Recursos para crear conectores personalizados de Microsoft Sentinel
Microsoft Sentinel proporciona una amplia gama de conectores predefinidos para servicios de Azure y soluciones externas, y también admite la ingesta de datos de algunos orígenes sin un conector dedicado.
Si no puede conectar el origen de datos a Microsoft Sentinel mediante cualquiera de las soluciones existentes disponibles, considere la posibilidad de crear su propio conector de origen de datos.
Para obtener una lista completa de los conectores admitidos, consulte la Búsqueda del conector de datos de Microsoft Sentinel).
Comparación de los métodos de conectores personalizados
En la tabla siguiente se comparan los detalles esenciales de cada método para crear los conectores personalizados que se describen en este artículo. Seleccione los vínculos de la tabla para obtener más detalles sobre cada método.
| Descripción del método | Capacidad | Sin servidor | Complejidad |
|---|---|---|---|
| Plataforma de conector sin código (CCP) Lo mejor para un público menos técnico es crear conectores SaaS mediante un archivo de configuración en lugar de desarrollo avanzado. |
Admite todas las funcionalidades disponibles con el código. | Sí | Baja; desarrollo sencillo y sin código. |
| Agente de Azure Monitor El mejor para recopilar archivos de orígenes locales y de IaaS |
Recopilación de archivos, transformación de datos | No | Bajo |
| Logstash El mejor para orígenes locales y de IaaS, cualquier origen para el que haya un complemento disponible, y organizaciones que ya estén familiarizadas con Logstash. |
Admite todas las funcionalidades del agente de Azure Monitor | No; requiere la ejecución de una VM o un clúster de VM. | Baja; admite muchos escenarios con complementos. |
| Logic Apps Costo alto; se evitan datos de gran volumen. El mejor para orígenes en la nube de bajo volumen. |
La programación sin código permite una flexibilidad limitada, sin compatibilidad para la implementación de algoritmos. Si no hay ninguna acción disponible que ya admita sus requisitos, la creación de una acción personalizada puede sumar complejidad. |
Sí | Baja; desarrollo sencillo y sin código. |
| API de ingesta de registros en Azure Monitor El mejor para los ISV que implementan la integración y para los requisitos de recopilación únicos. |
Admite todas las funcionalidades disponibles con el código. | Depende de la implementación. | Alto |
| Azure Functions El mejor para los orígenes en la nube de gran volumen y para los requisitos de recopilación únicos |
Admite todas las funcionalidades disponibles con el código. | Sí | Alta; requiere conocimientos de programación. |
Sugerencia
Para obtener comparaciones del uso de Logic Apps y Azure Functions para el mismo conector, consulte:
- Ingesta de registros de Web Application Firewall con rapidez en Microsoft Sentinel
- Office 365 (comunidad GitHub de Microsoft Sentinel): conector Logic App | conector Azure Function
Conexión con la plataforma de conector sin código
Codeless Connector Platform (CCP) proporciona un archivo de configuración que tanto los clientes como los asociados pueden usar y, a continuación, se implementan en su propia área de trabajo o como solución para el centro de contenido de Microsoft Sentinel.
Los conectores creados con la CCP están totalmente habilitados para SaaS, sin ningún requisito para las instalaciones de servicio, y también incluyen seguimiento de estado y soporte técnico completo por parte de Microsoft Sentinel.
Para más información, consulte Creación de un conector sin código para Microsoft Sentinel.
Conexión con el agente de Azure Monitor
Si el origen de datos entrega eventos en archivos, se recomienda usar el agente de Azure Monitor para crear el conector personalizado.
Para más información, consulte Recopilación de registros de un archivo de texto con el agente de Azure Monitor.
Para obtener un ejemplo de este método, consulte Recopilación de registros de un archivo JSON con el agente de Azure Monitor.
Conexión con Logstash
Si está familiarizado con Logstash, puede que quiera usar Logstash con el complemento de salida de Logstash para Microsoft Sentinel para crear el conector personalizado.
Con el complemento de salida de Logstash de para Microsoft Sentinel, puede usar cualquier complemento de entrada y filtrado de Logstash, y configurar Microsoft Sentinel como salida para una canalización de Logstash. Logstash tiene una gran biblioteca de complementos que permiten la entrada desde diversos orígenes, como Event Hubs, Apache Kafka, archivos, bases de datos y servicios en la nube. Use complementos de filtrado para analizar eventos, filtrar eventos innecesarios, ofuscar valores y mucho más.
Para obtener ejemplos del uso de Logstash como conector personalizado, consulte:
- Búsqueda de tácticas, técnicas y procedimientos (TTP) de vulneraciones de Capital one en los registros de AWS con Microsoft Sentinel (blog)
- Guía de implementación de Microsoft Sentinel de Radware
Para obtener ejemplos de complementos de Logstash útiles, consulte:
- Complemento de entrada de Cloudwatch
- Complemento de Azure Event Hubs
- Complemento de entrada de Google Cloud Storage
- Complemento de entrada Google_pubsub
Sugerencia
Logstash también permite la recopilación de datos escalados mediante un clúster. Para obtener más información, consulte Uso de una VM de Logstash con equilibrio de carga a gran escala.
Conexión con Logic Apps
Use Azure Logic Apps para crear un conector personalizado y sin servidor para Microsoft Sentinel.
Nota
Aunque puede ser conveniente crear conectores sin servidor con Logic Apps, el uso de Logic Apps para los conectores puede ser costoso si trabaja con grandes volúmenes de datos.
Se recomienda usar este método solo para orígenes de datos de bajo volumen o enriquecer las cargas de datos.
Use uno de los siguientes desencadenadores para iniciar Logic Apps:
Desencadenador Descripción Una tarea recurrente Por ejemplo, programe la instancia de Logic Apps para que recupere datos periódicamente de archivos, bases de datos o API externas.
Para obtener más información, consulte Creación, programación y ejecución de tareas y flujos de trabajo periódicos en Azure Logic Apps.Desencadenamiento a petición Ejecute la instancia de Logic Apps a petición para la recopilación de datos y las pruebas manuales.
Para obtener más información, consulte Llamada, desencadenamiento o anidación de aplicaciones lógicas mediante puntos de conexión HTTPS.Punto de conexión HTTP/S Se recomienda para el streaming, y si el sistema de origen puede iniciar la transferencia de datos.
Para obtener más información, consulte Llamada a puntos de conexión de servicio mediante HTTP o HTTPS.Use cualquiera de los conectores de Logic Apps que leen la información para obtener los eventos. Por ejemplo:
Sugerencia
Los conectores personalizados a las API REST, instancias de SQL Server y sistemas de archivos también admiten la recuperación de datos de orígenes de datos locales. Para obtener más información, consulte la documentación sobre Instalación de la puerta de enlace de datos local.
Prepare la información que quiera recuperar.
Por ejemplo, use la acción analizar JSON para acceder a las propiedades de contenido JSON, lo que le permite seleccionar esas propiedades en la lista de contenido dinámico cuando especifique entradas para la instancia de Logic Apps.
Para obtener más información, consulte Realización de operaciones de datos en Azure Logic Apps.
Escriba los datos en Log Analytics.
Para obtener más información, consulte la documentación del Recopilador de datos de Azure Log Analytics.
Para ver ejemplos de cómo puede crear un conector personalizado para Microsoft Sentinel mediante Logic Apps, consulte:
- Creación de una canalización de datos con Data Collector API
- Conector Logic App para Prisma de Palo Alto mediante un webhook (comunidad de Microsoft Sentinel en GitHub)
- Protección de las llamadas de Microsoft Teams con activación programada (blog)
- Ingesta de indicadores de amenazas de AlienVault OTX en Microsoft Sentinel (blog)
Conexión con la API de ingesta de registros
Puede transmitir eventos a Microsoft Sentinel mediante la API de recopilador de datos de Log Analytics para llamar directamente a un punto de conexión de RESTful.
Aunque llamar directamente a un punto de conexión de RESTful requiere más programación, también proporciona mayor flexibilidad.
Vea los siguientes artículos para más información:
- API de ingesta de registros en Azure Monitor.
- Código de ejemplo para enviar datos a Azure Monitor mediante la API de ingesta de registros.
Conexión con Azure Functions
Use Azure Functions junto con una API RESTful y varios lenguajes de codificación, como PowerShell, para crear un conector personalizado sin servidor.
Para obtener ejemplos de este método, consulte:
- Conexión de datos de VMware Carbon Black Cloud Endpoint Standard a Microsoft Sentinel a Azure Function
- Conexión del inicio de sesión único de Okta a Microsoft Sentinel con Azure Function
- Conexión de Proofpoint TAP a Microsoft Sentinel con Azure Function
- Conexión de Qualys Vulnerability a Microsoft Sentinel con Azure Function
- Ingesta de XML, CSV u otros formatos de datos
- Supervisión de Zoom con Microsoft Sentinel (blog)
- Implementación de un aplicación de funciones para obtener datos de la API de administración de Office 365 en Microsoft Sentinel (comunidad de Microsoft Sentinel en GitHub)
Análisis de los datos de un conector personalizado
Para aprovechar los datos recopilados con el conector personalizado, desarrolle analizadores del Modelo avanzado de información de seguridad (SIEM) para que funcionen con el conector. El uso de ASIM permite que el contenido integrado de Microsoft Sentinel use los datos personalizados y facilita a los analistas la consulta de los datos.
Si el método del conector lo permite, puede implementar parte del análisis como parte del conector a fin de mejorar el rendimiento del análisis en tiempo de consulta:
- Si ha usado Logstash, use el complemento de filtro Grok para analizar los datos.
- Si ha usado una instancia de Azure Functions, analice los datos con código.
De todos modos tendrá que implementar analizadores de ASIM, pero la implementación de parte del análisis directamente con el conector simplifica el análisis y mejora el rendimiento.
Pasos siguientes
Use los datos ingeridos en Microsoft Sentinel para proteger su entorno con cualquiera de los siguientes procesos: