Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Sentinel proporciona una amplia gama de conectores integrados para Azure servicios y soluciones externas, y también admite la ingesta de datos de algunos orígenes sin un conector dedicado.
Si no puede conectar el origen de datos a Microsoft Sentinel mediante cualquiera de las soluciones existentes disponibles, considere la posibilidad de crear su propio conector de origen de datos.
Para obtener una lista completa de los conectores admitidos, consulte El conector de datos de Microsoft Sentinel).
Comparación de métodos de conector personalizados
En la tabla siguiente se comparan los detalles esenciales sobre cada método para crear conectores personalizados descritos en este artículo. Seleccione los vínculos de la tabla para obtener más detalles sobre cada método.
| Descripción del método | Funcionalidad | Sin servidor | Complejidad |
|---|---|---|---|
|
Marco de conector sin código (CCF) Lo mejor es que las audiencias menos técnicas creen conectores SaaS mediante un archivo de configuración en lugar de desarrollo avanzado. |
Admite todas las funcionalidades disponibles con el código. | Sí | Bajo; desarrollo simple y sin código |
|
agente de supervisión de Azure Mejor para recopilar archivos de orígenes locales e IaaS |
Recopilación de archivos, transformación de datos | No | Bajo |
|
Logstash Lo mejor para orígenes locales e IaaS, cualquier origen para el que esté disponible un complemento y las organizaciones que ya están familiarizados con Logstash |
Admite todas las funcionalidades del agente de supervisión de Azure | No; requiere que se ejecute una máquina virtual o un clúster de máquina virtual. | Bajo; admite muchos escenarios con complementos |
|
Logic Apps Alto costo; evitar para datos de gran volumen Mejor para orígenes de nube de bajo volumen |
La programación sin código permite una flexibilidad limitada, sin compatibilidad con la implementación de algoritmos. Si no hay ninguna acción disponible que ya admita sus requisitos, la creación de una acción personalizada puede agregar complejidad. |
Sí | Bajo; desarrollo simple y sin código |
|
Log Ingestion API in Azure Monitor Lo mejor para los ISV que implementan la integración y para los requisitos de recopilación únicos |
Admite todas las funcionalidades disponibles con el código. | Depende de la implementación | Alto |
|
Azure Functions Mejor para orígenes de nube de gran volumen y para requisitos de recopilación únicos |
Admite todas las funcionalidades disponibles con el código. | Sí | Alto; requiere conocimientos de programación |
Sugerencia
Para ver comparaciones del uso de Logic Apps y Azure Functions para el mismo conector, consulte:
- Ingerir registros de Web Application Firewall rápidamente en Microsoft Sentinel
- Office 365 (Microsoft Sentinel comunidad de GitHub): conector | de aplicación lógicaAzure conector de funciones
Conexión con codeless Connector Framework
Codeless Connector Framework (CCF) proporciona un archivo de configuración que pueden usar tanto los clientes como los asociados y, a continuación, implementarse en su propio área de trabajo, o como una solución para Microsoft Sentinel centro de contenido.
Los conectores creados con el CCF son totalmente SaaS, sin ningún requisito para las instalaciones de servicio, y también incluyen la supervisión del estado y la compatibilidad completa de Microsoft Sentinel.
Para obtener más información, consulte Creación de un conector sin código para Microsoft Sentinel.
Conexión con el agente de Azure Monitor
Si el origen de datos entrega eventos en archivos de texto, se recomienda usar el agente de supervisión de Azure para crear el conector personalizado.
Para obtener más información, consulte Recopilación de registros de un archivo de texto con Azure Agente de Supervisión.
Para obtener un ejemplo de este método, consulte Recopilación de registros de un archivo JSON con Azure Agente de Supervisión.
Conexión con Logstash
Si está familiarizado con Logstash, es posible que desee usar Logstash con el complemento de salida de Logstash para Microsoft Sentinel para crear el conector personalizado.
Con el complemento de salida de Microsoft Sentinel Logstash, puede usar cualquier complemento de entrada y filtrado de Logstash, y configurar Microsoft Sentinel como salida para una canalización de Logstash. Logstash tiene una gran biblioteca de complementos que permiten la entrada de varios orígenes, como Event Hubs, Apache Kafka, Files, Bases de datos y servicios en la nube. Use complementos de filtrado para analizar eventos, filtrar eventos innecesarios, ofuscar valores, etc.
Para obtener ejemplos de uso de Logstash como conector personalizado, consulte:
- Búsqueda de TTU de infracción de Capital One en registros de AWS mediante Microsoft Sentinel (blog)
- Guía de implementación de Radware Microsoft Sentinel
Para obtener ejemplos de complementos útiles de Logstash, consulte:
- Complemento de entrada de Cloudwatch
- complemento Azure Event Hubs
- Complemento de entrada de Google Cloud Storage
- complemento de entrada de Google_pubsub
Sugerencia
Logstash también permite la recopilación de datos escalados mediante un clúster. Para obtener más información, consulte Uso de una máquina virtual de Logstash con equilibrio de carga a escala.
