Conectores de datos de Microsoft Sentinel
Después de integrar Microsoft Sentinel en su área de trabajo, utilice conectores de datos para empezar a introducir sus datos en Microsoft Sentinel. Microsoft Sentinel viene con muchos conectores listos para usar para los servicios de Microsoft, que se integran en tiempo real. Por ejemplo, el conector Microsoft Defender XDR es un conector de servicio a servicio que integra datos de Office 365, Microsoft Entra ID, Microsoft Defender for Identity y Microsoft Defender for Cloud Apps.
Los conectores incorporados permiten la conexión con el ecosistema de seguridad más amplio para productos ajenos a Microsoft. Por ejemplo, utilice Syslog, Common Event Format (CEF) o REST APIs para conectar sus orígenes de datos con Microsoft Sentinel.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Importante
Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Conectores de datos proporcionados con soluciones
Las soluciones de Microsoft Sentinel proporcionan paquetes de contenido de seguridad, incluidos conectores de datos, libros, reglas de análisis, cuadernos de estrategias, etc. Al implementar una solución con un conector de datos, se obtiene el conector de datos junto con el contenido relacionado en la misma implementación.
En la página Conectores de datos de Microsoft Sentinel se enumeran los conectores de datos instalados o en uso.
Para agregar más conectores de datos, instale la solución asociada al conector de datos desde el Centro de contenido. Para más información, consulte los siguientes artículos.
- Búsqueda del conector de datos de Microsoft Sentinel
- Acerca del contenido y las soluciones de Microsoft Sentinel
- Descubre y administra el contenido listo para usar de Microsoft Sentinel
- Catálogo del centro de contenido de Microsoft Sentinel
- Soluciones de dominio basadas en el modelo de información de seguridad avanzada (ASIM) para Microsoft Sentinel
Integración de la API REST para conectores de datos
Muchas tecnologías de seguridad proporcionan un conjunto de API para recuperar archivos de registro. Algunos orígenes de datos pueden usar esas API para conectarse a Microsoft Sentinel.
Los conectores de datos que usan API se integran desde el lado del proveedor o se integran mediante Azure Functions, como se describe en las secciones siguientes.
Integración en el lado del proveedor
Una integración de la API creada por el proveedor se conecta con los orígenes de datos del proveedor e inserta los datos en las tablas de registro personalizadas de Microsoft Sentinel mediante la API de Recopilador de datos de Azure Monitor. Para obtener más información, consulte Envío de datos de registro a Azure Monitor con la API de Recopilador de datos HTTP.
Para más información sobre la integración de la API de REST, consulte la documentación del proveedor y Conexión del origen de datos a la API de REST de Microsoft Sentinel para ingerir los datos.
Integración mediante Azure Functions
Las integraciones que usan Azure Functions para conectarse con una API de proveedor dan formato primero a los datos y, a continuación, los envían a las tablas de registro personalizadas de Microsoft Sentinel mediante la API de recopilador de datos de Azure Monitor.
Para más información, vea:
- Envío de datos de registro a Azure Monitor con API de Recopilador de datos HTTP
- Uso de Azure Functions para conectar su origen de datos a Microsoft Sentinel
- Documentación de Azure Functions
Las integraciones que usan Azure Functions podrían incurrir en costos de ingesta de datos adicionales, ya que hospeda Azure Functions en la organización de Azure. Más información sobre los precios de Azure Functions.
Integración basada en agentes para conectores de datos
Microsoft Sentinel puede usar agentes proporcionados por el servicio Azure Monitor (en el que se basa Microsoft Sentinel) para recopilar datos de cualquier origen de datos que pueda realizar el streaming de registros en tiempo real. Por ejemplo, la mayoría de los orígenes de datos locales se conectan a través de la integración basada en agente.
En las secciones siguientes se describen los distintos tipos de conectores de datos basados en agente de Microsoft Sentinel. Siga los pasos descritos en cada página del conector de datos de Microsoft Sentinel para configurar las conexiones mediante mecanismos basados en agente.
