Búsqueda del conector de datos de Microsoft Sentinel

En este artículo se enumeran todos los conectores de datos integrados y compatibles y los vínculos a los pasos de implementación de cada conector.

Importante

• Tenga en cuenta que Microsoft Sentinel conectores de datos están actualmente en versión preliminar. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
• Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender. Si sigue usando Microsoft Sentinel en el Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender. Para obtener más información, vea It's Time to Move: Retireing Microsoft Sentinel's Azure Portal for greater security .net

Los conectores de datos están disponibles como parte de las siguientes ofertas:

• Soluciones: muchos conectores de datos se implementan como parte de Microsoft Sentinel solución junto con contenido relacionado, como reglas de análisis, libros y cuadernos de estrategias. Para obtener más información, consulte el catálogo de soluciones de Microsoft Sentinel.

• Conectores de la comunidad: la comunidad de Microsoft Sentinel proporciona más conectores de datos y se pueden encontrar en Azure Marketplace. La documentación de los conectores de datos de la comunidad es responsabilidad de la organización que creó el conector.

• Conectores personalizados: si tiene un origen de datos que no aparece o no se admite actualmente, también puede crear su propio conector personalizado. Para obtener más información, vea Recursos para crear Microsoft Sentinel conectores personalizados.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes del Gobierno de EE. UU., consulte las tablas de Microsoft Sentinel en disponibilidad de características en la nube para los clientes de US Government.

Requisitos previos del conector de datos

Cada conector de datos tiene su propio conjunto de requisitos previos. Los requisitos previos pueden incluir tener permisos específicos en el área de trabajo, la suscripción o la directiva de Azure. Es posible que también tenga que cumplir otros requisitos para el origen de datos del asociado al que se va a conectar.

Los requisitos previos para cada conector de datos se enumeran en este artículo y en la página correspondiente del conector de datos de Microsoft Sentinel.

los conectores de datos basados en el agente de Azure Monitor (AMA) requieren una conexión a Internet desde el sistema donde está instalado el agente. Habilite el puerto 443 saliente para permitir una conexión entre el sistema donde está instalado el agente y Microsoft Sentinel.

Conectores de Syslog y Common Event Format (CEF)

La recopilación de registros de muchos dispositivos y dispositivos de seguridad es compatible con los conectores de datos Syslog mediante AMA o Common Event Format (CEF) a través de AMA en Microsoft Sentinel. Para reenviar datos al área de trabajo de Log Analytics para Microsoft Sentinel, complete los pasos descritos en Ingesta de mensajes syslog y CEF para Microsoft Sentinel con el agente de Azure Monitor. Estos pasos incluyen la instalación de la solución de Microsoft Sentinel para un dispositivo de seguridad o dispositivo desde el centro de contenido en Microsoft Sentinel. A continuación, configure Syslog mediante AMA o Common Event Format (CEF) a través del conector de datos AMA que sea adecuado para la solución de Microsoft Sentinel que ha instalado. Complete la configuración configurando el dispositivo o dispositivo de seguridad. Busque instrucciones para configurar el dispositivo o dispositivo de seguridad en uno de los artículos siguientes:

• CEF a través del conector de datos AMA: configuración de un dispositivo o dispositivo específicos para la ingesta de datos de Microsoft Sentinel
• Syslog a través del conector de datos AMA: configuración de dispositivo o dispositivo específicos para la ingesta de datos de Microsoft Sentinel

Póngase en contacto con el proveedor de soluciones para obtener más información o si la información no está disponible para el dispositivo o dispositivo.

Registros personalizados a través del conector AMA

Filtre e ingiera registros en formato de archivo de texto desde aplicaciones de red o seguridad instaladas en máquinas Windows o Linux mediante los registros personalizados mediante el conector AMA en Microsoft Sentinel. Para más información, consulte los siguientes artículos:

• Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta para Microsoft Sentinel
• Registros personalizados a través del conector de datos AMA: configuración de la ingesta de datos para Microsoft Sentinel desde aplicaciones específicas

conectores de datos Sentinel

Nota:

En la tabla siguiente se enumeran los conectores de datos que están disponibles en el centro de contenido de Microsoft Sentinel. El proveedor del producto admite los conectores. Para obtener soporte técnico, consulte el vínculo Compatible con .

Sugerencia

Para obtener una lista de las tablas ingeridas en Microsoft Sentinel y los conectores que las ingieren, consulte Microsoft Sentinel tablas y conectores asociados.

1Password (sin servidor)

Compatible con:1Password

El conector CCF 1Password permite al usuario ingerir eventos 1Password Audit, Signin & ItemUsage en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OnePasswordEventLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• 1 Token de API Password: se requiere un token de API 1Password. Consulte la documentación de 1Password sobre cómo crear un token de API.

Instrucciones de instalación:

PASO 1: Creación de un token de API 1Password:

Siga la documentación de 1Password para obtener instrucciones sobre este paso.

PASO 2: Elija la dirección URL base correcta:

Hay varios servidores 1Password que pueden hospedar los eventos. El servidor correcto depende de la licencia y la región. Siga la documentación de 1Password para elegir el servidor correcto. Escriba la dirección URL base tal como se muestra en la documentación (incluido "https://" y sin un final "/").

PASO 3: Escriba los detalles de 1Password:

Escriba la dirección URL base de 1Password & token de API a continuación:

• Dirección URL base: (Escriba la dirección URL base)
• Token de API: (Escriba el token de API)
• Habilitar o deshabilitar la conexión

---

1Password (mediante Azure Functions)

Compatible con:1Password

La solución 1Password para Microsoft Sentinel permite ingerir intentos de inicio de sesión, uso de elementos y eventos de auditoría desde la cuenta de 1Password Business mediante la API de informes de eventos 1Password. Esto le permite supervisar e investigar eventos en 1Password en Microsoft Sentinel junto con las otras aplicaciones y servicios que usa su organización.

Tecnologías de Microsoft subyacentes usadas:

Esta solución depende de las siguientes tecnologías y algunas de las cuales pueden estar en estado de versión preliminar o pueden incurrir en costos operativos o de ingesta adicionales:

• Azure Functions

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OnePasswordEventLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de eventos 1Password: se requiere un token de API de eventos 1Password. Para obtener más información, consulte la API 1Password.

Nota: Se requiere una cuenta de 1Password Business

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a 1Password para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos de Azure. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración para la API de informes de eventos 1Password

Siga estas instrucciones proporcionadas por 1Password para obtener un token de API de informes de eventos. Nota: Se requiere una cuenta de 1Password Business

PASO 2: Implementación de functionApp mediante el botón DeployToAzure para crear la tabla, dcr y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector 1Password, es necesario crear una tabla personalizada.

Opción 1: plantilla de Azure Resource Manager (ARM)

Este método proporciona una implementación automatizada del conector 1Password mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el nombre del área de trabajo, el nombre del área de trabajo, la clave de API de eventos 1Password y el URI.

• El intervalo de tiempo predeterminado se establece en cinco (5) minutos. Si desea modificar el intervalo, puede ajustar el desencadenador del temporizador de la aplicación de funciones en consecuencia (en el archivo function.json, después de la implementación) para evitar la ingesta de datos superpuesta.
• Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.
5. Haga clic en Comprar para implementar.

---

AbnormalSecurity (mediante la función Azure)

Compatible con:Seguridad anómala

El conector de datos De seguridad anómala proporciona la capacidad de ingerir registros de amenazas y casos en Microsoft Sentinel mediante la API de rest de seguridad anómala.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ABNORMAL_THREAT_MESSAGES_CL	No	No
ABNORMAL_CASES_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API para seguridad anómalo: se requiere un token de API para seguridad anómalo. Para obtener más información, consulte API para seguridad anómalos. Nota: Se requiere una cuenta de seguridad anómala

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API REST de Abnormal Security para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

PASO 1: Pasos de configuración del API para seguridad anómalo

Siga estas instrucciones proporcionadas por Abnormal Security para configurar la integración de la API REST. Nota: Se requiere una cuenta de seguridad anómala

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos de seguridad anómala, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como el token de autorización de API para seguridad anómalo, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Este método proporciona una implementación automatizada del conector de seguridad anómala mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador Microsoft Sentinel área de trabajo, Microsoft Sentinel clave compartida y clave de API REST de seguridad anómala.

• El intervalo de tiempo predeterminado se establece para extraer los últimos cinco (5) minutos de datos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de la aplicación de funciones en consecuencia (en el archivo function.json, después de la implementación) para evitar la ingesta de datos superpuesta.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.
5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar manualmente el conector de datos de Seguridad anómala con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, AbnormalSecurityXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.8.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (opcional) (agregue cualquier otra configuración requerida por function app) Establezca el uri valor en: <add uri value>

Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Azure Key Vault documentación de referencias para obtener más detalles.

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente:https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Agent 365

Compatible con:Microsoft Corporation

Agent 365 conector de datos proporciona información más completa sobre la actividad del agente de inteligencia artificial mediante la incorporación de telemetría del agente de inteligencia artificial de Agent 365, AI Foundry y Copilot en el lago de datos de Microsoft Sentinel para investigar el comportamiento del agente, el uso de herramientas y la ejecución con flujos de trabajo de búsqueda, gráficos y MCP. Los datos de este conector se usan para investigar el comportamiento del agente de inteligencia artificial, el uso de herramientas y la ejecución en Microsoft Sentinel. Si ha habilitado estos flujos de trabajo, la desactivación de este conector impedirá que se realicen esas investigaciones.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

---

AIShield

Compatible con:AIShield

El conector de AIShield permite a los usuarios conectarse con registros de mecanismos de defensa personalizados de AIShield con Microsoft Sentinel, lo que permite la creación de paneles dinámicos, libros, cuadernos y alertas personalizadas para mejorar la investigación y la frustración de ataques en sistemas de inteligencia artificial. Proporciona a los usuarios más información sobre la seguridad de los recursos de inteligencia artificial de su organización y mejora sus funcionalidades de operación de seguridad de sistemas de inteligencia artificial. AIShield.GuArdIan analiza el contenido generado por LLM para identificar y mitigar el contenido dañino, salvaguardando contra infracciones legales, políticas, basadas en roles y basadas en el uso

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AIShield_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Nota: Los usuarios deben haber utilizado la oferta SaaS de AIShield para realizar análisis de vulnerabilidades e implementar mecanismos de defensa personalizados generados junto con su recurso de inteligencia artificial. Haga clic aquí para saber más o ponerse en contacto.

Instrucciones de instalación:

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto AIShield, que se implementa con la solución Microsoft Sentinel.

IMPORTANTE: Antes de implementar el conector de AIShield, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Alibaba Cloud ActionTrail (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Alibaba Cloud ActionTrail proporciona la capacidad de recuperar eventos de actiontrail almacenados en Alibaba Cloud Simple Log Service y almacenarlos en Microsoft Sentinel a través de la API REST de SLS. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AliCloudActionTrailLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Credenciales o permisos de la API rest de SLS: AliCloudAccessKeyId y AliCloudAccessKeySecret son necesarios para realizar llamadas API. Se necesita una instrucción de directiva de RAM con acción de al menos log:GetLogStoreLogs sobre el recurso acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} para conceder a un usuario de RAM los permisos para llamar a esta operación.

Instrucciones de instalación:

Configuración del acceso a la API de AliCloud SLS

Antes de usar la API, debe preparar la cuenta de identidad y el par de claves de acceso para acceder de forma eficaz a la API.

1. Se recomienda usar un usuario de Administración de acceso a recursos (RAM) para llamar a las operaciones de API. Para obtener más información, consulte Creación de un usuario de RAM y autorización del usuario de RAM para acceder a Simple Log Service.
2. Obtenga el par de claves de acceso para el usuario de RAM. Para obtener más información, consulte Obtención del par de claves de acceso.

Tenga en cuenta los detalles del par de claves de acceso para el paso siguiente.

Agregar almacén de registros de ActionTrail

Para habilitar el conector de Alibaba Cloud ActionTrail para Microsoft Sentinel, haga clic en Agregar almacén de registros de ActionTrail, rellene el formulario con la configuración del entorno de Alibaba Cloud y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

Alibaba Cloud Networking Data Connector (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Alibaba Cloud Networking proporciona la capacidad de ingerir datos de red de Alibaba Cloud en Microsoft Sentinel a través de la API REST de Simple Log Service (SLS). Consulte la documentación de la API para obtener más información. El conector proporciona la capacidad de obtener registros de flujo de VPC, registros de WAF y registros de puerta de enlace de API desde Alibaba Cloud.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AlibabaCloudVPCFlowLogs	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Acceso a la API de Alibaba Cloud SLS: se requiere acceso a Alibaba Cloud Simple Log Service para la API de SLS.

Instrucciones de instalación:

Configuración del acceso a la API de AliCloud SLS

Antes de usar la API, debe preparar la cuenta de identidad y el par de claves de acceso para acceder de forma eficaz a la API.

1. Se recomienda usar un usuario de Administración de acceso a recursos (RAM) para llamar a las operaciones de API. Para obtener más información, consulte Creación de un usuario de RAM y autorización del usuario de RAM para acceder a Simple Log Service.
2. Obtenga el par de claves de acceso para el usuario de RAM. Para obtener más información, consulte Obtención del par de claves de acceso.

Tenga en cuenta los detalles del par de claves de acceso para el paso siguiente.

• Data Connectors Grid (configurar en el portal)

---

AliCloud (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos de AliCloud proporciona la capacidad de recuperar registros de aplicaciones en la nube mediante cloud API y almacenar eventos en Microsoft Sentinel a través de la API REST. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AliCloud_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: Se requieren AliCloudAccessKeyId y AliCloudAccessKey para realizar llamadas API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Azure Blob Storage para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage costos. Consulte la página de precios de Azure Functions y Azure Blob Storage página de precios para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto AliCloud, que se implementa con la solución Microsoft Sentinel.

PASO 1: Pasos de configuración para alicloud API

Siga las instrucciones para obtener las credenciales.

1. Obtenga aliCloudAccessKeyId y AliCloudAccessKey: inicie sesión en la cuenta, haga clic en AccessKey Management y, a continuación, haga clic en Ver secreto.
2. Guarde las credenciales para usarlas en el conector de datos.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos de AliCloud, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de AliCloud mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects y AppInsightsWorkspaceResourceID e implemente. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de AliCloud manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, AliCloudXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): WorkspaceID WorkspaceKey AliCloudAccessKey AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Amazon Web Services

Compatible con:Microsoft Corporation

Durante el proceso de instalación se muestran instrucciones para conectarse a AWS y transmitir los registros de CloudTrail a Microsoft Sentinel. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSCloudTrail	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

CloudFront de Amazon Web Services (a través de Codeless Connector Framework) (versión preliminar)

Compatible con:Microsoft Corporation

Este conector de datos permite la integración de los registros de AWS CloudFront con Microsoft Sentinel para admitir la detección avanzada de amenazas, la investigación y la supervisión de seguridad. Al usar Amazon S3 para el almacenamiento de registros y Amazon SQS para la cola de mensajes, el conector ingiere de forma confiable los registros de acceso de CloudFront en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSCloudFront_AccessLog_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Ingesta de registros de AWS CloudFront en Microsoft Sentinel

Lista de recursos necesarios:

• Proveedor de identidades web open ID Connect (OIDC)
• Rol de IAM
• Amazon S3 Bucket
• Amazon SQS
• Configuración de AWS CloudFront

1. Implementación de AWS CloudFormation Para configurar el acceso en AWS, se han generado dos plantillas para configurar el entorno de AWS con el fin de enviar registros desde un bucket de S3 al área de trabajo de Log Analytics.

Para cada plantilla, cree Stack en AWS:

1. Vaya a AWS CloudFormation Stacks.
2. Elija la opción "Especificar plantilla" y, a continuación, "Cargar un archivo de plantilla", haga clic en "Elegir archivo" y seleccione el archivo de plantilla de CloudFormation adecuado que se proporciona a continuación. Haga clic en "Elegir archivo" y seleccione la plantilla descargada.
3. Haga clic en "Siguiente" y "Crear pila".

• Plantilla 1: Implementación de autenticación de OpenID Connect: <valor variable proporcionado en el momento de la instalación>
• Plantilla 2: Implementación de recursos de AWSCloudFront: <valor variable proporcionado en tiempo de instalación>

2. Conectar nuevos recopiladores Para habilitar AWS S3 para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

Equilibrio de carga elástica de Amazon Web Services (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de AWS Elastic Load Balancing (ELB) para Microsoft Sentinel permite ingerir registros de acceso y registros de flujo de AWS Application Load Balancers (ALB), Network Load Balancers (NLB) y Gateway Load Balancers (GLB) en Microsoft Sentinel. Estos registros proporcionan información detallada sobre las solicitudes procesadas por los equilibradores de carga y los flujos de tráfico de VPC, lo que permite la supervisión de la seguridad, la detección de amenazas y el análisis del tráfico.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSALBAccessLogsData	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• AWS IAM Role ARN y SQS Queue: se requiere un ARN de rol de AWS IAM con acceso entre cuentas y una dirección URL de cola de SQS configurada para las notificaciones de eventos de S3. Consulte la documentación del conector AWS ELB para obtener instrucciones de instalación.

Instrucciones de instalación:

1. Implementación de AWS CloudFormation Para configurar el acceso en AWS, use plantillas de CloudFormation para configurar el entorno y enviar registros desde ALB, NLB y GLB al área de trabajo de Log Analytics.

Pasos de implementación:

1. Vaya a Plantillas de formación en la nube y descargue los archivos de plantilla JSON.
2. Vaya a AWS CloudFormation Stacks.
3. En primer lugar, implemente la plantilla de OIDCWebIdProvider.json (omita si ya tiene un proveedor OIDC para Microsoft Sentinel).
4. A continuación, implemente la plantilla de AWSS3ELB.json con los parámetros.
5. Anote los siguientes valores de las salidas de la pila:
   • IAMRoleArn
   • ALBSQSQueueURL
   • NLBSQSQueueURL
   • NLBFlowLogsSQSQueueURL
   • GLBFlowLogsSQSQueueURL

Configuración posterior a la implementación:

Una vez implementada correctamente la pila de CloudFormation:

• Vaya a la pestaña Recursos de la pila.
• Busque el nombre del cubo S3 creado.
• En el cubo S3, cree manualmente las carpetas siguientes:
  • ALBLogs
  • NLBAccessLogs
  • NLBFlowLogs
  • GLBFlowLogs

Envío de registros:

Después de crear la carpeta, configure los servicios de AWS para enviar registros a las carpetas adecuadas:

• Registros de acceso de ALB:>ALBLogs/
• Registros de acceso de NLB:>NLBAccessLogs/
• Registros de flujo de NLB:>NLBFlowLogs/
• Registros de flujo de GLB:>GLBFlowLogs/

Estos registros se ingieren en las tablas correspondientes del área de trabajo de Log Analytics.

Asignación de tablas:

• Registros de acceso de ALB:>AWSALBAccessLogsData
• Registros de acceso de NLB:>AWSNLBAccessLogsData
• Registros de flujo de NLB y GLB:>AWSELBFlowLogsData

Nota: En la AWSELBFlowLogsData tabla, una columna denominada LogType indicará si una fila procede de registros de flujo NLB o registros de flujo de GLB.

2. Conectar nuevos recopiladores Para habilitar el conector, haga clic en Agregar nuevo recopilador, escriba los detalles necesarios y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

NetworkFirewall de Amazon Web Services (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector de datos le permite ingerir registros de AWS Network Firewall en Microsoft Sentinel para la detección avanzada de amenazas y la supervisión de seguridad. Al aprovechar Amazon S3 y Amazon SQS, el conector reenvía registros de tráfico de red, alertas de detección de intrusiones y eventos de firewall a Microsoft Sentinel, lo que permite el análisis en tiempo real y la correlación con otros datos de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSNetworkFirewallFlow	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Ingesta de registros de AWS NetworkFirewall en Microsoft Sentinel

Lista de recursos necesarios:

• Proveedor de identidades web open ID Connect (OIDC)
• Rol de IAM
• Amazon S3 Bucket
• Amazon SQS
• Configuración de AWSNetworkFirewall
• Siga estas instrucciones para la configuración del conector de datos de AWS NetworkFirewall.

1. Implementación de AWS CloudFormation Para configurar el acceso en AWS, se han generado dos plantillas para configurar el entorno de AWS con el fin de enviar registros desde un bucket de S3 al área de trabajo de Log Analytics.

Para cada plantilla, cree Stack en AWS:

1. Vaya a AWS CloudFormation Stacks.
2. Elija la opción "Especificar plantilla" y, a continuación, "Cargar un archivo de plantilla", haga clic en "Elegir archivo" y seleccione el archivo de plantilla de CloudFormation adecuado que se proporciona a continuación. Haga clic en "Elegir archivo" y seleccione la plantilla descargada.
3. Haga clic en "Siguiente" y "Crear pila".

• Plantilla 1: Implementación de autenticación de OpenID Connect: <valor variable proporcionado en el momento de la instalación>
• Plantilla 2: Implementación de recursos de AWSNetworkFirewall: <valor variable proporcionado en tiempo de instalación>

2. Conectar nuevos recopiladores Para habilitar AWS S3 para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

Amazon Web Services S3

Compatible con:Microsoft Corporation

Este conector le permite ingerir registros de servicio de AWS, recopilados en cubos de AWS S3, para Microsoft Sentinel. Los tipos de datos admitidos actualmente son:

• AWS CloudTrail
• Registros de flujo de VPC
• AWS GuardDuty
• AWSCloudWatch

Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSGuardDuty	Sí	Sí
AWSVPCFlow	Sí	Sí
AWSCloudTrail	Sí	Sí
AWSCloudWatch	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Entorno: debe tener los siguientes recursos de AWS definidos y configurados: S3, Simple Queue Service (SQS), roles y directivas de permisos de IAM y los servicios de AWS cuyos registros desea recopilar.

