Conectores de datos de Microsoft Sentinel
Nota
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Después de incorporar Microsoft Sentinel al área de trabajo, puede usar los conectores de datos para empezar a ingerir los datos en Microsoft Sentinel. Microsoft Sentinel incluye muchos conectores estándar para los servicios de Microsoft, que se pueden integrar en tiempo real. Por ejemplo, el conector Microsoft 365 Defender es un conector de servicio a servicio que integra datos de Office 365, Azure Active Directory (Azure AD), Microsoft Defender for Identity y Microsoft Defender for Cloud Apps.
También puede habilitar conectores integrados en el amplio ecosistema de seguridad para productos que no son de Microsoft. Por ejemplo, puede usar Syslog, el formato de evento común (CEF) o las API REST para conectar los orígenes de datos a Microsoft Sentinel.
Obtenga información sobre los tipos de conectores de datos de Microsoft Sentinel u obtenga información sobre el catálogo de soluciones de Microsoft Sentinel.
En la página Conectores de datos de Microsoft Sentinel se muestra la lista completa de los conectores y su estado en el área de trabajo.
Habilitación de un conector de datos
Seleccione el conector al que desea conectarse y, después, seleccione Abrir la página del conector.
Una vez que cumpla todos los requisitos previos enumerados en la pestaña Instrucciones, la página del conector describe cómo ingerir los datos en Microsoft Sentinel. Los datos pueden tardar algún tiempo en empezar a llegar. Después de conectarse, verá un resumen de los datos en el gráfico Datos recibidos, y el estado de conectividad de los tipos de datos.
En la pestaña Pasos siguientes, verá el contenido adicional para el tipo de datos específico: consultas de ejemplo, libros de visualización y plantillas de reglas de análisis para ayudarle a detectar e investigar amenazas.
Obtenga información sobre el conector de datos específico en la referencia de conectores de datos.
Integración de la API REST para conectores de datos
Muchas tecnologías de seguridad proporcionan un conjunto de API para recuperar archivos de registro, y algunos orígenes de datos pueden usar esas API para conectarse a Microsoft Sentinel.
Los conectores de datos que usan API se integran desde el lado del proveedor o se integran mediante Azure Functions, como se describe en las secciones siguientes.
Obtenga más información sobre los conectores de datos en la referencia de conectores de datos.
Integración de la API de REST en el lado del proveedor
Una integración de la API creada por el proveedor se conecta con los orígenes de datos del proveedor e inserta los datos en las tablas de registro personalizadas de Microsoft Sentinel mediante la API de recopilador de datos de Azure Monitor.
Para más información sobre la integración de la API de REST, consulte la documentación del proveedor y Conexión del origen de datos a la API de REST de Microsoft Sentinel para ingerir los datos.
Integración de la API de REST mediante Azure Functions
Las integraciones que usan Azure Functions para conectarse con una API de proveedor dan formato primero a los datos y, a continuación, los envían a las tablas de registro personalizadas de Microsoft Sentinel mediante la API de recopilador de datos de Azure Monitor. Para más información, consulte Uso de Azure Functions para conectar su origen de datos a Microsoft Sentinel.
Importante
Las integraciones que usan Azure Functions pueden incurrir en costos de ingesta de datos adicionales, ya que hospeda Azure Functions en el inquilino de Azure. Más información sobre los precios de Azure Functions.
Integración basada en agentes para conectores de datos
Microsoft Sentinel puede usar el protocolo Syslog para conectar un agente a cualquier origen de datos que pueda realizar el streaming de registros en tiempo real. Por ejemplo, la mayoría de los orígenes de datos locales se conectan a través de la integración basada en agente.
En las secciones siguientes se describen los distintos tipos de conectores de datos basados en agente de Microsoft Sentinel. Siga los pasos descritos en cada página del conector de datos de Microsoft Sentinel para configurar las conexiones mediante mecanismos basados en agente.
Para obtener una lista completa de firewalls, servidores proxy y puntos de conexión que se conecten a Microsoft Sentinel mediante CEF o Syslog, consulte el artículo sobre la referencia de conectores de datos.
syslog
Puede transmitir eventos de dispositivos compatibles con Syslog basados en Linux a Microsoft Sentinel mediante el agente de Log Analytics para Linux, anteriormente conocido como agente de OMS. Dependiendo del tipo de dispositivo, el agente se instala directamente en el dispositivo o en un reenviador de registros basado en Linux. El agente de Log Analytics recibe eventos del demonio de Syslog a través de UDP. Si se espera que una máquina Linux recopile un gran volumen de eventos Syslog, enviará los eventos a través de TCP desde el demonio de Syslog al agente y desde allí a Log Analytics. Aprenda a conectar dispositivos basados en Syslog a Microsoft Sentinel.