Syslog y el formato de evento común (CEF)
Puede transmitir eventos desde dispositivos compatibles con Syslog basados en Linux a Microsoft Sentinel mediante el agente de Azure Monitor (AMA). Los formatos de registro varían, pero muchos orígenes admiten el formato basado en CEF. Dependiendo del tipo de dispositivo, el agente se instala directamente en el dispositivo o en un reenviador de registros basado en Linux. AMA recibe mensajes de eventos de Syslog o CEF sin formato del demonio de Syslog a través de UDP. El demonio de Syslog reenvía los eventos internamente al agente, comunicándose a través de TCP o UDS (sockets de dominio UNIX), dependiendo de la versión. A continuación, el agente de Azure Monitor transmite estos eventos al área de trabajo de Microsoft Sentinel.
Este es un flujo sencillo que muestra cómo Microsoft Sentinel transmite los datos de Syslog.
- El demonio de Syslog integrado del dispositivo recopila los eventos locales de los tipos especificados y los reenvía localmente al agente.
- El agente transmite los eventos al área de trabajo de Log Analytics.
- Después de una configuración correcta, los mensajes de Syslog aparecen en la tabla Syslog de Log Analytics y los mensajes CEF de la tabla CommonSecurityLog.
Para más información, consulte Syslog y Formato de evento común (CEF) a través de conectores AMA para Microsoft Sentinel.
Registros personalizados
Para algunos orígenes de datos, puede recopilar registros como archivos en equipos Windows o Linux mediante el agente de recopilación de registros personalizado de Log Analytics.
Para conectarse mediante el agente de recopilación de registros personalizado de Log Analytics, siga los pasos descritos en cada página del conector de datos de Microsoft Sentinel. Después de una configuración correcta, los datos aparecen en tablas personalizadas.
Para obtener más información, consulte Registros personalizados a través del conector de datos AMA: configuración de la ingesta de datos en Microsoft Sentinel desde aplicaciones específicas.
Integración entre servicios para conectores de datos
Microsoft Sentinel usa la base de Azure para proporcionar compatibilidad integrada de servicio a servicio de serie con los servicios de Microsoft y Amazon Web Services.
Vea los siguientes artículos para más información:
- Conexión de Microsoft Sentinel a servicios de Azure, Windows, Microsoft y Amazon
- Búsqueda del conector de datos de Microsoft Sentinel
Soporte técnico de los conectores de datos
Tanto Microsoft como otras organizaciones crean conectores de datos de Microsoft Sentinel. Cada conector de datos tiene uno de los siguientes tipos de soporte técnico enumerados en la página del conector de datos de Microsoft Sentinel.
Tipo de soporte técnico | Descripción |
---|---|
Soporte técnico de Microsoft | Se aplica a:
Los asociados o los conectores de datos de soporte técnico de la comunidad creados por cualquier entidad distinta de Microsoft. |
Soporte técnico de asociados | Se aplica a los conectores de datos creados por entidades distintas de Microsoft. La empresa asociada proporciona soporte técnico o mantenimiento para estos conectores de datos. La empresa asociada puede ser un fabricante de software independiente, un proveedor de servicios administrados (MSP/MSSP), un integrador de sistemas (SI) o cualquier organización cuya información de contacto se proporcione en la página de Microsoft Sentinel para ese conector de datos. Para cualquier problema con el conector de datos compatible con asociados, póngase en contacto con el contacto de soporte técnico de los conectores de datos especificado. |
Soporte técnico de la comunidad | Se aplica a los conectores de datos creados por Microsoft o desarrolladores asociados que no incluyen contactos para el soporte técnico y el mantenimiento de los conectores de datos en la página del conector de datos de Microsoft Sentinel. Si tiene preguntas o problemas relacionados con estos conectores de datos, puede registrar un problema en la comunidad GitHub de Microsoft Sentinel. |
Para obtener más información, consulte Encontrar compatibilidad con un conector de datos.
Pasos siguientes
Para más información sobre los conectores de datos, consulte los artículos siguientes.
- Conectar los orígenes de datos a Microsoft Sentinel mediante conectores de datos
- Búsqueda del conector de datos de Microsoft Sentinel
- Recursos para crear conectores personalizados de Microsoft Sentinel
Para obtener una referencia básica de infraestructura como código (IaC) de Bicep, Azure Resource Manager y Terraform para implementar conectores de datos en Microsoft Sentinel, consulte Referencia IaC de conectores de datos de Microsoft Sentinel.