Instrucciones de instalación:

1. Configuración del entorno de AWS

Hay dos opciones para configurar el entorno de AWS para enviar registros desde un bucket de S3 al área de trabajo de Log Analytics:

Instalación con script de PowerShell (recomendado)

• Ejecutar script para configurar el entorno: <valor de variable proporcionado en tiempo de instalación>
• Id. externa (id. de área de trabajo):< valor de variable proporcionado en tiempo de instalación>

Configuración manual

Siga las instrucciones del vínculo siguiente para configurar el entorno: Conexión de AWS S3 a Microsoft Sentinel

2. Agregar conexión

---

Amazon Web Services S3 DNS Route53 (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector permite la ingesta de registros DNS de AWS Route 53 en Microsoft Sentinel para mejorar la visibilidad y la detección de amenazas. Admite los registros de consulta de resolución de DNS ingeridos directamente desde cubos de AWS S3, mientras que los registros de consulta de DNS público y los registros de auditoría de Route 53 se pueden ingerir mediante los conectores de AWS CloudWatch y CloudTrail de Microsoft Sentinel. Se proporcionan instrucciones completas que le guiarán a través de la configuración de cada tipo de registro. Aproveche este conector para supervisar la actividad de DNS, detectar posibles amenazas y mejorar la posición de seguridad en entornos en la nube.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSRoute53Resolver	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

AWS Route53

Este conector permite la ingesta de registros DNS de AWS Route 53 en Microsoft Sentinel, lo que proporciona visibilidad mejorada de la actividad dns y refuerza las capacidades de detección de amenazas. Admite la ingesta directa de registros de consulta de resolución de DNS desde cubos de AWS S3, mientras que los registros de consulta de DNS público y los registros de auditoría de Route 53 se pueden ingerir a través de los conectores de AWS CloudWatch y CloudTrail de Microsoft Sentinel. Se proporcionan instrucciones de configuración detalladas para cada tipo de registro. Use este conector para supervisar el tráfico DNS, identificar posibles amenazas y mejorar la posición de seguridad en la nube.

Puede ingerir el siguiente tipo de registros de AWS Route 53 a Microsoft Sentinel:

1. Registros de consulta del solucionador de Route 53
2. Registros de consulta de zonas hospedadas públicas de Route 53 (a través de Microsoft Sentinel conector de CloudWatch)
3. Registros de auditoría de Route 53 (a través de Microsoft Sentinel conector de CloudTrail)

Ingesta de registros de consulta de Route53 Resolver en Microsoft Sentinel

Lista de recursos necesarios:

• Proveedor de identidades web open ID Connect (OIDC)
• Rol de IAM
• Amazon S3 Bucket
• Amazon SQS
• Configuración del registro de consultas del solucionador de Route 53
• VPC para asociarse a la configuración del registro de consultas de Route53 Resolver

1. Implementación de AWS CloudFormation Para configurar el acceso en AWS, se han generado dos plantillas para configurar el entorno de AWS con el fin de enviar registros desde un bucket de S3 al área de trabajo de Log Analytics.

Para cada plantilla, cree Stack en AWS:

1. Vaya a AWS CloudFormation Stacks.
2. Elija la opción "Especificar plantilla" y, a continuación, "Cargar un archivo de plantilla", haga clic en "Elegir archivo" y seleccione el archivo de plantilla de CloudFormation adecuado que se proporciona a continuación. Haga clic en "Elegir archivo" y seleccione la plantilla descargada.
3. Haga clic en "Siguiente" y "Crear pila".

• Plantilla 1: Implementación de autenticación de OpenID Connect: <valor variable proporcionado en el momento de la instalación>
• Plantilla 2: Implementación de recursos de AWS Route53: <valor variable proporcionado en tiempo de instalación>

2. Conectar nuevos recopiladores Para habilitar Amazon Web Services S3 DNS Route53 para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

Ingesta de registros de consulta de zonas hospedadas públicas de Route 53 (a través de Microsoft Sentinel conector de CloudWatch)

Los registros de consulta de zona hospedada pública se exportan al servicio CloudWatch en AWS. Podemos usar el conector "Amazon Web Services S3" para ingerir registros de CloudWatch de AWS a Microsoft Sentinel.

Paso 1: Configurar el registro para consultas dns públicas

1. Inicie sesión en la consola de administración de AWS y abra la consola de Route 53 en AWS Route 53.
2. Vaya a Ruta 53 > zonas hospedadas.
3. Elija la zona hospedada pública para la que desea configurar el registro de consultas.
4. En el panel Detalles de la zona hospedada, haga clic en "Configurar registro de consultas".
5. Elija un grupo de registros existente o cree un nuevo grupo de registros.
6. Elija Crear.

Paso 2: Configuración del conector de datos de Amazon Web Services S3 para AWS CloudWatch

Los registros de AWS CloudWatch se pueden exportar a un bucket de S3 mediante la función lambda. Para ingerir consultas dns públicas de AWS CloudWatch a S3 bucket y, a continuación, para Microsoft Sentinel, siga las instrucciones proporcionadas en el conector de Amazon Web Services S3.

Ingesta de registros de auditoría de Route 53 (a través de Microsoft Sentinel conector de CloudTrail)

Los registros de auditoría de Route 53, es decir, los registros relacionados con las acciones realizadas por el usuario, el rol o el servicio de AWS en Route 53, se pueden exportar a un bucket de S3 a través del servicio AWS CloudTrail. Podemos usar el conector "Amazon Web Services S3" para ingerir registros de CloudTrail de AWS a Microsoft Sentinel.

Paso 1: Configuración del registro para los registros de auditoría de AWS Route 53

1. Inicie sesión en la consola de administración de AWS y abra la consola de CloudTrail en AWS CloudTrail.
2. Si no tiene un registro de seguimiento existente, haga clic en "Crear seguimiento".
3. Escriba un nombre para el registro de seguimiento en el campo Nombre del rastro.
4. Seleccione Create new S3 bucket (Crear nuevo cubo de S3) (también puede optar por usar un bucket de S3 existente).
5. Deje la otra configuración como predeterminada y haga clic en Siguiente.
6. Seleccione Tipo de evento y asegúrese de que la opción Eventos de administración está seleccionada.
7. Seleccione actividad de API, "Lectura" y "Escritura".
8. Haga clic en Siguiente.
9. Revise la configuración y haga clic en "Crear seguimiento".

Paso 2: Configuración del conector de datos de Amazon Web Services S3 para AWS CloudTrail

Para ingerir registros de auditoría y administración de AWS CloudTrail a Microsoft Sentinel, siga las instrucciones proporcionadas en el conector de Amazon Web Services S3.

---

Amazon Web Services S3 WAF

Compatible con:Microsoft Corporation

Este conector le permite ingerir registros de AWS WAF, recopilados en cubos de AWS S3, para Microsoft Sentinel. Los registros de AWS WAF son registros detallados del tráfico que analizan las listas de control de acceso web (ACL), que son esenciales para mantener la seguridad y el rendimiento de las aplicaciones web. Estos registros contienen información como el momento en que AWS WAF recibió la solicitud, los detalles de la solicitud y la acción realizada por la regla con la que coincidió la solicitud.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSWAF	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

1. Implementación de AWS CloudFormation Para configurar el acceso en AWS, se han generado dos plantillas para configurar el entorno de AWS con el fin de enviar registros desde un bucket de S3 al área de trabajo de Log Analytics.

Para cada plantilla, cree Stack en AWS:

1. Vaya a AWS CloudFormation Stacks.
2. Elija la opción "Especificar plantilla" y, a continuación, "Cargar un archivo de plantilla", haga clic en "Elegir archivo" y seleccione el archivo de plantilla de CloudFormation adecuado que se proporciona a continuación. Haga clic en "Elegir archivo" y seleccione la plantilla descargada.
3. Haga clic en "Siguiente" y "Crear pila".

• Plantilla 1: Implementación de autenticación de OpenID Connect: <valor variable proporcionado en el momento de la instalación>
• Plantilla 2: Implementación de recursos de AWS WAF: <valor variable proporcionado en tiempo de instalación>

2. Conectar nuevos recopiladores Para habilitar AWS S3 para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

Anvilogic

Compatible con:Anvilogic

El conector de datos de Anvilogic le permite extraer eventos de interés generados en el clúster ADX de Anvilogic en el Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Anvilogic_Alerts_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Id. de cliente y secreto de cliente del registro de aplicaciones de Anvilogic: para acceder a Anvilogic ADX, necesitamos el id. de cliente y el secreto de cliente del registro de la aplicación Anvilogic.

Instrucciones de instalación:

Conéctese a Anvilogic para empezar a recopilar eventos de interés en Microsoft Sentinel

Complete el formulario para ingerir alertas anviológicas en su Microsoft Sentinel

• Punto de conexión de token: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
• Ámbito ADX anológico: (<avl_adx_uri>/.default)
• Uri de solicitud ADX anvilogic: (<avl_adx_uri>/v2/rest/query)

---

Seguridad en la nube de ARGOS

Compatible con:ARGOS Cloud Security

La integración de ARGOS Cloud Security para Microsoft Sentinel le permite tener todos los eventos de seguridad en la nube importantes en un solo lugar. Esto le permite crear fácilmente paneles, alertas y correlacionar eventos en varios sistemas. En general, esto mejorará la posición de seguridad de la organización y la respuesta a incidentes de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ARGOS_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

1. Suscribirse a ARGOS

Asegúrese de que ya posee una suscripción de ARGOS. Si no es así, vaya a ARGOS Cloud Security y regístrese en ARGOS.

Como alternativa, también puede comprar ARGOS a través de Azure Marketplace.

2. Configurar la integración de Sentinel desde ARGOS

Configure ARGOS para reenviar las nuevas detecciones al área de trabajo de Sentinel proporcionando ARGOS con el identificador de área de trabajo y la clave principal.

No es necesario implementar ninguna infraestructura personalizada.

Escriba la información en la página de configuración de ARGOS Sentinel.

Las nuevas detecciones se reenviarán automáticamente.

Más información sobre la integración

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Actividades de alertas de Armis (mediante Azure Functions)

Compatible con:Armis Corporation

El conector de actividades de alertas de Armis ofrece la capacidad de ingerir alertas y actividades de Armis en Microsoft Sentinel a través de la API REST de Armis. Consulte la documentación de la API: https://<YourArmisInstance>.armis.com/api/v1/docs para obtener más información. El conector proporciona la capacidad de obtener información de alertas y actividades de la plataforma armis e identificar y priorizar las amenazas en su entorno. Armis usa la infraestructura existente para detectar e identificar dispositivos sin tener que implementar ningún agente.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Armis_Alerts_CL	No	No
Armis_Activities_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requiere la clave secreta de Armis . Consulte la documentación para obtener más información sobre la API en https://<YourArmisInstance>.armis.com/api/v1/doc

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Armis para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado, que se implementa como parte de la solución. Para ver el código de función en Log Analytics, abra la hoja Log Analytics/Microsoft Sentinel Logs, haga clic en Funciones y busque el alias ArmisActivities/ArmisAlerts y cargue el código de función. La función normalmente tarda entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

PASO 1: Pasos de configuración para armis API

Siga estas instrucciones para crear una clave secreta de la API de Armis.

1. Iniciar sesión en la instancia de Armis
2. Vaya a Configuración:> API Management
3. Si la clave secreta aún no se ha creado, presione el botón Crear para crear la clave secreta.
4. Para acceder a la tecla secreta, presione el botón Mostrar.
5. La clave secreta ahora se puede copiar y usar durante la configuración del conector de actividades de alertas de Armis.

PASO 2: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de Armis Alerts Activities Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 3: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de Armis Alerts Activities Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de Armis Alerts Activities Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 4: Asignar el rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

1. En el Azure Portal, vaya al grupo de recursos y seleccione el grupo de recursos.
2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
3. Haga clic en Agregar y, a continuación, seleccione Agregar asignación de roles.
4. Seleccione Colaborador como rol y haga clic en Siguiente.
5. En Asignar acceso a, seleccione User, group, or service principal.
6. Haga clic en Agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia:/azure/role-based-access-control/role-assignments-portal

PASO 5: Creación de un almacén de claves

Siga estas instrucciones para crear una nueva instancia de Keyvault.

1. En el Azure Portal, vaya a Almacenes de claves. Haga clic en Crear
2. Seleccione Subsciption( Subsciption), Resource Group (Grupo de recursos) y proporcione el nombre único de keyvault.

NOTA: Cree un almacén de claves independiente para cada clave de API dentro de un área de trabajo.

PASO 6: Creación de una directiva de acceso en Keyvault

Siga estas instrucciones para crear una directiva de acceso en Keyvault.

1. Vaya a keyvaults, seleccione el almacén de claves, vaya a Directivas de acceso en el panel izquierdo. Haga clic en Crear
2. Seleccione todas las claves & permisos de secretos. Haga clic en Siguiente.
3. En la sección principal, busque por nombre de aplicación que se generó en STEP - 2. Haga clic en Siguiente.

NOTA: Asegúrese de que el modelo de permisos de la configuración de acceso de Key Vault está establecido en "Directiva de acceso del almacén".

PASO 7: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos actividades de alertas de Armis, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente) fácilmente disponibles.., así como las claves de autorización de la API de Armis.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de Armis.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la información siguiente: Nombre de función Id. de área de trabajo Clave armis clave secreta armis URL (https://< armis-instance.armis.com/api/v1/>) Nombre de tabla de alertas de Armis
   Gravedad del nombre de la tabla de actividad de Armis (valor predeterminado: bajo) Nombre de KeyVault de programación de Armis Azure id. de cliente Azure id. de inquilino del secreto de cliente

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar manualmente el conector de datos actividades de alertas de Armis con Azure Functions (Implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, ARMISXXXXX).

   e. Seleccione un entorno de ejecución: Elección de Python 3.11

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores (distinguen mayúsculas de minúsculas): Clave de área de trabajo Armis Clave secreta armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Nombre de tabla de alertas Armis Gravedad del nombre de tabla de actividad de Armis (predeterminado: Bajo) Armis Programar nombre keyVault Azure id. de cliente Azure id. de inquilino secreto de cliente logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Dispositivos Armis (con Azure Functions)

Compatible con:Armis Corporation

El conector armis device proporciona la capacidad de ingerir dispositivos Armis en Microsoft Sentinel a través de la API REST de Armis. Consulte la documentación de la API: https://<YourArmisInstance>.armis.com/api/v1/docs para obtener más información. El conector proporciona la capacidad de obtener información del dispositivo desde la plataforma de Armis. Armis usa la infraestructura existente para detectar e identificar dispositivos sin tener que implementar ningún agente. Armis también puede integrarse con las herramientas de administración de seguridad de ti & existentes para identificar y clasificar todos y cada uno de los dispositivos, administrados o no administrados en su entorno.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Armis_Devices_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requiere la clave secreta de Armis . Consulte la documentación para obtener más información sobre la API en https://<YourArmisInstance>.armis.com/api/v1/doc

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Armis para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado. Siga estos pasos para crear el alias de funciones de Kusto, ArmisDevice.

PASO 1: Pasos de configuración para armis API

Siga estas instrucciones para crear una clave secreta de la API de Armis.

1. Iniciar sesión en la instancia de Armis
2. Vaya a Configuración:> API Management
3. Si la clave secreta aún no se ha creado, presione el botón Crear para crear la clave secreta.
4. Para acceder a la tecla secreta, presione el botón Mostrar.
5. La clave secreta ahora se puede copiar y usar durante la configuración del conector del dispositivo Armis.

PASO 2: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de Armis Device Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 3: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de Armis Device Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de Armis Device Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 4: Asignar el rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

1. En el Azure Portal, vaya al grupo de recursos y seleccione el grupo de recursos.
2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
3. Haga clic en Agregar y, a continuación, seleccione Agregar asignación de roles.
4. Seleccione Colaborador como rol y haga clic en Siguiente.
5. En Asignar acceso a, seleccione User, group, or service principal.
6. Haga clic en Agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia:/azure/role-based-access-control/role-assignments-portal

PASO 5: Creación de un almacén de claves

Siga estas instrucciones para crear una nueva instancia de Keyvault.

1. En el Azure Portal, vaya a Almacenes de claves. Haga clic en Crear
2. Seleccione Subsciption( Subsciption), Resource Group (Grupo de recursos) y proporcione el nombre único de keyvault.

NOTA: Cree un almacén de claves independiente para cada clave de API dentro de un área de trabajo.

PASO 6: Creación de una directiva de acceso en Keyvault

Siga estas instrucciones para crear una directiva de acceso en Keyvault.

1. Vaya a keyvaults, seleccione el almacén de claves, vaya a Directivas de acceso en el panel izquierdo. Haga clic en Crear
2. Seleccione todas las claves & permisos de secretos. Haga clic en Siguiente.
3. En la sección principal, busque por nombre de aplicación que se generó en STEP - 2. Haga clic en Siguiente.

NOTA: Asegúrese de que el modelo de permisos de la configuración de acceso de Key Vault está establecido en "Directiva de acceso del almacén".

PASO 7: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos del dispositivo Armis, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente) fácilmente disponibles.., así como las claves de autorización de la API de Armis.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de Armis.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la información siguiente: Id. de área de trabajo nombre de función Clave armis clave secreta armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant Id

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Armis Device manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, ARMISXXXXX).

   e. Seleccione un entorno de ejecución: Elección de Python 3.11

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores (distinguen mayúsculas de minúsculas): Dirección URL de armis de clave de armis secreta del área de trabajo de id. de área de trabajo (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant Id logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Alertas de baliza atlassiana

Compatible con:DEFEND Ltd.

Atlassian Beacon es un producto en la nube creado para la detección inteligente de amenazas en las plataformas atlassianas (Jira, Confluence y Atlassian Administración). Esto puede ayudar a los usuarios a detectar, investigar y responder a actividades de usuario de riesgo para el conjunto de productos Atlassian. La solución es un conector de datos personalizado de DEFEND Ltd. que se usa para visualizar las alertas ingeridas desde Atlassian Beacon para Microsoft Sentinel a través de una aplicación lógica.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
atlassian_beacon_alerts_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

1. Microsoft Sentinel

1. Vaya a la aplicación lógica recién instalada "Atlassian Beacon Integration"

2. Vaya a "Diseñador de aplicaciones lógicas"

3. Expanda "Cuando se recibe una solicitud HTTP".

4. Copia de la "dirección URL DE HTTP POST"

2. Atlassian Beacon

1. Inicio de sesión en Atlassian Beacon mediante una cuenta de administrador

2. Vaya a "Reenvío SIEM" en CONFIGURACIÓN

3. Pegue la dirección URL copiada de Logic App en el cuadro de texto.

4. Haga clic en el botón "Guardar".

3. Pruebas y validación

1. Inicio de sesión en Atlassian Beacon mediante una cuenta de administrador

2. Vaya a "Reenvío SIEM" en CONFIGURACIÓN

3. Haga clic en el botón "Probar" situado junto al webhook recién configurado.

4. Vaya a Microsoft Sentinel

5. Vaya a la aplicación lógica recién instalada.

6. Compruebe la ejecución de la aplicación lógica en "Historial de ejecuciones".

7. Compruebe si hay registros en el nombre de tabla "atlassian_beacon_alerts_CL" en "Registros".

8. Si se ha habilitado la regla de análisis, la alerta de prueba anterior debería haber creado un incidente en Microsoft Sentinel

---

Atlassian Confluence Audit (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Atlassian Confluence Audit proporciona la capacidad de ingerir eventos de registros de auditoría de confluencia en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ConfluenceAuditLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API de Confluence de Atlassian: se requiere el permiso de administración de Confluence para obtener acceso a la API de registros de auditoría de Confluence. Consulte la documentación de la API de Confluence para obtener más información sobre la API de auditoría.

Instrucciones de instalación:

Conéctese a Atlassian Confluence API para empezar a recopilar registros de auditoría en Microsoft Sentinel

Para habilitar el conector de Atlassian Confluence para Microsoft Sentinel, haga clic en para agregar una organización, rellene el formulario con las credenciales del entorno de Confluence y haga clic en Conectar. Siga estos pasos para crear un token de API.

• Data Connectors Grid (configurar en el portal)

---

Auditoría Atlassian Jira (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Atlassian Jira Audit proporciona la capacidad de ingerir eventos de Registros de auditoría de Jira en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Jira_Audit_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: JiraAccessToken, JiraUsername es necesario para la API REST. Para obtener más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API REST de Jira para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado. Siga estos pasos para crear el alias de funciones de Kusto, JiraAudit.

PASO 1: Pasos de configuración de Jira API

Siga las instrucciones para obtener las credenciales.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos del área de trabajo, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Jira Audit mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba JiraAccessToken, JiraUsername, JiraHomeSiteName (parte de nombre de sitio corto, como por ejemplo HOMESITENAME de https://community.atlassian.com) e implemente. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Jira Audit manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, JiraAuditXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

3. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Atlassian Jira Audit (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos Atlassian Jira Audit proporciona la capacidad de ingerir eventos de Registros de auditoría de Jira en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Jira_Audit_v2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API jira de Atlassian: se requiere el permiso de administración de Jira para obtener acceso a la API de registros de auditoría de Jira. Consulte la documentación de Jira API para obtener más información sobre la API de auditoría.

Instrucciones de instalación:

Para habilitar el conector jira de Atlassian para Microsoft Sentinel, haga clic para agregar una organización, rellene el formulario con las credenciales del entorno de Jira y haga clic en Conectar. Siga estos pasos para crear un token de API.