Conexión con Logic Apps
Use Azure Logic Apps para crear un conector personalizado sin servidor para Microsoft Sentinel.
Nota:
Al crear conectores sin servidor mediante Logic Apps puede ser conveniente, el uso de Logic Apps para los conectores puede ser costoso para grandes volúmenes de datos.
Se recomienda usar este método solo para orígenes de datos de bajo volumen o enriquecer las cargas de datos.
Use uno de los siguientes desencadenadores para iniciar Logic Apps:
Trigger Description Una tarea periódica Por ejemplo, programe la aplicación lógica para recuperar datos periódicamente de archivos, bases de datos o API externas específicos.
Para obtener más información, consulte Creación, programación y ejecución de tareas y flujos de trabajo periódicos en Azure Logic Apps.Desencadenamiento a petición Ejecute la aplicación lógica a petición para la recopilación y las pruebas manuales de datos.
Para obtener más información, consulte Llamada, desencadenador o anidamiento de aplicaciones lógicas mediante puntos de conexión HTTPS.Punto de conexión HTTP/S Se recomienda para el streaming y si el sistema de origen puede iniciar la transferencia de datos.
Para obtener más información, consulte Llamada a puntos de conexión de servicio a través de HTTP o HTTPS.Use cualquiera de los conectores de Logic App que leen información para obtener los eventos. Por ejemplo:
Sugerencia
Los conectores personalizados para las API REST, los servidores SQL Server y los sistemas de archivos también admiten la recuperación de datos de orígenes de datos locales. Para obtener más información, consulte La documentación sobre la instalación de la puerta de enlace de datos local .
Prepare la información que desea recuperar.
Por ejemplo, use la acción analizar JSON para acceder a las propiedades del contenido JSON, lo que le permite seleccionar esas propiedades de la lista de contenido dinámico al especificar entradas para la aplicación lógica.
Para obtener más información, vea Realizar operaciones de datos en Azure Logic Apps.
Escriba los datos en Log Analytics.
Para obtener más información, consulte la documentación Azure Recopilador de datos de Log Analytics.
Para obtener ejemplos de cómo puede crear un conector personalizado para Microsoft Sentinel mediante Logic Apps, consulte:
- Creación de una canalización de datos con data collector API
- Conector de Palo Alto Prisma Logic App mediante un webhook (Microsoft Sentinel comunidad de GitHub)
- Protección de las llamadas de Microsoft Teams con activación programada (blog)
- Ingerir indicadores de amenazas OTX de AlienVault en Microsoft Sentinel (blog)
Conexión con log ingestion API
Puede transmitir eventos a Microsoft Sentinel mediante la API del recopilador de datos de Log Analytics para llamar directamente a un punto de conexión RESTful.
Aunque llamar directamente a un punto de conexión RESTful requiere más programación, también proporciona más flexibilidad.
Para más información, consulte los siguientes artículos:
- Log Ingestion API in Azure Monitor.
- Código de ejemplo para enviar datos a Azure Monitor mediante la API de ingesta de registros.
Conexión con Azure Functions
Use Azure Functions junto con una API RESTful y varios lenguajes de codificación, como PowerShell, para crear un conector personalizado sin servidor.
Para obtener ejemplos de este método, consulte:
- Conexión del punto de conexión de VMware Carbon Black Cloud Standard a Microsoft Sentinel con Azure Function
- Conecte el Sign-On único de Okta a Microsoft Sentinel con la función Azure
- Conecte proofpoint TAP a Microsoft Sentinel con la función Azure
- Conexión de la máquina virtual de Qualys a Microsoft Sentinel con Azure Function
- Ingesta de XML, CSV u otros formatos de datos
- Supervisión del zoom con Microsoft Sentinel (blog)
- Implementación de una aplicación de funciones para obtener datos de Office 365 Management API en Microsoft Sentinel (Microsoft Sentinel comunidad de GitHub)
Análisis de los datos del conector personalizado
Para aprovechar los datos recopilados con el conector personalizado, desarrolle analizadores del modelo de información de seguridad avanzada (ASIM) para trabajar con el conector. El uso de ASIM permite que el contenido integrado de Microsoft Sentinel use los datos personalizados y facilita a los analistas consultar los datos.
Si el método del conector lo permite, puede implementar parte del análisis como parte del conector para mejorar el rendimiento del análisis del tiempo de consulta:
- Si ha usado Logstash, use el complemento de filtro Grok para analizar los datos.
- Si ha usado una función de Azure, analice los datos con código.
Todavía tendrá que implementar analizadores de ASIM, pero la implementación de parte del análisis directamente con el conector simplifica el análisis y mejora el rendimiento.
Pasos siguientes
Use los datos ingeridos en Microsoft Sentinel para proteger el entorno con cualquiera de los procesos siguientes: