para um espaço de trabalho do Log Analytics com o Microsoft Sentinel usando o Azure Monitor Agent.
Common Event Format (CEF)
Os formatos de log variam, mas muitas fontes suportam formatação baseada em CEF. O agente Microsoft Sentinel, que na verdade é o agente do Log Analytics, converte logs formatados em CEF em um formato que o Log Analytics pode ingerir.
Para fontes de dados que emitem dados no CEF, configure o agente Syslog e, em seguida, configure o fluxo de dados CEF. Após a configuração bem-sucedida, os dados aparecem na tabela CommonSecurityLog .
Para obter mais informações, consulte Obter logs formatados em CEF do seu dispositivo ou dispositivo no Microsoft Sentinel.
Registos personalizados
Para algumas fontes de dados, você pode coletar logs como arquivos em computadores Windows ou Linux usando o agente de coleta de logs personalizado do Log Analytics.
Para se conectar usando o agente de coleta de log personalizado do Log Analytics, siga as etapas em cada página do conector de dados do Microsoft Sentinel. Após a configuração bem-sucedida, os dados aparecem em tabelas personalizadas.
Para obter mais informações, consulte Coletar dados em formatos de log personalizados para o Microsoft Sentinel com o agente do Log Analytics.
Integração serviço-a-serviço para conectores de dados
O Microsoft Sentinel usa a fundação do Azure para fornecer suporte pronto para serviços da Microsoft e da Amazon Web Services.
Para obter mais informações, consulte os seguintes artigos que podem estar em inglês:
- Conectar o Microsoft Sentinel aos serviços do Azure, Windows, Microsoft e Amazon
- Encontrar o seu conector de dados do Microsoft Sentinel
Suporte a conector de dados
Tanto a Microsoft como outras organizações criam conectores de dados Microsoft Sentinel. Cada conector de dados tem um dos seguintes tipos de suporte listados na página do conector de dados no Microsoft Sentinel.
| Tipo de suporte | Description |
|---|---|
| Suportado pela Microsoft | Aplica-se a:
Os parceiros ou os conectores de dados de suporte da Comunidade criados por qualquer outra parte que não a Microsoft. |
| Suportado por parceiros | Aplica-se a conectores de dados criados por terceiros que não a Microsoft. A empresa parceira fornece suporte ou manutenção para esses conectores de dados. A empresa parceira pode ser um Fornecedor Independente de Software, um Provedor de Serviços Gerenciados (MSP/MSSP), um Integrador de Sistemas (SI) ou qualquer organização cujas informações de contato sejam fornecidas na página do Microsoft Sentinel para esse conector de dados. Para quaisquer problemas com um conector de dados suportado pelo parceiro, entre em contato com o contato de suporte do conector de dados especificado. |
| Suportado pela comunidade | Aplica-se a conectores de dados criados pela Microsoft ou desenvolvedores parceiros que não têm contatos listados para suporte e manutenção de conectores de dados na página do conector de dados no Microsoft Sentinel. Para perguntas ou problemas com esses conectores de dados, você pode registrar um problema na comunidade do Microsoft Sentinel GitHub. |
Para obter mais informações, consulte Encontrar suporte para um conector de dados.
Próximos passos
Para obter mais informações sobre conectores de dados, consulte os seguintes artigos.
- Conectar suas fontes de dados ao Microsoft Sentinel usando conectores de dados
- Encontrar o seu conector de dados do Microsoft Sentinel
- Recursos para criar conectores personalizados do Microsoft Sentinel
Para obter uma referência básica de Infraestrutura como Código (IaC) do Bicep, Azure Resource Manager e Terraform para implantar conectores de dados no Microsoft Sentinel, consulte Referência do IaC do conector de dados do Microsoft Sentinel.