• Data Connectors Grid (configurar en el portal)

---

Registros Auth0 (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos Auth0 permite ingerir registros de la API Auth0 en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel marco de conector sin código. Usa la API Auth0 para capturar registros y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada para que las consultas no tengan que volver a analizarlos, lo que da lugar a un mejor rendimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Auth0Logs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

PASO 1: Pasos de configuración para la API de administración de Auth0

Siga las instrucciones para obtener las credenciales.

1. En el panel Auth0, vaya a [Aplicaciones de aplicaciones>]
2. Seleccione la aplicación. Debe ser una aplicación [máquina a máquina] configurada con al menos permisos [read:logs] y [read:logs_users].
3. Copiar [Dominio, ClientID, Secreto de cliente]

• Dirección URL de la API base: (https://example.auth0.com)
• Id. de cliente: (Id. de cliente)
• Secreto de cliente: (token de API)
• Habilitar o deshabilitar la conexión

---

WebCTRL de lógica automatizada

Compatible con:Microsoft Corporation

Puede transmitir los registros de auditoría desde el servidor SQL de WebCTRL hospedado en máquinas Windows conectadas a la Microsoft Sentinel. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación. Esto proporciona información sobre los sistemas de control industrial supervisados o controlados por la aplicación WebCTRL BAS.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Event	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

1. Instale e incorpore el agente de Microsoft para Windows.

Obtenga información sobre la instalación del agente y la incorporación de eventos de Windows.

Puede omitir este paso si ya ha instalado el agente de Microsoft para Windows.

2. Configurar la tarea de Windows para leer los datos de auditoría y escribirlos en eventos de Windows

Instale y configure la tarea programada de Windows para leer los registros de auditoría en SQL y escribirlos como eventos de Windows. El agente recopilará estos eventos de Windows y los reenviará a Microsoft Sentinel.

Observe que los datos de todas las máquinas se almacenarán en el área de trabajo seleccionada.

2.1 Copie los archivos de instalación en una ubicación del servidor.

2.2 Actualice los parámetros de script deALC-WebCTRL-AuditPull.ps1 (copiados en el paso anterior), como el nombre de la base de datos de destino y el identificador de evento de Windows. Consulte los comentarios del script para obtener más detalles.

2.3 Actualice la configuración de la tarea de Windows en el archivo ALC-WebCTRL-AuditPullTaskConfig.xml que se copió en el paso anterior según los requisitos. Consulte los comentarios del archivo para obtener más detalles.

2.4 Instalación de tareas de Windows mediante las configuraciones actualizadas copiadas en los pasos anteriores

• Ejecute el siguiente comando en PowerShell desde el directorio donde se copian los archivos de instalación en el paso 2.1: <valor de variable proporcionado en tiempo de instalación>

3. Validar la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben mediante el esquema de eventos.

La conexión puede tardar unos 20 minutos en transmitir datos al área de trabajo.

Si no se reciben los registros, valide los pasos siguientes para ver si hay problemas en tiempo de ejecución:

1. Asegúrese de que la tarea programada se crea y está en estado de ejecución en el Programador de tareas de Windows.

2. Compruebe si hay errores de ejecución de tareas en la pestaña historial del Programador de tareas de Windows para la tarea recién creada en el paso 2.4.

3. Asegúrese de que la tabla Sql Audit consta de registros nuevos mientras se ejecuta la tarea de Windows programada.

---

Conector de datos de AWS EKS (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de AWS EKS proporciona la capacidad de ingerir registros de auditoría de Amazon Elastic Kubernetes Service en Microsoft Sentinel. Este conector se centra en los registros de auditoría de EKS (formato JSON) que contienen información detallada sobre las solicitudes del servidor de API, las decisiones de autenticación y las actividades del clúster. El conector usa AWS SQS para recibir notificaciones cuando se exportan nuevos archivos de registro de auditoría a S3, lo que garantiza la supervisión de seguridad en tiempo real y el seguimiento del cumplimiento de los clústeres de Kubernetes.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSEKSLogs_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

1. Implementación de AWS CloudFormation

Use las plantillas de CloudFormation proporcionadas para configurar el entorno de AWS para enviar registros de AWS EKS al área de trabajo de Log Analytics.

Implementación de plantillas de CloudFormation en AWS:

1. Vaya a AWS CloudFormation Stacks.
2. Haga clic en Crear pila y seleccione Con nuevos recursos.
3. Elija Cargar un archivo de plantilla y, a continuación, haga clic en Elegir archivo para cargar la plantilla de CloudFormation adecuada (plantilla 1 y 2 a continuación) proporcionada.
4. Siga las indicaciones y haga clic en Siguiente para completar la creación de la pila.
5. Una vez creadas las pilas, navegación a la sección Salidas . Ejecute los scripts en los pasos 1 y 2 desde la sección de salida y transmita el registro de eks a sqs.
6. En la misma sección de salidas, anote el ARN de rol y la dirección URL de cola de SQS que se usarán en el conector de conexión.

• Plantilla 1: Implementación del proveedor de autenticación de OpenID Connect: <valor variable proporcionado en tiempo de instalación>
• Plantilla 2: Implementación de recursos de AWS EKS: <valor variable proporcionado en tiempo de instalación>

2. Conexión de nuevos recopiladores

Para habilitar AWS Security Hub Connector para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

• SentinelRoleArn: (EL ARN de rol de AWS IAM para el acceso entre cuentas (por ejemplo, arn:aws:iam::123456789012:role/SentinelRole))
• SentinelSQSQueueURL: (la dirección URL completa de la cola de AWS EKS (por ejemplo, https://sqs.region.amazonaws.com/account-id/queue-name))

3. Conectar

Habilite el conector de AWS EKS.

• Habilitar o deshabilitar la conexión

---

Registros de acceso al servidor de AWS S3 (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector le permite ingerir registros de acceso al servidor de AWS S3 en Microsoft Sentinel. Estos registros contienen registros detallados para las solicitudes realizadas a cubos S3, incluidos el tipo de solicitud, el acceso a recursos, la información del solicitante y los detalles de respuesta. Estos registros son útiles para analizar patrones de acceso, depurar problemas y garantizar el cumplimiento de la seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSS3ServerAccess	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Entorno: debe tener los siguientes recursos de AWS definidos y configurados: S3 Bucket, Simple Queue Service (SQS), roles de IAM y directivas de permisos.

Instrucciones de instalación:

1. Implementación de AWS CloudFormation Para configurar el acceso en AWS, se han generado dos plantillas para configurar el entorno de AWS con el fin de enviar registros desde un registro de acceso de servidor de AWS S3 al área de trabajo de Log Analytics.

Implementación de plantillas de CloudFormation en AWS:

1. Vaya a AWS CloudFormation Stacks.
2. Haga clic en Crear pila y seleccione Con nuevos recursos.
3. Elija Cargar un archivo de plantilla y, a continuación, haga clic en Elegir archivo para cargar la plantilla de CloudFormation adecuada proporcionada.
4. Siga las indicaciones y haga clic en Siguiente para completar la creación de la pila.
5. Una vez creadas las pilas, anote el ARN de rol y la dirección URL de cola de SQS.

• Plantilla 1: Implementación del proveedor de autenticación de OpenID Connect: <valor variable proporcionado en tiempo de instalación>
• Plantilla 2: Implementación de recursos de AWS Server Access: <valor variable proporcionado en tiempo de instalación>

2. Conectar nuevos recopiladores Para habilitar AWS S3 Server Access Logs Connector para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

Conclusiones de AWS Security Hub (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector permite la ingesta de los resultados de AWS Security Hub, que se recopilan en cubos de AWS S3, en Microsoft Sentinel. Ayuda a simplificar el proceso de supervisión y administración de alertas de seguridad mediante la integración de los resultados de AWS Security Hub con las funcionalidades avanzadas de detección y respuesta de amenazas de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AWSSecurityHubFindings	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Entorno: debe tener los siguientes recursos de AWS definidos y configurados: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), roles de IAM y directivas de permisos.

Instrucciones de instalación:

1. Implementación de AWS CloudFormation Use las plantillas de CloudFormation proporcionadas para configurar el entorno de AWS para enviar registros desde AWS Security Hub al área de trabajo de Log Analytics.

Implementación de plantillas de CloudFormation en AWS:

1. Vaya a AWS CloudFormation Stacks.
2. Haga clic en Crear pila y seleccione Con nuevos recursos.
3. Elija Cargar un archivo de plantilla y, a continuación, haga clic en Elegir archivo para cargar la plantilla de CloudFormation adecuada proporcionada.
4. Siga las indicaciones y haga clic en Siguiente para completar la creación de la pila.
5. Una vez creadas las pilas, anote el ARN de rol y la dirección URL de cola de SQS.

• Plantilla 1: Implementación del proveedor de autenticación de OpenID Connect: <valor variable proporcionado en tiempo de instalación>
• Plantilla 2: Implementación de recursos de AWS Security Hub: <valor variable proporcionado en tiempo de instalación>

2. Conectar nuevos recopiladores Para habilitar AWS Security Hub Connector para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

Actividad de Azure

Compatible con:Microsoft Corporation

Azure registro de actividad es un registro de suscripción que proporciona información sobre los eventos de nivel de suscripción que se producen en Azure, incluidos los eventos de Azure Resource Manager datos operativos, eventos de mantenimiento del servicio, operaciones de escritura realizadas en los recursos de la suscripción y el estado de las actividades realizadas en Azure. Para obtener más información, consulte la documentación de Microsoft Sentinel .

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureActivity	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

cuenta de Azure Batch

Compatible con:Microsoft Corporation

Azure Batch Account es una entidad identificada de forma única dentro del servicio Batch. La mayoría de las soluciones de Batch usan Azure Storage para almacenar archivos de recursos y archivos de salida, por lo que cada cuenta de Batch suele asociarse a una cuenta de almacenamiento correspondiente. Este conector le permite transmitir los registros de diagnóstico de la cuenta de Azure Batch en Microsoft Sentinel, lo que le permite supervisar continuamente la actividad. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Instrucciones de instalación:

Conecte los registros de diagnóstico de la cuenta de Azure Batch a Sentinel.

Este conector usa Azure Policy para aplicar una única configuración de streaming de registros de Azure Batch Account a una colección de instancias, definida como ámbito. Siga las instrucciones siguientes para crear y aplicar una directiva a todas las instancias actuales y futuras. Tenga en cuenta que es posible que ya tenga una directiva activa para este tipo de recurso.

Stream registros de diagnóstico de la cuenta de Azure Batch a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

---

Azure CloudNGFW by Palo Alto Networks

Compatible con:Palo Alto Networks

Cloud Next-Generation Firewall by Palo Alto Networks, un servicio ISV nativo de Azure, es el firewall de próxima generación de Palo Alto Networks (NGFW) que se entrega como servicio nativo en la nube en Azure. Puede detectar Cloud NGFW en Azure Marketplace y consumirlo en las redes virtuales (VNet) de Azure. Con Cloud NGFW, puede acceder a las funcionalidades principales de NGFW, como App-ID, tecnologías basadas en el filtrado de direcciones URL. Proporciona prevención y detección de amenazas a través de servicios de seguridad entregados en la nube y firmas de prevención de amenazas. El conector le permite conectar fácilmente los registros de Cloud NGFW con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le proporciona más información sobre la red de su organización y mejora las funcionalidades de las operaciones de seguridad. Para obtener más información, consulte la documentación de Cloud NGFW para Azure.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
fluentbit_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión de Cloud NGFW by Palo Alto Networks a Microsoft Sentinel

Habilite la configuración de registro en todas las NGFW en la nube de Palo Alto Networks.

Dentro del recurso de Cloud NGFW:

1. Vaya a La configuración del registro desde la página principal.
2. Asegúrese de que la casilla Habilitar configuración de registro esté activada.
3. En la lista desplegable Configuración de registro , elija el área de trabajo de Log Analytics deseada.
4. Confirme las selecciones y configuraciones.
5. Haga clic en Guardar para aplicar la configuración.

---

Azure Cognitive Search

Compatible con:Microsoft Corporation

Azure Cognitive Search es un servicio de búsqueda en la nube que proporciona a los desarrolladores infraestructura, API y herramientas para crear una experiencia de búsqueda enriquecida a través de contenido privado y heterogéneo en aplicaciones web, móviles y empresariales. Este conector le permite transmitir los registros de diagnóstico de Azure Cognitive Search a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Instrucciones de instalación:

Conecte los registros de diagnóstico de Azure Cognitive Search a Sentinel.

Este conector usa Azure Policy para aplicar una única configuración de streaming de registros Azure Cognitive Search a una colección de instancias, definida como ámbito. Siga las instrucciones siguientes para crear y aplicar una directiva a todas las instancias actuales y futuras. Tenga en cuenta que es posible que ya tenga una directiva activa para este tipo de recurso.

Stream registros de diagnóstico de la Azure Cognitive Search a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

---

Azure DDoS Protection

Compatible con:Microsoft Corporation

Conéctese a Azure registros de Standard de DDoS Protection a través de registros de diagnóstico de direcciones IP públicas. Además de la protección DDoS principal en la plataforma, Azure DDoS Protection Standard proporciona funcionalidades avanzadas de mitigación de DDoS frente a ataques de red. Se ajusta automáticamente para proteger los recursos de Azure específicos. La protección es fácil de habilitar durante la creación de nuevas redes virtuales. También se puede realizar después de la creación y no requiere cambios en la aplicación o en los recursos. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

Azure registros de auditoría de DevOps (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de registros de auditoría de DevOps Azure permite ingerir eventos de auditoría de Azure DevOps en Microsoft Sentinel. Este conector de datos se compila mediante Microsoft Sentinel Marco de conector sin código, lo que garantiza una integración sin problemas. Aprovecha la API de registros de auditoría de DevOps Azure para capturar eventos de auditoría detallados y admite transformaciones de tiempo de ingesta basadas en DCR. Estas transformaciones permiten analizar los datos de auditoría recibidos en una tabla personalizada durante la ingesta, lo que mejora el rendimiento de las consultas al eliminar la necesidad de análisis adicionales. Con este conector, puede obtener una visibilidad mejorada del entorno Azure DevOps y simplificar las operaciones de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ADOAuditLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Requisito previo de DevOps: Asegúrese de lo siguiente:
  1. Registre una aplicación de Entra en Microsoft Entra Administración Center en Registros de aplicaciones.
  2. En "Permisos de API": agregue permisos a "Azure DevOps - vso.auditlog".
  3. En "Certificados & secretos": genere "Secreto de cliente".
  4. En "Autenticación": agregue el URI de redirección que se encuentra a continuación en el campo correspondiente.
  5. En la configuración Azure DevOps, habilite el registro de auditoría y establezca Ver registro de auditoría para el usuario. Azure auditoría de DevOps.
  6. Asegúrese de que el usuario asignado para conectar el conector de datos tenga el permiso Ver registros de auditoría establecido explícitamente en Permitir en todo momento. Este permiso es esencial para la ingesta correcta de registros. Si se revoca o no se concede el permiso, se producirá un error en la ingesta de datos o se interrumpirá.

Instrucciones de instalación:

**Conéctese a Azure DevOps para empezar a recopilar registros de auditoría en Microsoft Sentinel. **

1. Escriba la aplicación que ha registrado.
2. En la sección "Información general", copie el identificador de aplicación (cliente).
3. Seleccione el botón "Puntos de conexión" y copie el valor "Punto de conexión de autorización de OAuth 2.0 (v2)" y el valor "Punto de conexión de token de OAuth 2.0 (v2)".
4. En la sección "Certificados & secretos", copie el valor "Secreto de cliente" y almacénelo de forma segura.
5. Proporcione la información necesaria a continuación y haga clic en "Conectar".

• Punto de conexión de token: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
• Punto de conexión de autorización: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
• Punto de conexión de API: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)

---

centro de eventos de Azure

Compatible con:Microsoft Corporation

Azure Event Hubs es una plataforma de streaming de macrodatos y un servicio de ingesta de eventos. Puede recibir y procesar millones de eventos por segundo. Este conector le permite transmitir los registros de diagnóstico de Azure Event Hub en Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Instrucciones de instalación:

Conecte los registros de diagnóstico de Azure Event Hub a Sentinel.

Este conector usa Azure Policy para aplicar una única configuración de streaming de registros Azure Event Hub a una colección de instancias, definida como ámbito. Siga las instrucciones siguientes para crear y aplicar una directiva a todas las instancias actuales y futuras. Tenga en cuenta que es posible que ya tenga una directiva activa para este tipo de recurso.

Stream registros de diagnóstico del centro de eventos de Azure a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

---

Azure Firewall

Compatible con:Microsoft Corporation

Conéctese a Azure Firewall. Azure Firewall es un servicio de seguridad de red administrado basado en la nube que protege los recursos de Azure Virtual Network. Es un firewall con estado completo como servicio con alta disponibilidad integrada y escalabilidad en la nube sin restricciones. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No
AZFWApplicationRule	Sí	Sí
AZFWFlowTrace	Sí	Sí
AZFWFatFlow	Sí	Sí
AZFWNatRule	Sí	Sí
AZFWDnsQuery	Sí	Sí
AZFWIdpsSignature	Sí	Sí
AZFWInternalFqdnResolutionFailure	Sí	Sí
AZFWNetworkRule	Sí	Sí
AZFWThreatIntel	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Azure Key Vault

Compatible con:Microsoft Corporation

Azure Key Vault es un servicio en la nube para almacenar y acceder a secretos de forma segura. Un secreto es cualquier cosa a la que quiera controlar estrechamente el acceso, como claves de API, contraseñas, certificados o claves criptográficas. Este conector le permite transmitir los registros de diagnóstico de Azure Key Vault en Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

Azure Kubernetes Service (AKS)

Compatible con:Microsoft Corporation

Azure Kubernetes Service (AKS) es un servicio de orquestación de contenedores totalmente administrado de código abierto que permite implementar, escalar y administrar contenedores de Docker y aplicaciones basadas en contenedores en un entorno de clúster. Este conector le permite transmitir los registros de diagnóstico de Azure Kubernetes Service (AKS) en Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

Azure Logic Apps

Compatible con:Microsoft Corporation

Azure Logic Apps es una plataforma basada en la nube para crear y ejecutar flujos de trabajo automatizados que integran aplicaciones, datos, servicios y sistemas. Este conector le permite transmitir los registros de diagnóstico de Azure Logic Apps en Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Instrucciones de instalación:

Conecte los registros de diagnóstico de Logic Apps a Sentinel.

Este conector usa Azure Policy para aplicar una única configuración de streaming de registros de Logic Apps Azure a una colección de instancias, definida como ámbito. Siga las instrucciones siguientes para crear y aplicar una directiva a todas las instancias actuales y futuras. Tenga en cuenta que es posible que ya tenga una directiva activa para este tipo de recurso.

Stream registros de diagnóstico de la Azure Logic Apps a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

---

Azure Resource Graph

Compatible con:Microsoft Corporation

Azure Resource Graph conector proporciona información más detallada sobre los eventos de Azure complementando los detalles sobre las suscripciones de Azure y los recursos de Azure.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Directiva: permiso de rol de propietario en suscripciones de Azure

Instrucciones de instalación:

Conexión de Azure Resource Graph a Microsoft Sentinel

---

Azure Service Bus

Compatible con:Microsoft Corporation

Azure Service Bus es un agente de mensajes empresarial totalmente administrado con colas de mensajes y temas de publicación y suscripción (en un espacio de nombres). Este conector le permite transmitir los registros de diagnóstico de Azure Service Bus en Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Instrucciones de instalación:

Conecte los registros de diagnóstico de Azure Service Bus a Sentinel.

Este conector usa Azure Policy para aplicar una única configuración de streaming de registros Azure Service Bus a una colección de instancias, definida como ámbito. Siga las instrucciones siguientes para crear y aplicar una directiva a todas las instancias actuales y futuras. Tenga en cuenta que es posible que ya tenga una directiva activa para este tipo de recurso.

Stream registros de diagnóstico de la Azure Service Bus a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

---

bases de datos de Azure SQL

Compatible con:Microsoft Corporation

Azure SQL es un motor de base de datos de plataforma como servicio (PaaS) totalmente administrado que controla la mayoría de las funciones de administración de bases de datos, como la actualización, la aplicación de revisiones, las copias de seguridad y la supervisión, sin necesidad de la participación del usuario. Este conector le permite transmitir los registros de auditoría y diagnóstico de las bases de datos de Azure SQL a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

Azure cuenta de almacenamiento

Compatible con:Microsoft Corporation

Azure cuenta de almacenamiento es una solución en la nube para escenarios de almacenamiento de datos modernos. Contiene todos los objetos de datos: blobs, archivos, colas, tablas y discos. Este conector le permite transmitir Azure registros de diagnóstico de cuentas de Almacenamiento en el área de trabajo de Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias y detectar actividad malintencionada en su organización. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureMetrics	No	No
StorageBlobLogs	Sí	Sí
StorageQueueLogs	Sí	Sí
StorageTableLogs	Sí	Sí
StorageFileLogs	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Instrucciones de instalación:

Conecte los registros de diagnóstico de la cuenta de almacenamiento de Azure a Sentinel.

Este conector usa un conjunto de directivas de Azure para aplicar una configuración de streaming de registros a una colección de instancias, definida como ámbito. Siga las instrucciones siguientes para crear y aplicar directivas a todas las instancias actuales y futuras. Para sacar el máximo partido del registro de diagnóstico de la cuenta de almacenamiento de la cuenta de almacenamiento de Azure, se recomienda habilitar el registro de diagnóstico desde todos los servicios de la cuenta de almacenamiento de Azure: blob, cola, tabla y archivo. Tenga en cuenta que es posible que ya tenga una directiva activa para este tipo de recurso.

Stream registros de diagnóstico de la cuenta de almacenamiento de Azure a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

Stream registros de diagnóstico de Azure Storage Blob Service a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

Stream registros de diagnóstico de Azure Storage Queue Service a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

Stream registros de diagnóstico de Azure Storage Table Service a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

Stream registros de diagnóstico del servicio de archivos de almacenamiento de Azure a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

---

análisis de Azure Stream

Compatible con:Microsoft Corporation

Azure Stream Analytics es un motor de análisis en tiempo real y procesamiento de eventos complejos diseñado para analizar y procesar rápidamente grandes volúmenes de datos de streaming de varios orígenes al mismo tiempo. Este conector le permite transmitir los registros de diagnóstico del centro de Azure Stream Analytics a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Instrucciones de instalación:

Conecte los registros de diagnóstico de Azure Stream Analytics a Sentinel.

Este conector usa Azure Policy para aplicar una única configuración de streaming de registros de Azure Stream Analytics a una colección de instancias, definida como ámbito. Siga las instrucciones siguientes para crear y aplicar una directiva a todas las instancias actuales y futuras. Tenga en cuenta que es posible que ya tenga una directiva activa para este tipo de recurso.

Stream registros de diagnóstico de Azure Stream Analytics a escala

**Inicie el asistente de asignación de Azure Policy y siga los pasos. **

1. En la pestaña Aspectos básicos, haga clic en el botón con los tres puntos en Ámbito para seleccionar la suscripción.
2. En la pestaña Parámetros, elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics y deje marcadas como "True" todas las categorías de registro que desea ingerir.
3. Para aplicar la directiva en los recursos existentes, active la casilla Crear una tarea de corrección en la pestaña Corrección .

---

Azure Web Application Firewall (WAF)

Compatible con:Microsoft Corporation

Conéctese a la Azure Web Application Firewall (WAF) para Application Gateway, Front Door o CDN. Este WAF protege las aplicaciones de vulnerabilidades web comunes, como la inserción de SQL y el scripting entre sitios, y le permite personalizar las reglas para reducir los falsos positivos. Durante el proceso de instalación se muestran instrucciones para transmitir los registros de firewall de aplicaciones web de Microsoft a Microsoft Sentinel. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

BETTER Mobile Threat Defense (MTD)

Compatible con:Better Mobile Security Inc.

El conector BETTER MTD permite a las empresas conectar sus instancias de Better MTD con Microsoft Sentinel, ver sus datos en paneles, crear alertas personalizadas, usarlas para desencadenar cuadernos de estrategias y expandir las funcionalidades de búsqueda de amenazas. Esto proporciona a los usuarios más información sobre los dispositivos móviles de su organización y la capacidad de analizar rápidamente la posición de seguridad móvil actual, lo que mejora sus capacidades generales de SecOps.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
BetterMTDIncidentLog_CL	No	No
BetterMTDDeviceLog_CL	No	No
BetterMTDNetflowLog_CL	No	No
BetterMTDAppLog_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

1. En Better MTD Console ,haga clic en Integración en la barra lateral.
2. Seleccione la pestaña Otros .
3. Haga clic en el botón AGREGAR CUENTA y seleccione Microsoft Sentinel de las integraciones disponibles.
4. Cree la integración:

• se establece en ACCOUNT NAME un nombre descriptivo que identifica la integración y, a continuación, haga clic en Siguiente.
• WORKSPACE ID Escriba y PRIMARY KEY en los campos siguientes, haga clic en Guardar.
• Haga clic en Listo

5. Configuración de la directiva de amenazas (qué incidentes deben notificarse a Microsoft Sentinel):

• En Better MTD Console (Consola de MTD mejor), haga clic en Directivas en la barra lateral.
• Haga clic en el botón Editar de la directiva que está usando.
• Para cada tipo de incidente que quiera registrar, vaya al campo Enviar a integraciones y seleccione Sentinel

6. Para obtener más información, consulte nuestra documentación.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

BeyondTrust PM Cloud

Compatible con:BeyondTrust

El conector de datos de BeyondTrust Privilege Management Cloud proporciona la capacidad de ingerir registros de auditoría de actividad y registros de eventos de cliente de BeyondTrust PM Cloud en Microsoft Sentinel.

Este conector usa Azure Functions para extraer datos de BeyondTrust PM Cloud API e ingerirlos en tablas personalizadas de Log Analytics.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
BeyondTrustPM_ActivityAudits_CL	Sí	Sí
BeyondTrustPM_ClientEvents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de BeyondTrust PM Cloud API: se requieren beyondTrust PM Cloud OAuth Client ID (Id. de cliente de OAuth en la nube de BeyondTrust PM) y Client Secret (Secreto de cliente). La cuenta de API requiere los siguientes permisos: Auditar: Solo lectura e Informes: Solo lectura

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a BeyondTrust PM Cloud API para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

NOTA: Este conector usa el flujo de credenciales de cliente de OAuth 2.0 para autenticarse con BeyondTrust PM Cloud API.

PASO 1: Obtención de las credenciales de La API en la nube de BeyondTrust PM

Cree una cuenta de API en la instancia de BeyondTrust PM Cloud con credenciales de API de OAuth (id. de cliente y secreto de cliente). La cuenta de API requiere los permisos siguientes:

• Auditoría : solo lectura
• Informes: solo lectura

PASO 2: Implementación del conector y la función de Azure asociada

Use este método para la implementación automatizada del conector de datos BeyondTrust PM Cloud mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   portal.azure.com

2. Seleccione la suscripción preferida, el grupo de recursos (debe contener el área de trabajo de Log Analytics) y la ubicación.

3. Escriba los parámetros necesarios:

   • Nombre del área de trabajo: nombre del área de trabajo de Log Analytics (por ejemplo, beyondtrust-pmcloud)
   • Dirección URL base de La nube de BeyondTrust PM: la dirección URL del inquilino (por ejemplo, https://yourcompany.beyondtrustcloud.com)
   • Id. de cliente de BeyondTrust: id. de cliente de OAuth del paso 1
   • BeyondTrust Client Secret: Secreto de cliente de OAuth del paso 1
   • Intervalo de sondeo de auditorías de actividad: frecuencia con la que se recopilan auditorías de actividad (valor predeterminado: 15 minutos)
   • Intervalo de sondeo de eventos de cliente: frecuencia con la que se recopilan eventos de cliente (valor predeterminado: 5 minutos)
   • Nivel de registro: nivel de registro para solucionar problemas (valor predeterminado: Información)
   • Período de tiempo de datos históricos: cuánto tiempo atrás para recopilar datos en la primera ejecución (valor predeterminado: 1 día)

4. Revise la configuración avanzada (SKU del plan de hospedaje, tipo de cuenta de almacenamiento) y ajuste si es necesario.

5. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

6. Haga clic en Comprar para implementar.

7. La implementación crea todos los recursos necesarios: function app, cuenta de almacenamiento, punto de conexión de recopilación de datos, reglas de recopilación de datos y tablas personalizadas de Log Analytics.

8. Los datos deben empezar a fluir entre 15 y 30 minutos después de la implementación.

---

Conector de bigID DSPM

Compatible con:BigID

El conector de datos de BigID DSPM proporciona la capacidad de ingerir casos de bigID DSPM con objetos afectados e información del origen de datos en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
BigIDDSPMCatalog_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a DSPM API de BigID: se requiere acceso a bigid DSPM API a través de un token de BigID.

Instrucciones de instalación:

Conéctese a bigID DSPM API para empezar a recopilar casos de DSPM bigid y objetos afectados en Microsoft Sentinel

Proporcione el nombre de dominio de BigID como "customer.bigid.cloud" y el token de BigID. Generar un token en la consola de BigID a través de Configuración -> Administración de acceso -> Usuarios -> Seleccionar usuario y generar un token.

• FQDN de BigID: (FQDN de BigID)
• Token de BigID: (token de BigID)
• Habilitar o deshabilitar la conexión

---

Bitglass (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos de Bitglass proporciona la capacidad de recuperar registros de eventos de seguridad de los servicios de Bitglass y más eventos en Microsoft Sentinel a través de la API REST. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
BitglassLogs_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de LA API REST: bitglassToken y BitglassServiceURL son necesarios para realizar llamadas API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Azure Blob Storage para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage costos. Consulte la página de precios de Azure Functions y Azure Blob Storage página de precios para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione como se esperaba bitglass, que se implementa con la solución Microsoft Sentinel.

PASO 1: Pasos de configuración para la API de recuperación de registros de Bitglass

Siga las instrucciones para obtener las credenciales.

1. Póngase en contacto con el soporte técnico de Bitglass y obtenga la ntation BitglassToken y BitglassServiceURL ].
2. Guarde las credenciales para usarlas en el conector de datos.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos de Bitglass, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Bitglass mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba BitglassToken, BitglassServiceURL e implemente. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Bitglass manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, BitglassXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Registros de eventos bit a bit

Compatible con:Bitwarden Inc

Este conector proporciona información sobre la actividad de la organización bitwarden, como la actividad del usuario (iniciada, cambiada de contraseña, 2fa, etc.), la actividad de cifrado (creada, actualizada, eliminada, compartida, etc.), la actividad de recopilación, la actividad de la organización, etc.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
BitwardenEventLogs	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Id. de cliente bit a bit y secreto de cliente: la clave de API se puede encontrar en la consola de administración de la organización bitwarden. Consulte la documentación de Bitwarden para obtener más información.

Instrucciones de instalación:

Conexión de registros de eventos bit a bit a Microsoft Sentinel

La clave de API se puede encontrar en la consola de administración de la organización bitwarden. Consulte la documentación de Bitwarden para obtener más información. Es posible que los servidores bitwarden autohospedados deban volver a configurar la dirección URL de la instalación.

• Dirección URL de identidad bit a bit: (https://identity.bitwarden.com)
• Dirección URL de la API bitwarden: (https://api.bitwarden.com)

---

blacklens.io

Compatible con:blacklens.io Support

El conector de datos blacklens.io permite ingerir alertas de Administración de surface de ataque de blacklens.io en Microsoft Sentinel mediante una aplicación lógica basada en webhook y la API de ingesta de registros de Azure Monitor.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
blacklens_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure suscripción: se requieren permisos de colaborador o propietario en el grupo de recursos para implementar la infraestructura de ingesta de datos (punto de conexión de recopilación de datos, regla de recopilación de datos, tabla personalizada y aplicación lógica).
• cuenta de blacklens.io: se requiere una cuenta de blacklens.io con funcionalidades de integración de webhook.

Instrucciones de instalación:

Paso 1: Implementación de la infraestructura de ingesta de datos

En este paso se implementan los recursos de Azure necesarios: un punto de conexión de recopilación de datos, una regla de recopilación de datos, una tabla de Log Analytics personalizada (blacklens_CL) y una aplicación lógica desencadenada por webhook.

1. Haga clic en el botón Implementar en Azure siguiente.

   portal.azure.com

2. Seleccione la suscripción, el grupo de recursos y la ubicación donde reside el área de trabajo de Microsoft Sentinel.

3. Escriba el nombre del área de trabajo del área de trabajo de Log Analytics.

4. Haga clic en Revisar y crear y, a continuación, en Crear.

Paso 2: Copia de la dirección URL del webhook

1. Una vez que la implementación se realice correctamente, haga clic en la pestaña Salidas de la página de implementación.
2. Copie el valor webhookUrl .

Como alternativa, vaya a Información general de Logic Apps >la-blacklens-alert-log-ingestion> y copie la dirección URL del flujo de trabajo.

Paso 3: Configuración de blacklens.io

1. Inicie sesión en el portal de blacklens.io.
2. Vaya a la configuración de integración de webhook.
3. Pegue la dirección URL del webhook copiada en el paso 2.
4. Guarde la configuración.
5. Vincule la integración de webhook a al menos una directiva de notificación para que las alertas se envíen al webhook.

Después de unos minutos, debería aparecer un incidente de prueba en Microsoft Sentinel.

---

Box (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos box proporciona la capacidad de ingerir eventos de Box Enterprise en Microsoft Sentinel mediante la API REST de Box. Consulte la documentación de Box para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
BoxEvents_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de Box API: el archivo JSON de configuración box es necesario para la autenticación JWT de la API REST de Box. Para obtener más información, consulte Autenticación JWT.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API REST de Box para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector depende de un analizador basado en la función Kusto para que funcione como se esperaba BoxEvents, que se implementa con la solución Microsoft Sentinel.

PASO 1: Configuración de la colección de eventos Box

Consulte la documentación para configurar la autenticación JWT y obtener un archivo JSON con credenciales.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos box, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como el archivo de configuración JSON de Box, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos box mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos box manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Eventos box (CCF)

Compatible con:Microsoft Corporation

El conector de datos box proporciona la capacidad de ingerir eventos de Box Enterprise en Microsoft Sentinel mediante la API REST de Box. Consulte la documentación de Box para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
BoxEventsV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Credenciales de Box API: Box API requiere un identificador de cliente de Box App y un secreto de cliente para autenticarse. Para obtener más información, consulte Concesión de credenciales de cliente.
• Identificador de Box Enterprise: se requiere Box Enterprise ID para realizar la conexión. Consulte la documentación para buscar el identificador de empresa.

Instrucciones de instalación:

NOTA: Este conector usa Codeless Connecor Platform (CCF) para conectarse a la API REST de Box con el fin de extraer registros en Microsoft Sentinel.

NOTA: Este conector depende de un analizador basado en la función Kusto para que funcione como se esperaba BoxEvents, que se implementa con la solución Microsoft Sentinel.

PASO 1: Creación de una aplicación personalizada de Box

Consulte la documentación para configurar la autenticación de credenciales de cliente.

PASO 2: Captura de los valores id. de cliente y secreto de cliente

Es posible que tenga que configurar 2FA para capturar el secreto.

PASO 3: Grab Box Enterprise ID from Box Administración Console

Consulte la documentación para buscar el identificador de empresa.

Conéctese a Box para empezar a recopilar registros de eventos en Microsoft Sentinel

Proporcione los valores necesarios a continuación:

• Identificador de Box Enterprise: (123456)

---

Check Point conector CNAPP de CloudGuard para Microsoft Sentinel

Compatible con:Check Point

El conector de datos de CloudGuard permite la ingesta de eventos de seguridad de cloudguard API en Microsoft Sentinel ™, mediante el marco de conector sin código de Microsoft Sentinel. El conector admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de eventos de seguridad entrantes en columnas personalizadas. Este proceso de análisis previo elimina la necesidad de análisis en tiempo de consulta, lo que mejora el rendimiento de las consultas de datos.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CloudGuard_SecurityEvents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Clave de API de CloudGuard: consulte las instrucciones que se proporcionan aquí para generar una clave de API.

Instrucciones de instalación:

Conexión de eventos de seguridad de CloudGuard a Microsoft Sentinel

Para habilitar el conector de CloudGuard para Microsoft Sentinel, escriba la información necesaria a continuación y seleccione Conectar.

• Identificador de clave de API: (api_key)
• Secreto de clave de API: (api_secret)
• Dirección URL del punto de conexión de CloudGuard: (por ejemplo, https://api.dome9.com)
• Filtro: (Pegar filtro de CloudGuard)
• Habilitar o deshabilitar la conexión

---

Check Point Cyberint Alerts Connector (a través de Codeless Connector Framework)

Compatible con:Cyberint

Cyberint, una empresa de Check Point, proporciona una integración Microsoft Sentinel para simplificar las alertas críticas y aportar inteligencia sobre amenazas enriquecida de la solución Infinity External Risk Management a Microsoft Sentinel. Esto simplifica el proceso de seguimiento del estado de los vales con actualizaciones de sincronización automática entre sistemas. Con esta nueva integración para Microsoft Sentinel, los clientes existentes de Cyberint y Microsoft Sentinel pueden extraer fácilmente registros basados en los resultados de Cyberint en Microsoft Sentinel plataforma.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
argsentdc_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Check Point clave de API cyberint, dirección URL de Argos y nombre del cliente: se requieren la clave de API del conector, la dirección URL de Argos y el nombre del cliente.

Instrucciones de instalación:

Conexión de alertas cyberint de punto de control a Microsoft Sentinel

Para habilitar el conector, proporcione la información necesaria a continuación y haga clic en Conectar.

Dirección URL de Argos: dirección URL de API de Cyberint para el inquilino (por ejemplo https://your_tenant.cyberint.io, ) Token de API — Nombre de cliente del token de acceso de la API Cyberint — Nombre de la empresa (cliente) asociado a los entornos de instancia de Cyberint — Lista separada por comas de los entornos que se van a capturar. Si está vacío, se capturan todos los entornos.\n\nGravedad : lista separada por comas de gravedades que se van a capturar (baja, media, alta very_high). Si está vacío, se capturan todas las gravedades.\n\nintervalo de sondeo : con qué frecuencia sondea las nuevas alertas, en minutos (valor predeterminado: 5)\n\nIncluir datos adjuntos CSV como JSON : si se deben incluir datos adjuntos CSV como contenido JSON en alertas (valor predeterminado: false)

• Dirección URL de Argos: (https://your_tenant.cyberint.io)
• Token de API: (token de acceso de API Cyberint)
• Nombre del cliente: (Nombre de la empresa (cliente) asociado a la instancia de Cyberint)
• Entornos: (lista separada por comas (por ejemplo, Producción, Ensayo))
• Gravedad: (lista separada por comas (por ejemplo, baja, media, alta very_high))
• Intervalo de sondeo (minutos): (frecuencia de sondeo en minutos)
• Incluir datos adjuntos CSV como JSON: (true o false)
• Habilitar o deshabilitar la conexión

---

conector IOC de Check Point Cyberint

Compatible con:Cyberint

Cyberint, una empresa Check Point, proporciona una integración Microsoft Sentinel para ingerir indicadores de riesgo (IOC) de la solución Infinity External Risk Management en Microsoft Sentinel. Este conector extrae automáticamente la fuente de IOC diaria, incluidas las direcciones IP malintencionadas, los dominios, las direcciones URL y los hashes de archivo, enriquecidos con el contexto de amenaza, como la gravedad, la confianza y la actividad detectada.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
iocsent_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Check Point clave de API cyberint, dirección URL de Argos y nombre del cliente: se requieren la clave de API del conector, la dirección URL de Argos y el nombre del cliente.

Instrucciones de instalación:

Conectar Check Point fuente de IOC cyberint a Microsoft Sentinel

Para habilitar el conector, proporcione la información necesaria a continuación y haga clic en Conectar.

Dirección URL de Argos: dirección URL de LA API cyberint para el inquilino (por ejemplo https://your_tenant.cyberint.io, ) Token de API — Nombre de cliente del token de acceso de la API Cyberint — Nombre de la empresa (cliente) asociado a la instancia de Cyberint

• Dirección URL de Argos: (https://your-company.cyberint.io)
• Token de API: (token de API)
• Nombre del cliente: (Nombre de la empresa (cliente) asociado a la instancia de Cyberint)
• Habilitar o deshabilitar la conexión

---

Cisco ASA/FTD a través de AMA

Compatible con:Microsoft Corporation

El conector del firewall de Cisco ASA le permite conectar fácilmente sus registros de Cisco ASA con Microsoft Sentinel, para ver los paneles, crear alertas personalizadas y mejorar la investigación. Esto le proporciona más información sobre la red de su organización y mejora las funcionalidades de las operaciones de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommonSecurityLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Para recopilar datos de máquinas virtuales que no son Azure, deben tener Azure Arc instalado y habilitado. Más información

Instrucciones de instalación:

Habilitación de la regla de recopilación de datos

Los registros de eventos de Cisco ASA/FTD se recopilan solamente de los agentes Linux.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Ejecute el siguiente comando para instalar y aplicar el recopilador de Cisco ASA/FTD:

• Valor: <valor variable proporcionado en tiempo de instalación>

---

Cisco Cloud Security (mediante Azure Functions)

Compatible con:Microsoft Corporation

La solución Cisco Cloud Security para Microsoft Sentinel le permite ingerir registros de Cisco Secure Access y Cisco Umbrella almacenados en Amazon S3 en Microsoft Sentinel mediante la API REST de Amazon S3. Consulte la documentación de administración de registros de Cisco Cloud Security para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Cisco_Umbrella_dns_CL	Sí	Sí
Cisco_Umbrella_proxy_CL	Sí	Sí
Cisco_Umbrella_ip_CL	Sí	Sí
Cisco_Umbrella_cloudfirewall_CL	Sí	Sí
Cisco_Umbrella_firewall_CL	Sí	Sí
Cisco_Umbrella_dlp_CL	No	No
Cisco_Umbrella_ravpnlogs_CL	No	No
Cisco_Umbrella_audit_CL	No	No
Cisco_Umbrella_ztna_CL	No	No
Cisco_Umbrella_intrusion_CL	No	No
Cisco_Umbrella_ztaflow_CL	No	No
Cisco_Umbrella_fileevent_CL	No	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST de Amazon S3: se requieren el id. de clave de acceso de AWS, la clave de acceso secreta de AWS y el nombre del bucket de AWS S3 para la API REST de Amazon S3.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API REST de Amazon S3 para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

NOTA: Este conector se ha actualizado para admitir la versión 14 del esquema de registro de Cisco Cloud Security.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de Azure Functions.

NOTA: Este conector usa un analizador basado en una función kusto para normalizar los campos. Siga estos pasos para crear el alias de función Kusto Cisco_Umbrella.

PASO 1: Configuración de la colección de registros de Cisco Cloud Security

Consulte la documentación y siga las instrucciones para configurar el registro y obtener credenciales.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y el Azure Functions asociado

IMPORTANTE: Antes de implementar el conector de datos de Cisco Cloud Security, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las credenciales de autorización de la API REST de Amazon S3, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Cisco Cloud Security mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el id. del área de trabajo, la clave del área de trabajo, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey Nota: Para S3Bucket, use el valor al que Cisco hace referencia como ruta de acceso a los datos del cubo S3 y agregue un / (barra diagonal) al final del valor.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Cisco Cloud Security manualmente con Azure Functions (implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure Functions.

1. Descargue el archivo Azure Functions App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
3. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

3. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Cisco Cloud Security (con un plan premium elástico) (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos de Cisco Umbrella proporciona la capacidad de ingerir eventos de Cisco Umbrella almacenados en Amazon S3 en Microsoft Sentinel mediante la API REST de Amazon S3. Consulte la documentación de administración de registros de Cisco Umbrella para obtener más información.

NOTA: Este conector de datos usa el Azure Functions Plan Premium para habilitar funcionalidades de ingesta seguras y generará costos adicionales. Aquí encontrará más detalles sobre los precios.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Cisco_Umbrella_dns_CL	Sí	Sí
Cisco_Umbrella_proxy_CL	Sí	Sí
Cisco_Umbrella_ip_CL	Sí	Sí
Cisco_Umbrella_cloudfirewall_CL	Sí	Sí
Cisco_Umbrella_firewall_CL	Sí	Sí
Cisco_Umbrella_dlp_CL	No	No
Cisco_Umbrella_ravpnlogs_CL	No	No
Cisco_Umbrella_audit_CL	No	No
Cisco_Umbrella_ztna_CL	No	No
Cisco_Umbrella_intrusion_CL	No	No
Cisco_Umbrella_ztaflow_CL	No	No
Cisco_Umbrella_fileevent_CL	No	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST de Amazon S3: se requieren el id. de clave de acceso de AWS, la clave de acceso secreta de AWS y el nombre del bucket de AWS S3 para la API REST de Amazon S3.
• Virtual Network permisos (para el acceso privado): para el acceso a la cuenta de almacenamiento privado, se requieren permisos de colaborador de red en la Virtual Network y subred. La subred debe delegarse en Microsoft.Web/serverFarms para la integración de la red virtual de Function App.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API REST de Amazon S3 para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

NOTA: Este conector se ha actualizado para admitir la versión 14 del esquema de registro de Cisco Umbrella.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de Azure Functions.

NOTA: Este conector usa un analizador basado en una función kusto para normalizar los campos. Siga estos pasos para crear el alias de función Kusto Cisco_Umbrella.

PASO 1: Requisitos previos de red para el acceso privado

IMPORTANTE: Al implementar con acceso a la cuenta de almacenamiento privado, asegúrese de que se cumplen los siguientes requisitos previos de red:

• Virtual Network: Debe haber una Virtual Network (VNet) existente disponible.
• Subred: una subred dedicada dentro de la red virtual debe delegarse en Microsoft.Web/serverFarms para la integración de la red virtual de Function App
• Delegación de subred: configure la delegación de subred mediante Azure Portal, una plantilla de ARM o CLI de Azure:
  • Portal de Azure: Vaya a Redes virtuales → Seleccione las subredes de → de red virtual → Seleccionar subred → Delegar subred al servicio → Elegir Microsoft.Web/serverFarms
  • CLI de Azure:az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
• Puntos de conexión privados: la implementación creará puntos de conexión privados para los servicios de cuenta de almacenamiento (blob, archivo, cola, tabla) dentro de la misma subred.

PASO 2: Configuración de la colección de registros de Cisco Umbrella

Consulte la documentación y siga las instrucciones para configurar el registro y obtener credenciales.

PASO 3: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y el Azure Functions asociado

IMPORTANTE: Antes de implementar el conector de datos de Cisco Umbrella, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las credenciales de autorización de la API REST de Amazon S3, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Cisco Umbrella mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey

4. Para Implementación de acceso privado: escriba también existingVnetName, existingVnetResourceGroupName y existingSubnetName (asegúrese de que la subred esté delegada a Microsoft.Web/serverFarms) Nota: Para el S3Bucket use el valor al que Cisco hace referencia como la ruta de acceso de datos del cubo S3 y agregue un / (barra diagonal) al final del valor.

5. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

6. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Cisco Umbrella manualmente con Azure Functions (implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure Functions.

1. Descargue el archivo Azure Functions App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
3. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

3. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Seguridad de Cisco Duo (con Azure Functions)

Compatible con:Cisco Systems

El conector de datos de seguridad de Cisco Duo proporciona la capacidad de ingerir registros de autenticación, registros de administrador, registros de telefonía, registros de inscripción sin conexión y eventos del Monitor de confianza en Microsoft Sentinel usando la API de Administración de Cisco Duo. Consulte la documentación de la API para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CiscoDuo_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de LA API de Cisco Duo: las credenciales de la API de Cisco Duo con el registro de lectura de concesión de permisos son necesarias para la API de Cisco Duo. Consulte la documentación para obtener más información sobre cómo crear credenciales de API de Cisco Duo.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Cisco Duo para extraer los registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para trabajar como ciscoduo esperado que se implementa con la solución Microsoft Sentinel.

PASO 1: Obtención de credenciales de API de Administración de Cisco Duo

1. Siga las instrucciones para obtener la clave de integración, la clave secreta y el nombre de host de la API. Use Conceder permiso de registro de lectura en el 4º paso de las instrucciones.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como Azure Blob Storage cadena de conexión y el nombre del contenedor, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la clave de integración de Cisco Duo, la clave secreta de Cisco Duo, el nombre de host de la API de Cisco Duo, los tipos de registro de Cisco Duo, Microsoft Sentinel id. del área de trabajo, Microsoft Sentinel clave compartida

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos manualmente con Azure Functions (Implementación mediante Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
3. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Cisco ETD (con Azure Functions)

Compatible con:N/A

El conector captura datos de ETD API para el análisis de amenazas.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CiscoETD_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Email API de Threat Defense, clave de API, id. de cliente y secreto: asegúrese de que tiene la clave de API, el identificador de cliente y la clave secreta.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API etd para extraer sus registros en Microsoft Sentinel.

Siga los pasos de implementación para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos ETD, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se puede copiar de la siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Cisco ETD mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la región preferidos.

3. Escriba WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Region

4. Haga clic en Crear para implementar.

---

Cisco Meraki (mediante la API REST)

Compatible con:Microsoft Corporation

El conector Cisco Meraki le permite conectar fácilmente los eventos de la organización de Cisco Meraki (eventos de seguridad, cambios de configuración y solicitudes de API) para Microsoft Sentinel. El conector de datos usa la API REST de Cisco Meraki para capturar registros y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos recibidos y las ingestas en ASIM y tablas personalizadas en el área de trabajo de Log Analytics. Este conector de datos se beneficia de funcionalidades como el filtrado de tiempo de ingesta basado en DCR y la normalización de datos.

Esquema de ASIM admitido:

1. Sesión de red
2. Sesión web
3. Audit (evento)

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ASimNetworkSessionLogs	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Clave de API REST de Cisco Meraki: habilite el acceso a la API en Cisco Meraki y genere la clave de API. Consulte la documentación oficial de Cisco Meraki para obtener más información.
• Id. de organización de Cisco Meraki: obtenga su id. de organización de Cisco Meraki para capturar eventos de seguridad. Siga los pasos de la documentación para obtener el identificador de organización mediante la clave de API de Meraki obtenida en el paso anterior.

Instrucciones de instalación:

Conexión de eventos de Cisco Meraki a Microsoft Sentinel

Actualmente, este conector permite ingerir eventos desde el siguiente punto de conexión de la API REST de Cisco Meraki :

1. Obtener eventos de seguridad del dispositivo de la organización Este conector analiza los eventos de alerta ids en los eventos de tabla ASimNetworkSessionLogs y Archivo examinado en la tabla ASimWebSessionLogs.
2. Obtención de solicitudes de api de la organización Este conector analiza los eventos en la tabla ASimWebSessionLogs.
3. Obtener cambios de configuración de la organización Este conector analiza los eventos en la tabla ASimAuditEventLogs.

• Id. de organización: (OrganizationId)
• Clave de API: (ApiKey)
• Habilitar o deshabilitar la conexión

---

Punto de conexión seguro de Cisco (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos del punto de conexión seguro de Cisco (anteriormente AMP para puntos de conexión) proporciona la capacidad de ingerir registros y eventos de auditoría del punto de conexión seguro de Cisco en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CiscoSecureEndpointAuditLogsV2_CL	Sí	Sí
CiscoSecureEndpointEventsV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Credenciales o regiones de la API de punto de conexión seguro de Cisco: para crear credenciales de API y comprender las regiones, siga el vínculo del documento que se proporciona aquí. Haga clic aquí.

Instrucciones de instalación:

Conexión del punto de conexión seguro de Cisco a Microsoft Sentinel

Para ingerir datos del punto de conexión seguro de Cisco para Microsoft Sentinel, tiene que hacer clic en el botón Agregar cuenta que aparece a continuación y, a continuación, obtener un elemento emergente para rellenar los detalles como Email, Organización, Id. de cliente, Clave de API y Región, proporcionar la información necesaria y hacer clic en Conectar. Puede ver las organizaciones o correos electrónicos conectados en la cuadrícula siguiente.

• Data Connectors Grid (configurar en el portal)

---

WAN definida por el software de Cisco

Compatible con:Cisco Systems

El conector de datos WAN definida por software de Cisco (SD-WAN) proporciona la capacidad de ingerir datos de Syslog y Netflow de Cisco SD-WAN en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Syslog	Sí	Sí
CiscoSDWANNetflow_CL	No	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Para ingerir datos de Syslog y Netflow de Cisco SD-WAN en Microsoft Sentinel siga estos pasos.

1. Pasos para ingerir datos de Syslog en Microsoft Sentinel

Azure Agente de Supervisión se usará para recopilar los datos de Syslog en Microsoft Sentinel. Para ello, primero debe crear un servidor de Azure Arc para la máquina virtual desde la que se enviarán los datos de Syslog.

1.1 Pasos para agregar Azure arc server

1. En Azure Portal, vaya a Servidores - Azure Arc y haga clic en Agregar.
2. Seleccione Generar script en la sección Agregar un único servidor. Un usuario también puede generar scripts para varios servidores.
3. Revise la información de la página Requisitos previos y, a continuación, seleccione Siguiente.
4. En la página Detalles del recurso, proporcione la suscripción y el grupo de recursos del método Microsoft Sentinel, Region, Operating system y Connectivity. Después, seleccione Siguiente.
5. En la página Etiquetas, revise las etiquetas de ubicación física predeterminadas sugeridas y escriba un valor, o especifique una o varias etiquetas personalizadas para admitir los estándares. A continuación, seleccione Siguiente.
6. Seleccione Descargar para guardar el archivo de script.
7. Ahora que ha generado el script, el siguiente paso es ejecutarlo en el servidor que desea incorporar a Azure Arc.
8. Si tiene Azure máquina virtual, siga los pasos mencionados en el vínculo antes de ejecutar el script.
9. Ejecute el script mediante el siguiente comando: ./<ScriptName>.sh
10. Después de instalar el agente y configurarlo para conectarse a Azure servidores habilitados para Arc, vaya al Azure Portal para comprobar que el servidor se ha conectado correctamente. Vea el equipo en el Azure Portal. Vínculo de referencia:/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 Pasos para crear una regla de recopilación de datos (DCR)

1. En Azure Portal, busque Monitor. En Configuración, seleccione Reglas de recopilación de datos y seleccione Crear.
2. En el panel Aspectos básicos, escriba el nombre de la regla, la suscripción, el grupo de recursos, la región y el tipo de plataforma.
3. Seleccione Siguiente: Recursos.
4. Seleccione Agregar recursos. Use los filtros para buscar la máquina virtual que usará para recopilar registros.
5. Seleccione la máquina virtual. Seleccione Aplicar.
6. Seleccione Siguiente: Recopilar y entregar.
7. Seleccione Agregar origen de datos. En Tipo de origen de datos, seleccione Linux syslog.
8. En Nivel de registro mínimo, deje los valores predeterminados LOG_DEBUG.
9. Seleccione Siguiente: Destino.
10. Seleccione Agregar destino y agregue Tipo de destino, Suscripción y Cuenta o espacio de nombres.
11. Seleccione Agregar origen de datos. Seleccione Siguiente: Revisar y crear.
12. Seleccione Crear. Espere 20 minutos. En Microsoft Sentinel o Azure Monitor, compruebe que el agente de Azure Monitor se está ejecutando en la máquina virtual. Vínculo de referencia:/azure/sentinel/forward-syslog-monitor-agent

2. Pasos para ingerir datos de Netflow en Microsoft Sentinel

Para ingerir datos de Netflow en Microsoft Sentinel, Filebeat y Logstash deben instalarse y configurarse en la máquina virtual. Después de la configuración, la máquina virtual podrá recibir datos de netflow en el puerto configurado y esos datos se ingieren en el área de trabajo de Microsoft Sentinel.

2.1 Instalación de filebeat y logstash

1. Para la instalación de filebeat y logstash mediante apt, consulte este documento:
2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
4. Para la instalación de filebeat y logstash para los pasos de Linux basadas en RedHat (yum) son los siguientes:
5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Configurar Filebeat para enviar eventos a Logstash

1. Editar filebeat.yml archivo: vi /etc/filebeat/filebeat.yml
2. Comente la sección Salida de Elasticsearch.
3. Sección Descomprima la salida de Logstash (quite la marca de comentario solo estas dos líneas) - hosts output.logstash: ["localhost:5044"]
4. En la sección Salida de Logstash, si desea enviar los datos distintos del puerto predeterminado, es decir, el puerto 5044, reemplace el número de puerto en el campo hosts. (Nota: Este puerto debe agregarse en el archivo conf, al configurar logstash).
5. En la sección "filebeat.inputs" comenta la configuración existente y agrega la siguiente configuración: - type: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions:

• /etc/filebeat/custom.yml detect_sequence_reset: true habilitado: true

6. En la sección Entradas de Filebeat, si desea recibir los datos distintos del puerto predeterminado, es decir, el puerto 2055, reemplace el número de puerto en el campo host.
7. Agregue el archivo de custom.yml proporcionado dentro del directorio /etc/filebeat/.
8. Abra el puerto de entrada y salida de filebeat en el firewall.
9. Ejecutar comando: firewall-cmd --zone=public --permanent --add-port=2055/udp
10. Ejecutar comando: firewall-cmd --zone=public --permanent --add-port=5044/udp

Nota: Si se agrega un puerto personalizado para la entrada y salida de filebeat, abra ese puerto en el firewall.

2.3 Configurar Logstash para enviar eventos a Microsoft Sentinel

1. Instale el complemento Azure Log Analytics:
2. Ejecutar comando: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
3. Almacene la clave del área de trabajo de Log Analytics en el almacén de claves de Logstash. La clave del área de trabajo se puede encontrar en Azure Portal, en Área de trabajo > de análisis de registros Seleccione área de trabajo > En Configuración, seleccione Instrucciones del agente > de Log Analytics.
4. Copie la clave principal y ejecute los siguientes comandos:
5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
7. Cree el archivo de configuración /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Escriba el número de puerto de salida que se ha configurado durante la configuración de filebeat, es decir, filebeat.yml archivo .) } } salida { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Nota: Si la tabla no está presente en Microsoft Sentinel, creará una nueva tabla en Sentinel.

2.4 Ejecutar Filebeat:

1. Abra un terminal y ejecute el comando : systemctl start filebeat
2. Este comando comenzará a ejecutar filebeat en segundo plano. Para ver los registros, detenga filebeat (systemctl stop filebeat) y ejecute el siguiente comando: filebeat run -e

2.5 Ejecutar logstash:

1. En otro terminal, ejecute el comando : /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
2. Este comando comenzará a ejecutar logstash en segundo plano. Para ver los registros de logstash, elimine el proceso anterior y ejecute el siguiente comando : /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

---

Claroty xDome

Compatible con:xDome Customer Support

Claroty xDome ofrece funcionalidades completas de administración de alertas y seguridad para entornos de red industrial y de atención sanitaria. Está diseñado para asignar varios tipos de origen, identificar los datos recopilados e integrarlos en modelos de datos Microsoft Sentinel. Esto da como resultado la capacidad de supervisar todas las posibles amenazas en los entornos sanitarios e industriales en una sola ubicación, lo que conduce a una supervisión de seguridad más eficaz y una posición de seguridad más fuerte.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommonSecurityLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

1. configuración del agente de Syslog Linux

Instale y configure el agente de Linux para recopilar los mensajes de Syslog de Common Event Format (CEF) y reenviarlos a Microsoft Sentinel.

Observe que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

1.1 Seleccione o cree una máquina Linux

Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel esta máquina puede estar en el entorno local, Azure u otras nubes.

1.2 Instale el recopilador cef en la máquina Linux

Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto 514 TCP.

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python --version.

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para instalar y aplicar el valor de variable cef collector:: <proporcionado en el momento de la instalación.>

2. Reenviar registros de formato de evento común (CEF) al agente de Syslog

Configure la integración de Claroty xDome - Microsoft Sentinel para recopilar los mensajes de Syslog de Common Event Format (CEF) y reenviarlos a Microsoft Sentinel.

3. Validar la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben mediante el esquema CommonSecurityLog.

La conexión puede tardar unos 20 minutos en transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python --version

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para validar la conectividad:: <valor de variable proporcionado en tiempo de instalación.>

**4. Protección de la máquina **

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Aprende más >

---

Cloudflare (versión preliminar) (mediante Azure Functions)

Compatible con:Cloudflare

El conector de datos de Cloudflare proporciona la capacidad de ingerir registros de Cloudflare en Microsoft Sentinel mediante Cloudflare Logpush y Azure Blob Storage. Consulte la documentación de Cloudflare para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Cloudflare_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Azure Blob Storage cadena de conexión y nombre del contenedor: Azure Blob Storage cadena de conexión y nombre de contenedor en los que Cloudflare Logpush inserta los registros. Para obtener más información, consulte creación de Azure Blob Storage contenedor.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Azure Blob Storage para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage costos. Consulte la página de precios de Azure Functions y Azure Blob Storage página de precios para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione como se esperaba en Cloudflare, que se implementa con la solución Microsoft Sentinel.

PASO 1: Configuración de Cloudflare Logpush

Consulte la documentación para configurar Cloudflare Logpush en Microsoft Azure

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos de Cloudflare, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como Azure Blob Storage cadena de conexión y el nombre del contenedor, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Cloudflare mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el nombre del contenedor Azure Blob Storage, Azure Blob Storage cadena de conexión, Microsoft Sentinel identificador del área de trabajo, Microsoft Sentinel clave compartida.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Cloudflare manualmente con Azure Functions (Implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, CloudflareXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.8.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Cloudflare (uso del contenedor de blobs) (a través de Codeless Connector Framework)

Compatible con:Cloudflare

El conector de datos de Cloudflare proporciona la capacidad de ingerir registros de Cloudflare en Microsoft Sentinel mediante Cloudflare Logpush y Azure Blob Storage. Consulte la documentación de Cloudflarepara obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CloudflareV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Creación de una cuenta de almacenamiento y un contenedor: antes de configurar logpush en Cloudflare, cree primero una cuenta de almacenamiento y un contenedor en Microsoft Azure. Use esta guía para obtener más información sobre el contenedor y el blob. Siga los pasos de la documentación para crear una cuenta de Azure Storage.
• Generar una dirección URL de SAS de blob: se requieren permisos de creación y escritura. Consulte la documentación para obtener más información sobre el token y la dirección URL de Blob SAS.
• Recopilación de registros de Cloudflare en el contenedor de blobs: siga los pasos de la documentación para recopilar registros de Cloudflare en el contenedor de blobs.

Instrucciones de instalación:

Conexión de registros de Cloudflare a Microsoft Sentinel

Para habilitar los registros de Cloudflare para Microsoft Sentinel, proporcione la información necesaria a continuación y haga clic en Conectar.

• Dirección URL del contenedor de blobs de la que desea recopilar datos:
• Nombre del grupo de recursos de la cuenta de almacenamiento del contenedor de blobs:
• Ubicación de la cuenta de almacenamiento del contenedor de blobs:
• Identificador de suscripción de la cuenta de almacenamiento del contenedor de blobs:
• Nombre del tema de Event Grid de la cuenta de almacenamiento del contenedor de blobs si existe. si no, manténgalo vacío.:
• Habilitar o deshabilitar la conexión

---

Cognni

Compatible con:Cognni

El conector cognni ofrece una integración rápida y sencilla con Microsoft Sentinel. Puede usar Cognni para asignar de forma autónoma la información importante no clasificada anteriormente y detectar incidentes relacionados. Esto le permite reconocer riesgos para su información importante, comprender la gravedad de los incidentes e investigar los detalles que necesita corregir, lo suficientemente rápido como para marcar la diferencia.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CognniIncidents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión a Cognni

1. Vaya a la página integraciones de Cognni.
2. Haga clic en "Conectar" en el cuadro "Microsoft Sentinel".
3. Copie y pegue "workspaceId" y "sharedKey" (desde abajo) en los campos relacionados en la pantalla de integraciones de Cognni.
4. Haga clic en el botton "Connect" para completar la configuración.
   Pronto, todos los incidentes detectados por Cognni se reenviarán aquí (a Microsoft Sentinel).

¿No es un usuario de Cognni? Únase a nosotros

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave compartida: <valor de variable proporcionado en tiempo de instalación>

---

Cohesidad (mediante Azure Functions)

Compatible con:Cohesity

Las aplicaciones de funciones de Cohesity proporcionan la capacidad de ingerir alertas de ransomware Cohesity Datahawk en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Cohesity_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Azure Blob Storage cadena de conexión y nombre del contenedor: Azure Blob Storage cadena de conexión y nombre del contenedor

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions que se conectan a la Azure Blob Storage y KeyVault. Esto puede dar lugar a costos adicionales. Consulte la página de precios de Azure Functions, Azure Blob Storage página de precios y Azure página de precios de KeyVault para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Obtención de una clave de API Cohesity DataHawk (consulte la instrucción de solución de problemas 1)

PASO 2: Registre Azure aplicación (vínculo) y guarde el identificador de aplicación (cliente), el identificador de directorio (inquilino) y el valor secreto (instrucciones). Concédale permiso Azure Storage (user_impersonation). Además, asigne el rol "colaborador de Microsoft Sentinel" a la aplicación en la suscripción adecuada.

PASO 3: Implemente el conector y el Azure Functions asociado.

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Cohesity mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba los parámetros que creó en los pasos anteriores.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

---

CommvaultSecurityIQ

Compatible con:Commvault

Esta función Azure permite a los usuarios de Commvault ingerir alertas o eventos en su instancia de Microsoft Sentinel. Con reglas analíticas, Microsoft Sentinel puede crear automáticamente incidentes Microsoft Sentinel a partir de eventos y registros entrantes.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommvaultAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Dirección URL del punto de conexión del entorno de Commvault: asegúrese de seguir la documentación y establecer el valor secreto en KeyVault.
• Token de QSDK de Commvault: asegúrese de seguir la documentación y establecer el valor secreto en KeyVault.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a una instancia de Commvault para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración para el token de QSDK de Commvalut

Siga estas instrucciones para crear un token de API.

PASO 2: Implementación del conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de datos CommvaultSecurityIQ, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como la dirección URL del punto de conexión de Commvault y el token de QSDK, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Commvault Security IQ.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la región preferidos.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo "u otros campos obligatorios" y haga clic en Siguiente.

4. Haga clic en Crear para implementar.

---

Conector de inserción de ADR de contraste

Compatible con:Contrast Security

El conector Contrast Security proporciona la capacidad de ingerir eventos e incidentes de ataque desde la detección y respuesta de aplicaciones de contraste (ADR) en Microsoft Sentinel. Este conector recibe datos a través del mecanismo de inserción de webhook mediante la autenticación de OAuth.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ContrastADRAttackEvents_CL	No	No
ContrastADRIncidents_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID (si se usa una aplicación creada automáticamente). Normalmente, requiere el rol desarrollador de aplicaciones o superior.
• Microsoft Azure: permiso para crear y configurar recursos de Azure (DCE, DCR, tablas) y asignar roles de RBAC. Normalmente, requiere roles de colaborador y administrador de acceso de usuario.
• Contrast ADR Webhook Access:Access to Contrast ADR platform to configure webhook with OAuth authentication settings (Contrast ADR access to Contrast ADR platform to configure webhook with OAuth authentication settings).

Instrucciones de instalación:

1. Implementar recursos del conector

Implemente los recursos de Azure necesarios para la ingesta de datos de Contrast ADR.

Elegir la opción de implementación

Seleccione una de las siguientes opciones de implementación en función de los requisitos:

---

Opción A: Crear automáticamente Microsoft Entra aplicación (recomendado)

Al hacer clic en Deploy Contrast ADR CCF Connector (Implementar conector CCF de Contrast ADR), se creará automáticamente:

• Punto de conexión de recopilación de datos (DCE)
• Regla de recopilación de datos (DCR) con secuencias para eventos e incidentes de ataque
• Tablas de Log Analytics (ContrastADRAttackEvents_CL y ContrastADRIncidents_CL)
• Microsoft Entra aplicación con credenciales de OAuth
• Asignación de roles (publicador de métricas de supervisión) en dcr

Después de la implementación: Todos los valores de configuración (Id. de inquilino, Id. de cliente, Secreto de cliente, URI de DCE, Id. inmutable de DCR) se rellenarán automáticamente a continuación para facilitar la copia y pegado en la plataforma Contrast.

---

Opción B: Usar la aplicación de Microsoft Entra preexistente (BYOA)

Al hacer clic en Deploy Contrast ADR CCF Connector (Implementar conector CCF de Contrast ADR), se creará lo siguiente:

• Punto de conexión de recopilación de datos (DCE)
• Regla de recopilación de datos (DCR) con secuencias para eventos e incidentes de ataque
• Tablas de Log Analytics (ContrastADRAttackEvents_CL y ContrastADRIncidents_CL)
• Microsoft Entra Aplicación (puede omitirlo)

Cuándo usar: si tiene una aplicación de Entra existente que desea reutilizar por motivos de seguridad o cumplimiento. Se requieren pasos adicionales:

1. Después de la implementación, asigne manualmente a la entidad de servicio de la aplicación de Entra existente el rol publicador de métricas de supervisión en el DCR creado.
2. Use su propio Entra id. de cliente y secreto de cliente de la aplicación (omita los generados automáticamente a continuación)
3. Use el URI de DCE y el identificador inmutable de DCR de abajo en la configuración del webhook de Contraste.

---

Haga clic en Implementar para comenzar:

2. Configurar el webhook DE ADR de contraste

Copie los siguientes valores para configurar la integración de Microsoft Sentinel en la plataforma Contrast ADR.

Para la opción A (aplicación de Entra creada automáticamente): use todos los valores rellenados automáticamente a continuación. Para la opción B (aplicación de Entra preexistente): Use el URI de DCE, el identificador inmutable de DCR y los nombres de Stream de abajo, pero use su propio identificador de inquilino, id. de cliente y secreto de cliente de Entra aplicación.

---

Azure valores de configuración:

• Identificador de inquilino: <valor de variable proporcionado en el momento de la instalación>
• Identificador de aplicación (cliente):< valor de variable proporcionado en el momento de la instalación>
• Secreto de cliente: <valor de variable proporcionado en tiempo de instalación>
• URI del punto de conexión de recopilación de datos (DCE):< valor de variable proporcionado en tiempo de instalación>
• Identificador inmutable de la regla de recopilación de datos (DCR): <valor variable proporcionado en tiempo de instalación>
• Eventos de ataque Stream Nombre: <valor de variable proporcionado en tiempo de instalación>
• Incidentes Stream Nombre: <valor de variable proporcionado en tiempo de instalación>

---

Configuración en contrast ADR Platform

1. Inicie sesión en la plataforma de Contrast ADR.
2. Vaya a Integraciones > de administración > Microsoft Sentinel
3. Copie y pegue todos los valores de configuración de arriba:
   • Identificación del inquilino
   • Identificador de aplicación (cliente)
   • Secreto de cliente
   • URI del punto de conexión de recopilación de datos (DCE)
   • Identificador inmutable de la regla de recopilación de datos (DCR)
   • Nombre Stream eventos de ataque
   • Nombre del Stream de incidentes
4. Haga clic en Guardar para completar la integración.

La plataforma Contrast configurará automáticamente la autenticación de OAuth y los puntos de conexión de datos mediante estos valores.

3. Comprobar la ingesta de datos

Compruebe que los datos fluyen de Contrast ADR a Microsoft Sentinel.

Pasos para la comprobación

1. Desencadenamiento de un evento de ataque de prueba en Contrast ADR
2. Espere entre 5 y 10 minutos para que los datos aparezcan en Microsoft Sentinel
3. Ejecute la consulta siguiente para comprobar los eventos de ataque:

ContrastADRAttackEvents_CL
| take 10

4. Comprobar los datos de incidentes:

ContrastADRIncidents_CL
| take 10

5. Compruebe si hay conectividad:

ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)

Si los datos aparecen y IsConnected devuelve true, el conector se configura correctamente.

---

Exportador del conector corelight

Compatible con:Corelight

El conector de datos corelight permite a los respondedores de incidentes y a los cazadores de amenazas que usan Microsoft Sentinel trabajar más rápido y eficazmente. El conector de datos permite la ingesta de eventos de Zeek y Suricata a través de corelight sensors en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Corelight	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione como se esperaba Corelight, que se implementa con la solución Microsoft Sentinel.

1. Obtener los archivos

Póngase en contacto con su TAM, SE o info@corelight.com para obtener los archivos necesarios para la integración de Microsoft Sentinel.

2. Reproducir datos de ejemplo.

Reproduzca los datos de ejemplo para crear las tablas necesarias en el área de trabajo de Log Analytics.

• Envío de datos de ejemplo (solo se necesita una vez por área de trabajo de Log Analytics):< valor de variable proporcionado en el momento de la instalación>

3. Instale el exportador personalizado.

Instale el exportador personalizado o el contenedor de logstash.

4. Configure corelight Sensor para enviar registros al agente de Log Analytics de Azure.

Con los valores siguientes, configure el sensor corelight para usar el exportador de Microsoft Sentinel. Como alternativa, puede configurar el contenedor logstash con estos valores y configurar el sensor para enviar JSON a través de TCP a ese contenedor en el puerto adecuado.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave del área de trabajo principal: <valor de variable proporcionado en el momento de la instalación>

---

Cortex XDR: incidentes

Compatible con:DEFEND Ltd.

Conector de datos personalizados de DEFEND para usar cortex API para ingerir incidentes de la plataforma Cortex XDR en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CortexXDR_Incidents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Credenciales de la API de Cortex: el token de API de Cortex es necesario para la API REST. Para obtener más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Instrucciones de instalación:

Habilitación de la API XDR de Cortex

Conecte Cortex XDR a Microsoft Sentinel a través de cortex API para procesar incidentes de Cortex.

---

Cribl

Compatible con:Cribl

El conector Cribl le permite conectar fácilmente los registros de Cribl (Cribl Enterprise Edition - Independiente) con Microsoft Sentinel. Esto le proporciona más información de seguridad sobre las canalizaciones de datos de su organización.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CriblInternal_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Instrucciones de instalación y configuración de Cribl Stream para Microsoft Sentinel

Use la documentación de este repositorio de GitHub y configure Cribl Stream mediante

https://docs.cribl.io/stream/usecase-azure-workspace/

---

CrowdStrike API Data Connector (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

CrowdStrike Data Connector permite ingerir registros de crowdstrike API en Microsoft Sentinel. Este conector proporciona la capacidad de ingerir alertas, detecciones, hosts, casos y vulnerabilidades de CrowdStrike en Microsoft Sentinel. Este conector se basa en Microsoft Sentinel marco de conector sin código y usa la API CrowdStrike para capturar registros. Admite transformaciones de tiempo de ingesta basadas en DCR para que las consultas se puedan ejecutar de forma más eficaz. Consulte la documentación de CrowdStrike API para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CrowdStrikeAlerts	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Cliente de API de Crowdstrike OAuth2 y ámbitos: se requieren alertas, integraciones de API, registros de aplicaciones, casos, reglas de correlación, detecciones, hosts, recursos, incidentes, Files en cuarentena y vulnerabilidades para la API REST. Para obtener más información, consulte API.

Instrucciones de instalación:

Conexión de CrowdStrike a Microsoft Sentinel

Nota: Aviso importante: La API de incidentes se ha retirado por completo. En su lugar, use el nuevo tipo de datos Cases.

Para recopilar datos de CrowdStrike, debe proporcionar los siguientes recursos.

1. Dirección URL de la API base : para recopilar datos de CrowdStrike, necesitará la dirección URL de la API base.

2. Id. de cliente : para recopilar datos de CrowdStrike, necesitará el identificador de cliente.

3. Secreto de cliente : para recopilar datos de CrowdStrike, necesitará el secreto de cliente.

Para obtener instrucciones detalladas sobre cómo recuperar la dirección URL de la API base, el identificador de cliente y el secreto de cliente, consulte el Tutorial del conector.

• Data Connectors Grid (configurar en el portal)

Consultas de detecciones (después de una conexión correcta)

Una vez que los registros se ingieren, la tabla CrowdStrikeDetections contiene registros de alerta individuales agrupados por aggregate_id. Para ver el comportamiento de nivel de detección verdadero, use la siguiente consulta KQL para agregar alertas por su grupo de detección:

CrowdStrikeDetections
| summarize
  AlertCount = count(),
  FirstSeen = min(CreatedTimestamp),
  LastSeen = max(CreatedTimestamp),
  MaxSeverity = max(Severity)
by AggregateId

---

CrowdStrike Falcon Adversary Intelligence (con Azure Functions)

Compatible con:Microsoft Corporation

El conector CrowdStrike Falcon Indicators of Compromise recupera los indicadores de compromiso de falcon Intel API y los carga Microsoft Sentinel Threat Intel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelIndicators	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Identificador de cliente de API crowdStrike y secreto de cliente: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Las credenciales de CrowdStrike deben tener ámbito de lectura de Indicadores (Falcon Intelligence).

Instrucciones de instalación:

PASO 1: Generación de credenciales de API crowdstrike.

Asegúrese de que el ámbito "Indicadores (Falcon Intelligence)" tiene seleccionada la opción "leer".

PASO 2: Registrar una aplicación de Entra con el secreto de cliente.

Proporcione a la entidad de seguridad de Entra App la asignación de roles "colaborador de Microsoft Sentinel" en el área de trabajo de Log Analytics correspondiente. Cómo asignar roles en Azure.

PASO 3: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector CrowdStrike Falcon Indicator of Compromise, tenga el identificador del área de trabajo (se puede copiar de la siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector CrowdStrike Falcon Adversary Intelligence mediante una instancia de ARM Tempate.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Proporcione los parámetros siguientes: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector CrowdStrike Falcon Adversary Intelligence manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, CrowdStrikeFalconIOCXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.12.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID

12. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

CrowdStrike Falcon Data Replicator (AWS S3) (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector Crowdstrike Falcon Data Replicator (S3) proporciona la capacidad de ingerir datos de eventos FDR en Microsoft Sentinel desde el bucket de AWS S3 donde se han transmitido los registros FDR. El conector proporciona la capacidad de obtener eventos de Falcon Agents, lo que ayuda a examinar posibles riesgos de seguridad, analizar el uso de la colaboración del equipo, diagnosticar problemas de configuración y mucho más.

NOTA:

1. La licencia de CrowdStrike FDR debe estar disponible & habilitada.

2. El conector requiere que se configure un rol de IAM en AWS para permitir el acceso al bucket de AWS S3 y puede que no sea adecuado para entornos que aprovechan CrowdStrike: cubos administrados.

3. Para entornos que aprovechan cubos administrados por CrowdStrike, configure el conector CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CrowdStrike_Additional_Events_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Requisitos: Para poder usar la característica Falcon Data Replicator, se requiere lo siguiente:

1. Suscripción: 1.1. Replicador de datos Falcon. 1.2. Falcon Insight XDR.

2. Roles: 2.1. Administrador de Falcon.

3. Configure los entornos de CrowdStrike & AWS Para configurar el acceso en AWS, use las dos plantillas siguientes proporcionadas para configurar el entorno de AWS. Esto habilitará el envío de registros desde un bucket de S3 al área de trabajo de Log Analytics.

Para cada plantilla, cree Stack en AWS:

1. Vaya a AWS CloudFormation Stacks.
2. Elija la opción "Especificar plantilla" y, a continuación, "Cargar un archivo de plantilla", haga clic en "Elegir archivo" y seleccione el archivo de plantilla de CloudFormation adecuado que se proporciona a continuación. Haga clic en "Elegir archivo" y seleccione la plantilla descargada.
3. Haga clic en "Siguiente" y "Crear pila".

Asegúrese de que el cubo se creará en la misma región de AWS que el Falcon CID donde se aprovisiona la fuente FDR. | Región de CrowdStrike | Región de AWS | |-----------------|-----------| | US-1 | us-west-1 | | US-2 | us-west-2 | | EU-1 | eu-central-1

• Plantilla 1: Implementación de autenticación de OpenID Connect: <valor variable proporcionado en el momento de la instalación>
• Plantilla 2: Implementación de recursos de AWS CrowdStrike: <valor variable proporcionado en el momento> de la instalación Mediante su propio bucket de S3 Para usar su propio bucket de S3, puede consultar la siguiente guía Uso de su propio bucket de S3 o seguir estos pasos:

1. Cree un caso de soporte técnico con el siguiente nombre: Uso del bucket de Self S3 para FDR
2. Agregue la siguiente información: 2.1. Falcon CID donde se aprovisiona la fuente FDR 2.2. Indique qué tipos de eventos desea haber proporcionado en esta nueva fuente de FDR. 2.3. Indique qué tipos de eventos desea haber proporcionado en esta nueva fuente de FDR. 2.4. No use ninguna partición.

Tipo de evento	Prefijo S3
Eventos principales	data/
Eventos secundarios	fdrv2/

2. Conectar nuevos recopiladores Para habilitar AWS S3 para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (mediante Azure Function) (mediante Azure Functions)

Compatible con:Microsoft Corporation

Este conector permite la ingesta de datos FDR en Microsoft Sentinel mediante Azure Functions para admitir la evaluación de posibles riesgos de seguridad, el análisis de actividades de colaboración, la identificación de problemas de configuración y otras conclusiones operativas.

NOTA:

1. La licencia de CrowdStrike FDR debe estar disponible & habilitada.

2. El conector usa una autenticación basada en Key & Secret y es adecuado para cubos administrados por CrowdStrike.

3. Para entornos que usan un bucket de AWS S3 de propiedad completa, Microsoft recomienda usar el conector CrowdStrike Falcon Data Replicator (AWS S3).

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CrowdStrikeReplicatorV2	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de cuenta de SQS y AWS S3: se requiere AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL. Para obtener más información, consulte Extracción de datos. Para empezar, póngase en contacto con el soporte técnico de CrowdStrike. A su solicitud, crearán un bucket S3 de Amazon Web Services (AWS) administrado por CrowdStrike con fines de almacenamiento a corto plazo, así como una cuenta de SQS (servicio de cola simple) para supervisar los cambios en el bucket de S3.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a AWS SQS/S3 para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Requisitos previos

1. Configuración de FDR en CrowdStrike: debes ponerte en contacto con el equipo de soporte técnico de CrowdStrike para habilitar CrowdStrike FDR.
   • Una vez habilitado CrowdStrike FDR, desde la consola de CrowdStrike, vaya a Soporte técnico:> clientes de API y claves.
   • Debe crear nuevas credenciales para copiar el id. de clave de acceso de AWS, la clave de acceso secreta de AWS, la dirección URL de la cola de SQS y la región de AWS.
2. Registro de una aplicación de AAD: para que DCR autentícar para ingerir datos en log analytics, debe usar la aplicación de AAD.
   • Siga las instrucciones que aparecen aquí (pasos del 1 al 5) para obtener el identificador de inquilino de AAD, el identificador de cliente de AAD y el secreto de cliente de AAD.
   • Para el identificador de entidad de seguridad de AAD de esta aplicación, acceda a la aplicación de AAD a través del portal de AAD y capture el identificador de objeto desde la página de información general de la aplicación.

Deployment Options

Elija UNO entre las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector Crowdstrike Falcon Data Replicator V2 mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Proporcione los detalles necesarios, como Microsoft Sentinel Workspace, las credenciales de AWS de CrowdStrike, Azure los detalles de la aplicación de AD y las configuraciones de ingesta.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. Se recomienda crear un nuevo grupo de recursos para la implementación de la aplicación de funciones y los recursos asociados. 3. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 4. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector Crowdstrike Falcon Data Replicator manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de DCE, DCR y tablas personalizadas para la ingesta de datos

2. Implemente las DCE, DCR y las tablas personalizadas necesarias mediante la plantilla de ARM de recursos de recopilación de datos

3. Después de una implementación correcta de DCE y DCR, obtenga la información siguiente y guárdala a mano (necesaria durante la implementación de Azure Functions aplicación).

   • Ingesta de registros de DCE: siga las instrucciones disponibles en Crear punto de conexión de recopilación de datos (paso 3).
   • Identificadores inmutables de uno o más DCR (según corresponda): siga las instrucciones disponibles en Recopilar información del DCR (Stpe 2).

4. Implementación de una aplicación de funciones

5. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

6. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.

7. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

8. Configuración de la aplicación de funciones

9. Vaya a Azure Portal para la configuración de Function App.

10. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

11. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

12. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW //True si se requieren datos sin procesar USER_SELECTION_REQUIRE_SECONDARY //True si se requieren datos secundarios MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 para el consumo y 150 para Premium MAX_SCRIPT_EXEC_TIME_MINUTES // agregue el valor de 10 aquí AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK // El archivo está presente en GitHub. Agregue si se puede acceder al archivo mediante Internet REQUIRED_FIELDS_SCHEMA_LINK //File está presente en GitHub. Agregue si se puede acceder al archivo mediante internet Schedule //Add value as '0 */1 * * * *' para asegurarse de que la función se ejecuta cada minuto.

13. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

CTERA Syslog

Compatible con:CTERA

El conector de datos de CTERA para Microsoft Sentinel ofrece funcionalidades de supervisión y detección de amenazas para la solución CTERA. Incluye un libro que visualiza la suma de todas las operaciones por tipo, eliminaciones y operaciones de acceso denegado. También proporciona reglas analíticas que detectan incidentes de ransomware y le avisan cuando un usuario está bloqueado debido a la actividad sospechosa de ransomware. Además, le ayuda a identificar patrones críticos, como eventos de acceso masivo denegado, eliminaciones masivas y cambios de permisos masivos, lo que permite la administración proactiva de amenazas y la respuesta.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Syslog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Paso 1: Conexión de la plataforma de CTERA a Syslog

Configuración de la conexión de Syslog del portal de CTERA y Edge-Filer conector de Syslog

Paso 2: Instalar Azure Monitor Agent (AMA) en el servidor syslog

Instale Azure Monitor Agent (AMA) en el servidor de Syslog para habilitar la recopilación de datos.