Este es un flujo sencillo que muestra cómo Microsoft Sentinel transmite los datos de Syslog.
- El demonio de Syslog integrado del dispositivo recopila los eventos locales de los tipos especificados y los reenvía localmente al agente.
- El agente transmite los eventos al área de trabajo de Log Analytics.
- Después de una configuración correcta, los datos aparecen en la tabla Syslog de Log Analytics.
Formato de evento común (CEF)
Los formatos de registro varían, pero muchos orígenes admiten el formato basado en CEF. El agente de Microsoft Sentinel, que es realmente el agente de Log Analytics, convierte los registros con formato CEF en un formato que Log Analytics puede ingerir.
En el caso de los orígenes de datos que emiten datos en CEF, configure el agente de Syslog y, a continuación, configure el flujo de datos CEF. Después de una configuración correcta, los datos aparecen en la tabla CommonSecurityLog.
Aprenda a conectar dispositivos basados en CEF a Microsoft Sentinel.
Registros personalizados
Para algunos orígenes de datos, puede recopilar registros como archivos en equipos Windows o Linux mediante el agente de recopilación de registros personalizado de Log Analytics.
Siga los pasos descritos en cada página del conector de datos de Microsoft Sentinel para conectarse mediante el agente de recopilación de registros personalizados de Log Analytics. Después de una configuración correcta, los datos aparecen en tablas personalizadas.
Obtenga información sobre cómo recopilar datos en formatos de registro personalizados para Microsoft Sentinel con el agente de Log Analytics.
Integración entre servicios para conectores de datos
Microsoft Sentinel usa la base de Azure para proporcionar compatibilidad integrada de servicio a servicio de serie con los servicios de Microsoft y Amazon Web Services.
Obtenga información sobre cómo conectarse a Azure, Windows, Microsoft y Amazon Services u obtener información sobre los tipos de conectores de datos en la referencia de conectores de datos.
Implemente conectores de datos como parte de una solución
Las soluciones de Microsoft Sentinel proporcionan paquetes de contenido de seguridad, incluidos conectores de datos, libros, reglas de análisis, cuadernos de estrategias, etc. Al implementar una solución con un conector de datos, se obtiene el conector de datos junto con el contenido relacionado en la misma implementación.
Para más información, consulte Detección central e implementación de las soluciones y el contenido integrado de Microsoft Sentinel y el catálogo de soluciones de Microsoft Sentinel.
Soporte técnico de los conectores de datos
Tanto Microsoft como otras organizaciones crean conectores de datos de Microsoft Sentinel. Cada conector de datos tiene uno de los siguientes tipos de soporte técnico:
| Tipo de soporte técnico | Descripción |
|---|---|
| Soporte técnico de Microsoft | Se aplica a:
Los asociados o los conectores de datos de soporte técnico de la comunidad creados por cualquier entidad distinta de Microsoft. |
| Soporte técnico de asociados | Se aplica a los conectores de datos creados por entidades distintas de Microsoft. La empresa asociada proporciona soporte técnico o mantenimiento para estos conectores de datos. La empresa asociada puede ser un fabricante de software independiente, un proveedor de servicios administrados (MSP/MSSP), un integrador de sistemas (SI) o cualquier organización cuya información de contacto se proporcione en la página de Microsoft Sentinel para ese conector de datos. Para cualquier problema con el conector de datos compatible con asociados, póngase en contacto con el contacto de soporte técnico de los conectores de datos especificado. |
| Soporte técnico de la comunidad | Se aplica a los conectores de datos creados por Microsoft o desarrolladores asociados que no incluyen contactos para el soporte técnico y el mantenimiento de los conectores de datos en la página del conector de datos especificada de Microsoft Sentinel. Si tiene preguntas o problemas relacionados con estos conectores de datos, puede registrar un problema en la comunidad GitHub de Microsoft Sentinel. |
Búsqueda del contacto de soporte técnico para una conector de datos
- En la página Conectores de datos de Microsoft Sentinel, seleccione el conector correspondiente.
- Para acceder al soporte técnico y el mantenimiento del conector, use el vínculo de contacto de soporte técnico en el campo Admitido por en el panel lateral del conector.
Pasos siguientes
- Para empezar a trabajar con Microsoft Sentinel, necesita una suscripción a Microsoft Azure. Si no tiene ninguna suscripción, puede registrarse para obtener una evaluación gratuita.
- Aprenda a incorporar los datos en Microsoft Sentinel, obtenga visibilidad sobre ellos y aprenda a defenderse de posibles amenazas.