---

CTM360 CyberBlindSpot (sin servidor)

Compatible con:Cyber Threat Management 360

El conector CTM360 Cyber Blind Spot (CBS) proporciona integración con la plataforma CBS de CTM360 para ingerir datos de seguridad en 6 tipos de módulos: incidentes, registros de malware, credenciales infringidas, tarjetas en peligro, infracción de dominio e infracción de subdominios. Este conector usa Codeless Connector Framework (CCF) para la recopilación de datos sin servidor.

Tipos de datos:

• CBSLog_AzureV2_CL
• CBS_MalwareLogs_AzureV2_CL
• CBS_BreachedCredentials_AzureV2_CL
• CBS_CompromisedCards_AzureV2_CL
• CBS_DomainInfringement_AzureV2_CL
• CBS_SubdomainInfringement_AzureV2_CL

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CBSLog_AzureV2_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Clave de API de CBS de CTM360: se requiere una clave de API de punto ciego cibernético CTM360 válida para conectarse al punto de conexión de la API cbs.

Instrucciones de instalación:

Conexión del punto ciego cibernético CTM360 a Microsoft Sentinel

Este conector usa Codeless Connector Framework (CCF) para ingerir datos de CTM360 CBS en Microsoft Sentinel. Los datos se recopilan cada 5 minutos en 6 tipos de módulo diferentes.

Nota: Este conector crea 6 tablas independientes para diferentes tipos de módulos cbs: incidentes, registros de malware, credenciales infringidas, tarjetas en peligro, infracción de dominio y infracción de subdominio.

Paso 1: Obtener claves de API CTM360

Para configurar esta integración, necesitará la clave de API de CBS. Puede obtener estas claves mediante los vínculos siguientes:

Clave de API de CBS encontrada en este vínculo: https://platform.ctm360.com/start/integrations después de iniciar sesión con su cuenta

Paso 2: Configurar conexión

Escriba la clave de la API de CBS CTM360 y conéctese para iniciar la ingesta de datos.

• Clave de LA API de CTM360 CBS: (Escriba la clave de LA API de CBS CTM360)
• Habilitar o deshabilitar la conexión

Paso 3: Comprobar la ingesta de datos

Después de conectarse, los datos deben empezar a fluir en un plazo de entre 5 y 10 minutos. Use las consultas de ejemplo anteriores para comprobar la ingesta de datos para cada tipo de módulo.

Nota: La ingesta de datos inicial puede tardar hasta 30 minutos. El conector sondea cada 5 minutos con una ventana gradual de 5 minutos.

---

CTM360 HackerView (sin servidor)

Compatible con:Cyber Threat Management 360

El conector CTM360 HackerView te permite ingerir problemas de seguridad y vulnerabilidades de la plataforma Detección de ataques externos de HackerView en Microsoft Sentinel. Este conector sin servidor usa la API REST para extraer automáticamente datos de problemas para el análisis y la correlación con otros eventos de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
HackerViewLog_AzureV2_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Clave de API de HackerView: se requiere una clave de API HackerView válida con permisos para acceder a los datos de problemas.

Instrucciones de instalación:

Conexión de CTM360 HackerView a Microsoft Sentinel

Este conector usa la API REST HackerView para ingerir automáticamente problemas de seguridad en Microsoft Sentinel.

Nota: Se trata de un conector sin servidor que usa el marco de conector sin código (CCF) de Azure. No se requiere ninguna implementación de función Azure.

Paso 1: Obtener claves de API CTM360

Para configurar esta integración, necesitará HackerView API Key. Puede obtener estas claves mediante los vínculos siguientes:

Clave de API de HackerView encontrada en este vínculo: https://platform.ctm360.com/start/integrations después de iniciar sesión con su cuenta

Paso 2: Configurar el conector

Escriba la clave de la API HackerView y haga clic en Conectar para iniciar la ingesta de datos.

• Clave de API: (escriba su clave de API HackerView)
• Habilitar o deshabilitar la conexión

Paso 3: Comprobar la ingesta de datos

Después de conectarse, los datos deben empezar a fluir en un plazo de entre 5 y 10 minutos. Ejecute la consulta siguiente para comprobar:

Nota: HackerViewLog_AzureV2_CL | tomar 10

---

Registros personalizados a través de AMA

Compatible con:Microsoft Corporation

Muchas aplicaciones registran información en archivos de texto o JSON en lugar de servicios de registro estándar, como registros de eventos de Windows, Syslog o CEF. El conector de datos registros personalizados le permite recopilar eventos de archivos en equipos windows y Linux y transmitirlos a tablas de registros personalizadas que ha creado. Al transmitir los datos, puede analizar y transformar el contenido mediante DCR. Después de recopilar los datos, puede aplicar reglas analíticas, búsqueda, búsqueda, inteligencia sobre amenazas, enriquecimientos y mucho más.

NOTA: Use este conector para los siguientes dispositivos: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, servidor Apache HTTP, Apache Tomcat, plataforma de aplicaciones Jboss Enterprise, Juniper IDP, MarkLogic Audit, Auditoría de MongoDB, servidor HTTP Nginx, servidor Weblogic de Oracle, eventos postgreSQL, proxy Squid, Ubiquiti UniFi, detección de amenazas de SecurityBridge SAP y flujo vectra de IA.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
JBossEvent_CL	No	No
JuniperIDP_CL	Sí	Sí
ApacheHTTPServer_CL	Sí	Sí
Tomcat_CL	Sí	Sí
meraki_CL	Sí	Sí
VectraStream_CL	No	No
MarkLogicAudit_CL	No	No
MongoDBAudit_CL	Sí	Sí
NGINX_CL	Sí	Sí
OracleWebLogicServer_CL	Sí	Sí
PostgreSQL_CL	Sí	Sí
SquidProxy_CL	Sí	Sí
Ubiquiti_CL	Sí	Sí
vcenter_CL	Sí	Sí
ZPA_CL	Sí	Sí
SecurityBridgeLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos: para recopilar datos de máquinas virtuales que no son Azure, deben tener Azure Arc instalado y habilitado. Más información

Instrucciones de instalación:

Habilitación de la regla de recopilación de datos

Los registros personalizados se recopilan de los agentes de Windows y Linux.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

---

Auditoría de CyberArk

Compatible con:CyberArk Support

El conector de datos CyberArk Audit permite a Microsoft Sentinel ingerir registros de eventos de seguridad y otros eventos del servicio CyberArk Audit a través de la API REST. Esta integración le ayuda a detectar posibles riesgos de seguridad, supervisar la actividad del usuario, analizar patrones de colaboración, solucionar problemas de configuración y obtener información más detallada sobre su entorno.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyberArk_AuditEvents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• CyberArk Audit Service Platform: acceso para realizar las configuraciones necesarias en la plataforma CyberArk Audit

Instrucciones de instalación:

Conéctese a CyberArk Audit API para empezar a recopilar registros de eventos en Microsoft Sentinel

Siga los pasos siguientes para integrar Microsoft Sentinel con CyberArk Audit y habilitar la supervisión centralizada de las actividades del sistema y del usuario dentro de Microsoft Sentinel. También puede consultar la documentación de CyberArk Audit y seguir hasta el paso 5.

Paso 1: Creación de una nueva integración SIEM

1. En el portal de CyberArk, vaya a Administration.
2. Seleccione My environment>>IntegrationsExport to SIEM.
3. En la página Integraciones de SIEM, seleccione Create>Create SIEM integration
4. En la Create a SIEM integration página, seleccione el Identity Administration vínculo para crear una web de servidor de OAuth en Administración de identidades. Paso 2: Creación de una aplicación web de servidor OAuth2 en Administración de identidades
5. En Identity Administration la página, en el menú izquierdo, seleccione Apps & Widgets>Web Apps
6. Seleccione Add Web Apps y cree una OAuth2 server aplicación web de tipo desde la Custom pestaña .
7. Escriba CyberArkAuditforMicrosoftSentinel en los ApplicationID campos y Name .
8. En la Tokens pestaña , asegúrese de que el valor del Token Type campo es jwtR256 y solo se selecciona el Client Creds método de autorización.
9. Haga clic Add en la Scope pestaña y escriba isp.audit.events:read.
10. En la Advanced pestaña , copie y pegue el siguiente script y, a continuación, haga clic en Guardar.

		setClaim('tenant_id', TenantData.Get("CybrTenantID"));
		setClaim('aud', 'cyberark.isp.audit');

7. Haga clic en Save. Paso 3: Creación de un usuario de servicio en Administración de identidades
8. Vaya a , Core Services>Usersseleccione Add User.
9. En la Account sección , escriba y Login nameDisplay name como MicrosoftSentinel. Agregue una nueva contraseña o genere la contraseña automáticamente.
10. Seleccione OAuth confidential client.
11. En la Application Settings pestaña , haga clic en Add.
12. Seleccione la CyberArkAuditforMicrosoftSentinel aplicación. Este es el nombre que creó en el servicio web. Paso 4: Concesión de permisos de aplicación web al usuario del servicio
13. Vaya a la CyberArkAuditforMicrosoftSentinel aplicación web que ha creado.
14. En la Permissions pestaña , haga clic para Add buscar al usuario MicrosoftSentinel y, a continuación, haga clic en Add.
15. Establezca los permisos siguientes para el usuario:
    • Conceder
    • Vista
    • Ejecutar
    • Implementación automática del paso 5: definición de la descripción de la integración
16. Ve a Administration.
17. Seleccione My environment>>IntegrationsExport to SIEM.
18. Seleccione Create>Create SIEM integration.
19. Escriba el nombre como Microsoft Sentinel Integration y, opcionalmente, agregue una descripción.
20. Haga clic en Apply. Paso 6: Conexión del servicio de auditoría CyberArk con Microsoft Sentinel Data Connector

Nota: Copie todos los detalles que capturó en los pasos anteriores y conéctese con el servicio CyberArk Audit.

• Nombre de la aplicación del servidor OAuth2: (por ejemplo, AuditforMicrosoftSentinel)
• Clave de API de auditoría: (La clave de API se puede recuperar del servicio auditar)
• Punto de conexión de identidad: (por ejemplo, kln9281.id.cyberark.cloud)
• Dirección URL base de la API de auditoría: (por ejemplo, org-test.audit.cyberark.cloud)
• Acción de filtro de consulta de auditoría (opcional): (por ejemplo, {"op":"include","params":["cloud.core.login","cloud.core.mfasummary"]})
• Código de aplicación de filtro de consulta de auditoría (opcional): (por ejemplo, {"op":"include","params":["IDP","CMS"]})
• Tipo de auditoría de filtro de consulta de auditoría (opcional): (por ejemplo, {"op":"include","params":["Failure"]})

---

CyberArkAudit (mediante Azure Functions)

Compatible con:CyberArk Support

El conector de datos CyberArk Audit proporciona la capacidad de recuperar registros de eventos de seguridad del servicio CyberArk Audit y más eventos en Microsoft Sentinel a través de la API REST. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyberArk_AuditEvents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Auditar las credenciales y los detalles de las conexiones de la API REST: se requieren OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint y AuditApiBaseUrl para realizar llamadas API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Azure Blob Storage para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage costos. Consulte la página de precios de Azure Functions y Azure Blob Storage página de precios para obtener más información.

NOTA: Las claves de autorización de API o los tokens se almacenan de forma segura en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave.

PASO 1: Pasos de configuración para la integración de SIEM de auditoría de CyberArk

Siga las instrucciones para obtener los detalles de conexión y las credenciales.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos CyberArk Audit, tenga el nombre del área de trabajo y la ubicación del área de trabajo (se pueden copiar de lo siguiente).

• Nombre del área de trabajo: <valor variable proporcionado en tiempo de instalación>
• Ubicación del área de trabajo: <valor variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos CyberArk Audit mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba CyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL e implemente. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos CyberArk Audit manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, CyberArkXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.10.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Alertas accionables de Cybersixgill (mediante Azure Functions)

Compatible con:Cybersixgill

Las alertas accionables proporcionan alertas personalizadas basadas en recursos configurados

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyberSixgill_Alerts_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de API REST: se necesitan Client_ID y Client_Secret para realizar llamadas API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a Cybersixgill API para extraer alertas en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage costos. Consulte la página de precios de Azure Functions y Azure Blob Storage página de precios para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos Cybersixgill Actionable Alerts mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, el identificador de cliente, el secreto de cliente, TimeInterval y la implementación.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos Cybersixgill Actionable Alerts manualmente con Azure Functions (Implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA:Tendrá que preparar el código VS para el desarrollo de funciones Azure.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, CybersixgillAlertsXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): ClientID ClientSecret Polling WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente:https://<CustomerId>.ods.opinsights.azure.us

3. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Alertas de Cyble Vision

Compatible con:Cyble Support

Cyble Vision Alerts CCF Data Connector permite la ingesta de alertas de amenazas de Cyble Vision en Microsoft Sentinel mediante codeless Connector Framework Connector. Recopila datos de alerta a través de la API, los normaliza y los almacena en una tabla personalizada para la detección, correlación y respuesta avanzadas.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CybleVisionAlerts_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Token de Cyble Vision API: se requiere un token de API de Cyble Vision Platform.

Instrucciones de instalación:

Paso 1: Generación de token de API desde Cyble Platform

Vaya a Cyble Platform e inicie sesión con sus credenciales de Cyble Vision.

Una vez que haya iniciado sesión, vaya al panel izquierdo y desplácese hacia abajo hasta Utilidades. Haga clic en Access API (API de acceso). En la esquina superior derecha de la página, haga clic en el icono + (Agregar) para generar una nueva clave de API. Proporcione un alias (un nombre descriptivo para la clave) y haga clic en Generar. Copie el token de API generado y almacénelo de forma segura.

PASO 2: Configuración del conector de datos

Vuelva a Microsoft Sentinel y abra la página de configuración del conector de datos de Cyble Vision Alerts. Pegue el token de API cyble en el campo Token de API en "Detalles de la API".

• Token de API: (Escriba el token de API)
• Intervalo de consulta (en minutos): (Escriba el tiempo en minutos (por ejemplo, 10))
• Habilitar o deshabilitar la conexión

---

Paquetes de búsqueda hunter de seguridad de Cyborg

Compatible con:Cyborg Security

Cyborg Security es un proveedor líder de soluciones avanzadas de búsqueda de amenazas, con la misión de capacitar a las organizaciones con tecnología de vanguardia y herramientas de colaboración para detectar y responder de forma proactiva a las amenazas cibernéticas. La oferta insignia de Cyborg Security, la plataforma HUNTER, combina potentes análisis, contenido de búsqueda de amenazas mantenido y funcionalidades completas de administración de caza para crear un ecosistema dinámico para operaciones eficaces de búsqueda de amenazas.

Siga los pasos para obtener acceso a la comunidad de Cyborg Security y configurar las funcionalidades "Abrir en herramienta" en la Plataforma HUNTER.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityEvent	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Nota: Use el vínculo siguiente para buscar el identificador de Azure tentant Cómo encontrar el identificador de inquilino de Azure Active Directory

• ResourceGroupName & WorkspaceName: <valor de variable proporcionado en tiempo de instalación>
• WorkspaceID: <valor de variable proporcionado en tiempo de instalación>

1. Regístrese en la cuenta de la comunidad HUNTER de Cyborg Security

Cyborg Security ofrece a los memebers de la comunidad acceso a un subconjunto de las colecciones de amenazas emergentes y paquetes de búsqueda.

Cree una cuenta gratuita de Commuinity para obtener acceso a los paquetes de búsqueda de Cyborg Security: Regístrese ahora.

2. Configurar la característica Abrir en herramienta

1. Vaya a la sección Entorno de la plataforma HUNTER.

2. Rellene el URI raíz del entorno en la sección etiquetada Microsoft Sentinel. Reemplace los <elementos> en negrita por los identificadores y nombres de la suscripción, los grupos de recursos y las áreas de trabajo.

   https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/

3. Haga clic en Guardar.

3. Ejecutar un pacakge cazador en Microsoft Sentinel

Identifique un paquete de búsqueda de Cyborg Security HUNTER para implementar y use el botón Abrir en la herramienta para abrir rápidamente Microsoft Sentinel y almacenar provisionalmente el contenido de la búsqueda.

---

Conector de datos de Cyera DSPM Microsoft Sentinel

Compatible con:Cyera Inc

El conector de datos de Cyera DSPM le permite conectarse al inquilino DSPM de Cyera e ingerir clasificaciones, recursos, problemas y recursos de identidad/definiciones en Microsoft Sentinel. El conector de datos se basa en el marco de conector sin código de Microsoft Sentinel y usa la API de Cyera para capturar la telemetría DSPM de Cyera una vez recibida se puede correlacionar con eventos de seguridad que crean columnas personalizadas para que las consultas no tengan que volver a analizarlo, lo que da como resultado un mejor rendimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyeraClassifications_CL	No	No
CyeraAssets_CL	No	No
CyeraAssets_MS_CL	No	No
CyeraIssues_CL	No	No
CyeraIdentities_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Cyera DSPM Authentication

Conéctese a su inquilino de Cyera DSPM a través de tokens de acceso personal

• Identificador de cliente del token de acceso personal de Cyera: (client_id)
• Clave secreta del token de acceso personal de Cyera: (secret_key)
• Habilitar o deshabilitar la conexión

---

Superficie de ataque CYFIRMA

Compatible con:CYFIRMA

N/D

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyfirmaASCertificatesAlerts_CL	Sí	Sí
CyfirmaASConfigurationAlerts_CL	Sí	Sí
CyfirmaASDomainIPReputationAlerts_CL	Sí	Sí
CyfirmaASOpenPortsAlerts_CL	Sí	Sí
CyfirmaASCloudWeaknessAlerts_CL	Sí	Sí
CyfirmaASDomainIPVulnerabilityAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Superficie de ataque CYFIRMA

Conéctese a CYFIRMA Attack Surface para ingerir alertas en Microsoft Sentinel. Este conector usa la API DeCYFIR/DeTCT para recuperar registros y admite transformaciones de tiempo de ingesta basadas en DCR, analizando los datos de seguridad en tablas personalizadas durante la ingesta. Esto elimina la necesidad de analizar el tiempo de consulta, lo que mejora el rendimiento y la eficacia.

• DIRECCIÓN URL de LA API DE CYFIRMA: (https://decyfir.cyfirma.com)
• Clave de API de CYFIRMA: (clave de API de CYFIRMA)
• Delta de API: (API Delta)
• Habilitar o deshabilitar la conexión

---

Inteligencia de marca de CYFIRMA

Compatible con:CYFIRMA

N/D

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyfirmaBIDomainITAssetAlerts_CL	Sí	Sí
CyfirmaBIExecutivePeopleAlerts_CL	Sí	Sí
CyfirmaBIProductSolutionAlerts_CL	Sí	Sí
CyfirmaBISocialHandlersAlerts_CL	Sí	Sí
CyfirmaBIMaliciousMobileAppsAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Inteligencia de marca de CYFIRMA

Conéctese a CYFIRMA Brand Intelligence para ingerir datos de alertas en Microsoft Sentinel. Este conector usa la API de alertas de DeCYFIR/DeTCT para recuperar registros y admite transformaciones de tiempo de ingesta basadas en DCR, analizando los datos de seguridad en tablas personalizadas durante la ingesta. Esto mejora el rendimiento y la eficacia al eliminar la necesidad de análisis en tiempo de consulta.

• DIRECCIÓN URL de LA API DE CYFIRMA: (https://decyfir.cyfirma.com)
• Clave de API de CYFIRMA: (clave de API de CYFIRMA)
• Delta de API: (API Delta)
• Habilitar o deshabilitar la conexión

---

Cuentas en peligro de CYFIRMA

Compatible con:CYFIRMA

El conector de datos CyFIRMA Compromised Accounts permite la ingesta de registros sin problemas desde la API de DeCYFIR/DeTCT en Microsoft Sentinel. Basado en Microsoft Sentinel marco de conector sin código, aprovecha la API DeCYFIR/DeTCT para recuperar registros. Además, admite transformaciones de tiempo de ingesta basadas en DCR, que analizan los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de analizar el tiempo de consulta, lo que mejora el rendimiento y la eficacia.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyfirmaCompromisedAccounts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Cuentas en peligro de CYFIRMA

El conector de datos de cuentas en peligro de CYFIRMA permite la ingesta de registros sin problemas desde la API de DeCYFIR/DeTCT en Microsoft Sentinel. Basado en Microsoft Sentinel marco de conector sin código, aprovecha la API DeCYFIR/DeTCT para recuperar registros. Además, admite transformaciones de tiempo de ingesta basadas en DCR, que analizan los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de analizar el tiempo de consulta, lo que mejora el rendimiento y la eficacia.

• DIRECCIÓN URL de LA API DE CYFIRMA: (https://decyfir.cyfirma.com)
• Clave de API de CYFIRMA: (clave de API de CYFIRMA)
• Delta de API: (API Delta)
• Habilitar o deshabilitar la conexión

---

CYFIRMA Cyber Intelligence

Compatible con:CYFIRMA

El conector de datos CYFIRMA Cyber Intelligence permite la ingesta de registros sin problemas desde la API de DeCYFIR en Microsoft Sentinel. Basado en Microsoft Sentinel marco de conector sin código, aprovecha la API de alertas de DeCYFIR para recuperar registros. Además, admite transformaciones de tiempo de ingesta basadas en DCR, que analizan los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de analizar el tiempo de consulta, lo que mejora el rendimiento y la eficacia.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyfirmaIndicators_CL	Sí	Sí
CyfirmaThreatActors_CL	Sí	Sí
CyfirmaCampaigns_CL	Sí	Sí
CyfirmaMalware_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

CYFIRMA Cyber Intelligence

Este conector proporciona los registros Indicadores, Actores de amenazas, Malware y Campañas de CYFIRMA Cyber Intelligence. El conector usa la API de DeCYFIR para recuperar registros y admite transformaciones de tiempo de ingesta basadas en DCR, analizando los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de analizar el tiempo de consulta, lo que mejora el rendimiento y la eficacia.

• DIRECCIÓN URL de LA API DE CYFIRMA: (https://decyfir.cyfirma.com)
• Clave de API de CYFIRMA: (clave de API de CYFIRMA)
• Extraer todos los IoC de IoC o personalizados: (Todos los IoC o IoC personalizados)
• Delta de API: (API Delta)
• Acciones recomendadas: (La acción recomendada puede ser cualquiera de:All/Monitor/Block)
• Actor de amenaza asociado: (Es cualquier actor de amenaza asociado a ioC)
• Habilitar o deshabilitar la conexión

---

Riesgo digital de CYFIRMA

Compatible con:CYFIRMA

El conector de datos DeCYFIRMA Digital Risk Alerts permite la ingesta de registros sin problemas desde la API de DeCYFIR/DeTCT en Microsoft Sentinel. Basado en Microsoft Sentinel marco de conector sin código, aprovecha la API de alertas de DeCYFIR para recuperar registros. Además, admite transformaciones de tiempo de ingesta basadas en DCR, que analizan los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de analizar el tiempo de consulta, lo que mejora el rendimiento y la eficacia.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyfirmaDBWMPhishingAlerts_CL	Sí	Sí
CyfirmaDBWMRansomwareAlerts_CL	Sí	Sí
CyfirmaDBWMDarkWebAlerts_CL	Sí	Sí
CyfirmaSPESourceCodeAlerts_CL	Sí	Sí
CyfirmaSPEConfidentialFilesAlerts_CL	Sí	Sí
CyfirmaSPEPIIAndCIIAlerts_CL	Sí	Sí
CyfirmaSPESocialThreatAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Riesgo digital de CYFIRMA

Conéctese a las alertas de riesgo digital de CYFIRMA para ingerir registros en Microsoft Sentinel. Este conector usa la API DeCYFIR/DeTCT para recuperar alertas y admite transformaciones de tiempo de ingesta basadas en DCR para un análisis eficaz de registros.

• DIRECCIÓN URL de LA API DE CYFIRMA: (https://decyfir.cyfirma.com)
• Clave de API de CYFIRMA: (clave de API de CYFIRMA)
• Delta de API: (API Delta)
• Habilitar o deshabilitar la conexión

---

Inteligencia sobre vulnerabilidades de CYFIRMA

Compatible con:CYFIRMA

El conector de datos CYFIRMA Vulnerabilities Intelligence permite la ingesta de registros sin problemas desde la API de DeCYFIR en Microsoft Sentinel. Basado en Microsoft Sentinel marco de conector sin código, aprovecha las API de CYFIRMA para recuperar registros. Además, admite transformaciones de tiempo de ingesta basadas en DCR, que analizan los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de analizar el tiempo de consulta, lo que mejora el rendimiento y la eficacia.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyfirmaVulnerabilities_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Inteligencia sobre vulnerabilidades de CYFIRMA

Este conector proporciona los registros de vulnerabilidades de CYFIRMA Vulnerabilities Intelligence. El conector usa la API de DeCYFIR para recuperar registros y admite transformaciones de tiempo de ingesta basadas en DCR, analizando los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de analizar el tiempo de consulta, lo que mejora el rendimiento y la eficacia.

• DIRECCIÓN URL de LA API DE CYFIRMA: (https://decyfir.cyfirma.com)
• Clave de API de CYFIRMA: (clave de API de CYFIRMA)
• Delta de API: (API Delta)
• Vulnerabilidades asociadas al proveedor:
• Vulnerabilidades asociadas al producto:
• Producto con vulnerabilidades de Version-Associated:
• Habilitar o deshabilitar la conexión

---

Eventos de seguridad de Cynerio

Compatible con:Cynerio

El conector Cynerio le permite conectar fácilmente los eventos de seguridad de Cynerio con Microsoft Sentinel, para ver los eventos ids. Esto le proporciona más información sobre la posición de seguridad de la red de la organización y mejora las funcionalidades de las operaciones de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CynerioEvent_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Configuración y conexión de Cynerio

Cynerio puede integrarse con eventos y exportarlos directamente a Microsoft Sentinel a través de Azure Server. Siga estos pasos para establecer la integración:

1. En la consola de Cynerio, vaya a la pestaña Integraciones de configuración > (valor predeterminado) y haga clic en el botón +Agregar integración situado en la parte superior derecha.

2. Desplácese hacia abajo hasta la sección SIEM .

3. En la tarjeta Microsoft Sentinel, haga clic en el botón Conectar.

4. Se abre la ventana Detalles de la integración. Use los parámetros siguientes para rellenar el formulario y configurar la conexión.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Inteligencia sobre amenazas de Cyren

Compatible con:Data443 Risk Mitigation, Inc.

Ingerir indicadores de reputación ip y dirección URL de malware de Cyren mediante Common Connector Framework (CCF).

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Cyren_Indicators_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Tokens JWT de Cyren: tokens JWT almacenados en Azure Key Vault o proporcionados en el momento de la implementación.

Instrucciones de instalación:

Conexión de Cyren Threat Intelligence

Para habilitar el conector de Cyren Threat Intelligence, proporcione los tokens JWT a continuación y haga clic en Conectar.

Nota: Puede usar la fuente o ambas en función de la suscripción. Deje el campo token vacío para cualquier fuente que no haya comprado; solo se implementarán los conectores para los tokens proporcionados.

Para mejorar la seguridad, puede habilitar Key Vault integración para almacenar y recuperar los tokens JWT.

• Token JWT de reputación ip (opcional): (deje vacío si no se compra)
• Token JWT de dirección URL de malware (opcional): (deje vacío si no se compra)
• Habilitar o deshabilitar la conexión

---

Incidentes de SOAR inteligente de D3

Compatible con:D3 Security

El conector de datos D3 Smart SOAR extrae incidentes de D3 Smart SOAR en Microsoft Sentinel mediante el punto de conexión de comando de la API REST sin código D3.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
D3SOARIncidents_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Conexión de D3 Smart SOAR a Microsoft Sentinel

Requisito previo: en D3 Smart SOAR, vaya a Administración de la organización → Sitios, seleccione el sitio que está conectando y establezca su zona horaria en (UTC+00:00) Hora universal coordinada. Esto garantiza que las marcas de tiempo de incidentes se alineen correctamente con Microsoft Sentinel.

Escriba los detalles de la conexión de SOAR inteligente D3 a continuación. Los incidentes se sondearán cada 5 minutos y se escribirán en la tabla de D3SOARIncidents_CL. Dirección URL del servidor: dirección URL base de la implementación de SOAR inteligente de D3, hasta e incluida la ruta de acceso del sitio. No incluya la ruta de acceso de la API. Nombre de usuario: nombre de usuario de la cuenta D3 Smart SOAR (igual que el inicio de sesión del portal). Sitio: nombre del sitio D3 Smart SOAR al que pertenece su cuenta (por ejemplo, Security Operations). D3 JWT : un token web JSON emitido por D3 Smart SOAR para la autenticación de API.

• Dirección URL del servidor: (https://poc.bemimo.com/ce_site/VSOC)
• Nombre de usuario: (administrador)
• Sitio: (Operaciones de seguridad)
• D3 JWT: (ey...)
• Habilitar o deshabilitar la conexión

---

Conector de Darktrace para Microsoft Sentinel API REST

Compatible con:Darktrace

El conector de la API REST de Darktrace inserta eventos en tiempo real de Darktrace en Microsoft Sentinel y está diseñado para usarse con la solución darktrace para Sentinel. El conector escribe registros en una tabla de registros personalizada titulada "darktrace_model_alerts_CL"; Se pueden ingerir infracciones de modelo, incidentes de analistas de inteligencia artificial, alertas del sistema y alertas de Email: se pueden configurar filtros adicionales en la página Configuración del sistema de Darktrace. Los datos se insertan en Sentinel de los maestros de Darktrace.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
darktrace_model_alerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Requisitos previos de Darktrace: para usar este conector de datos, se requiere un patrón de Darktrace que ejecute v5.2 y versiones posteriores. Los datos se envían a la API de recopilador de datos HTTP de Azure Monitor a través de HTTPs desde maestros de Darktrace, por lo que se requiere conectividad saliente desde el maestro de Darktrace a Microsoft Sentinel API REST.
• Filtrar datos de Darktrace: durante la configuración es posible configurar un filtrado adicional en la página Configuración del sistema de Darktrace para restringir la cantidad o los tipos de datos enviados.
• Pruebe la solución de Sentinel de Darktrace: puede sacar el máximo partido a este conector mediante la instalación de la solución darktrace para Microsoft Sentinel. Esto proporcionará libros para visualizar datos de alertas y reglas de análisis para crear automáticamente alertas e incidentes a partir de infracciones del modelo de Darktrace e incidentes de analista de inteligencia artificial.

Instrucciones de instalación:

1. Puede encontrar instrucciones de configuración detalladas en el Portal de clientes de Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
2. Tome nota del identificador del área de trabajo y la clave principal. Deberá especificar estos detalles en la página Configuración del sistema de Darktrace.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Configuración de Darktrace

1. Siga estos pasos en la página Configuración del sistema de Darktrace:
2. Vaya a la página Configuración del sistema (menú > principal Administración > Configuración del sistema)
3. Vaya a Configuración de módulos y haga clic en la tarjeta de configuración "Microsoft Sentinel".
4. Seleccione "HTTPS (JSON)" y presione "Nuevo"
5. Rellene los detalles necesarios y seleccione los filtros adecuados.
6. Haga clic en "Comprobar la configuración de alertas" para intentar la autenticación y enviar una alerta de prueba.
7. Ejecute una consulta de ejemplo "Buscar alertas de prueba" para validar que se ha recibido la alerta de prueba.

---

DataBahn

Compatible con:Databahn

El conector DataBahn proporciona la capacidad de insertar la telemetría de la plataforma en tiempo real desde el entorno de DataBahn directamente en Microsoft Sentinel mediante el patrón push de Codeless Connector Framework (CCF). Este conector ingiere registros de auditoría, alertas operativas e inventario de dispositivos en tablas personalizadas de Log Analytics para el análisis, las alertas y la visualización.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
databahn_audit_logs_CL	No	No
databahn_alerts_CL	No	No
databahn_device_inventory_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario.

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Este conector permite a la plataforma de DataBahn insertar registros de auditoría, alertas e inventario de dispositivos directamente en Microsoft Sentinel a través de Azure Monitor Ingestion API.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Configurar la plataforma de DataBahn

Use los parámetros siguientes para configurar el destino de DataBahn Highway para insertar datos en el área de trabajo.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Registros de auditoría Stream Nombre: <valor de variable proporcionado en tiempo de instalación>
• Alertas Stream Nombre: <valor de variable proporcionado en tiempo de instalación>
• Nombre de Stream de inventario de dispositivos: <valor de variable proporcionado en tiempo de instalación>

---

Datalake2Sentinel

Compatible con:Orange Cyberdefense

Esta solución instala el conector Datalake2Sentinel, que se compila mediante Codeless Connector Framework y permite ingerir automáticamente indicadores de inteligencia sobre amenazas de la plataforma CTI de Datalake Orange Cyberdefense en Microsoft Sentinel a través de la API REST Upload Indicators. Después de instalar la solución, configure y habilite este conector de datos siguiendo las instrucciones de la vista Administrar solución.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Instrucciones de instalación y configuración

Use la documentación de este repositorio de Github para instalar y configurar Datalake en Microsoft Sentinel conector.

https://github.com/cert-orangecyberdefense/datalake2sentinel

---

Dataminr Pulse Alerts Data Connector (con Azure Functions)

Compatible con:Dataminr Support

Dataminr Pulse Alerts Data Connector aporta nuestra inteligencia en tiempo real con tecnología de inteligencia artificial a Microsoft Sentinel para una detección y respuesta de amenazas más rápidas.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DataminrPulse_Alerts_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Azure Suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos necesarios de Dataminr:

a. Los usuarios deben tener un identificador de cliente y un secreto válidos de La API de Pulse de Dataminr para usar este conector de datos.

b. Se deben configurar una o varias listas de reproducción de Pulsos de Dataminr en el sitio web de Dataminr Pulse.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a DataminrPulse en el que los registros se insertan a través de Dataminr RTAP y ingiere registros en Microsoft Sentinel. Además, el conector capturará los datos ingeridos de la tabla de registros personalizados y creará indicadores de inteligencia sobre amenazas en Microsoft Sentinel Threat Intelligence. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Credenciales para el id. de cliente y el secreto de cliente de Dataminr Pulse

• Obtenga el id. de usuario/contraseña de Dataminr Pulse y el id. o secreto de cliente de API de Dataminr Customer Success Manager (CSM).

PASO 2: Configurar listas de reproducción en el portal de Impulso de Dataminr.

Siga los pasos de esta sección para configurar listas de reproducción en el portal:

1. Inicie sesión en el sitio web de Dataminr Pulse.

2. Haga clic en el icono de engranaje de configuración y seleccione Administrar listas.

3. Seleccione el tipo de lista de reproducción que desea crear (Cyber, Topic, Company, etc.) y haga clic en el botón Nueva lista .

4. Proporcione un nombre para la nueva lista de reproducción y seleccione un color de resaltado para ella o mantenga el color predeterminado.

5. Cuando haya terminado de configurar la lista de reproducción, haga clic en Guardar para guardarla.

PASO 3: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de DataminrPulse Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 4: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de DataminrPulse Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de DataminrPulse Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 5: Asignar el rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

1. En el Azure Portal, vaya al grupo de recursos y seleccione el grupo de recursos.
2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
3. Haga clic en Agregar y, a continuación, seleccione Agregar asignación de roles.
4. Seleccione Colaborador como rol y haga clic en Siguiente.
5. En Asignar acceso a, seleccione User, group, or service principal.
6. Haga clic en Agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia:/azure/role-based-access-control/role-assignments-portal

PASO 6: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos Microsoft Sentinel Pulse de Dataminr, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente) fácilmente disponibles.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector DataminrPulse.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la información siguiente: Clave del área de trabajo id. de área de trabajo Nombre de funciónDirectivoTableName ClientId BaseURLSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos Deminr Pulse Microsoft Sentinel manualmente con Azure Functions (Implementación mediante Visual Studio Code).

1) Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, DmPulseXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.8 o superior.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

2) Configurar la aplicación de funciones

1. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
3. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores (distinguen mayúsculas de minúsculas): Clave de área de trabajo del identificador de área de trabajo de nombre de funciónDirectivoTableName ClientId BaseURLSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

PASO 7: Pasos posteriores a la implementación

1) Obtener el punto de conexión de la aplicación de funciones

1. Vaya a Azure página información general de la función y haga clic en "Funciones" en la hoja izquierda.
2. Haga clic en la función denominada "DataminrPulseAlertsHttpStarter".
3. Vaya a "GetFunctionurl" y copie la dirección URL de la función.
4. Reemplace {functionname} por "DataminrPulseAlertsSentinelOrchestrator" en la dirección URL de la función copiada.

2) Para agregar la configuración de integración en Dataminr RTAP mediante la dirección URL de la función

1. Abra cualquier herramienta de solicitud de API como Postman.
2. Haga clic en "+" para crear una nueva solicitud.
3. Seleccione el método de solicitud HTTP como "POST".
4. Escriba la dirección URL prepapred en el punto 1) en el elemento de dirección URL de la solicitud.
5. En Cuerpo, seleccione JSON sin procesar y proporcione el cuerpo de la solicitud como se indica a continuación(distingue mayúsculas de minúsculas): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
6. Después de proporcionar todos los detalles necesarios, haga clic en Enviar.
7. Recibirá un identificador de configuración de integración en la respuesta HTTP con un código de estado de 200.
8. Guarde el identificador de integración para referencia futura.

Ahora hemos terminado con la adición de la configuración de integración para Dataminr RTAP. Una vez que el RTAP de Dataminr envía datos de alerta, se desencadena la aplicación function y debería poder ver los datos de alertas de Dataminr Pulse en la tabla del área de trabajo de LogAnalytics denominada "DataminrPulse_Alerts_CL".

---

Datawiza DAP

Compatible con:Datawiza Technology Inc.

Conecta los registros dap de Datawiza a Azure Log Analytics a través de la interfaz de la API rest

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
datawizaserveraccess_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Paso 1: Leer la documentación detallada

El proceso de instalación se documenta con gran detalle en el sitio de documentación Microsoft Sentinel integración. El usuario debe consultar nuestro soporte técnico (support@datawiza.com) para comprender aún más la instalación y depuración de la integración.

Paso 2: Instalar datawiza Sentinel Connector

El siguiente paso es instalar el reenviador de registros de Datawiza para enviar registros a Microsoft Sentinel. La instalación exacta dependerá de su entorno, consulte la integración Microsoft Sentinel para obtener detalles completos.

Paso 3: Probar la ingesta de datos

Después de aproximadamente 20 minutos, acceda al área de trabajo de Log Analytics en la instalación de Microsoft Sentinel y busque la sección Registros personalizados para comprobar que existe una tabla datawizaserveraccess_CL. Use las consultas de ejemplo para examinar los datos.

---

Derdack SIGNL4

Compatible con:Derdack

Cuando se produce un error en los sistemas críticos o se producen incidentes de seguridad, SIGNL4 puentea la "última milla" con su personal, ingenieros, administradores de TI y trabajadores en el campo. Agrega alertas móviles en tiempo real a los servicios, sistemas y procesos en ningún momento. SIGNL4 lo notifica a través de la inserción móvil persistente, texto SMS y llamadas de voz con confirmación, seguimiento y escalación. La programación integrada de turnos y deberes garantiza que las personas adecuadas sean alertadas en el momento adecuado.

Aprende más >

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityIncident	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

NOTA: Este conector de datos está configurado principalmente en el lado SIGNL4. Puede encontrar un vídeo de descripción aquí: Integrar SIGNL4 con Microsoft Sentinel.

Conector SIGNL4: El conector SIGNL4 para Microsoft Sentinel, Azure Security Center y otros proveedores de Azure Graph API para seguridad proporciona una integración directa y bidireccional con las soluciones de seguridad de Azure. Una vez agregado al equipo de SIGNL4, el conector leerá las alertas de seguridad de Azure Graph API para seguridad y desencadenará automáticamente y desencadenará notificaciones de alertas a los miembros del equipo de servicio. También sincronizará el estado de la alerta de SIGNL4 con Graph API para seguridad, de modo que, si se confirman o cierran las alertas, este estado también se actualiza en la alerta Azure Graph API para seguridad o en el proveedor de seguridad correspondiente. Como se mencionó, el conector usa principalmente Azure Graph API para seguridad, pero para algunos proveedores de seguridad, como Microsoft Sentinel, también usa API REST dedicadas de acuerdo con las soluciones Azure.

Características de Microsoft Sentinel

Microsoft Sentinel es una solución SIEM nativa en la nube de Microsoft y un proveedor de alertas de seguridad en Azure Graph API para seguridad. Sin embargo, el nivel de detalles de alerta disponible con graph API para seguridad es limitado para Microsoft Sentinel. Por lo tanto, el conector puede aumentar las alertas con más detalles (resultados de búsqueda de reglas de conclusiones) de la Microsoft Sentinel área de trabajo de Log Analytics subyacente. Para poder hacerlo, el conector se comunica con Azure API REST de Log Analytics y necesita los permisos correspondientes (consulte a continuación). Además, la aplicación también puede actualizar el estado de Microsoft Sentinel incidentes, cuando todas las alertas de seguridad relacionadas están en curso o resueltas. Para poder hacerlo, el conector debe ser miembro del grupo "Colaboradores de Microsoft Sentinel" de la suscripción de Azure. Implementación automatizada en Azure Las credenciales necesarias para acceder a las API antes mencionadas se generan mediante un pequeño script de PowerShell que puede descargar a continuación. El script realiza las siguientes tareas:

• Inicie sesión en su suscripción de Azure (inicie sesión con una cuenta de administrador)
• Crea una nueva aplicación empresarial para este conector en la Azure AD, también conocida como entidad de servicio.
• Crea un nuevo rol en la Azure IAM que concede permiso de lectura y consulta solo a Azure áreas de trabajo de Log Analytics.
• Une la aplicación empresarial a ese rol de usuario
• Une la aplicación empresarial al rol "Colaboradores de Microsoft Sentinel"
• Genera algunos datos que necesita para configurar la aplicación (consulte a continuación)

Procedimiento de implementación

1. Descargue el script de implementación de PowerShell desde aquí.
2. Revise el script y los roles y ámbitos de permisos que implementa para el nuevo registro de aplicaciones. Si no desea usar el conector con Microsoft Sentinel, puede quitar todo el código de creación de roles y asignación de roles y usarlo solo para crear el registro de aplicaciones (SPN) en el Azure Active Directory.
3. Ejecute el script. Al final, genera información que debe especificar en la configuración de la aplicación del conector.
4. En Azure AD, haga clic en "Registros de aplicaciones". Busque la aplicación con el nombre "SIGNL4AzureSecurity" y abra sus detalles.
5. En la hoja del menú izquierdo, haga clic en "Permisos de API". A continuación, haga clic en "Agregar un permiso".
6. En la hoja que se carga, en "API de Microsoft", haga clic en el icono "Microsoft Graph" y, a continuación, haga clic en "Permiso de aplicación".
7. En la tabla que se muestra, expanda "SecurityEvents" y compruebe "SecurityEvents.Read.All" y "SecurityEvents.ReadWrite.All".
8. Haga clic en "Agregar permisos".

Configuración de la aplicación del conector SIGNL4

Por último, escriba los identificadores que el script ha generado en la configuración del conector:

• Azure identificador de inquilino
• Id. de suscripción a Azure
• Id. de cliente (de la aplicación empresarial)
• Secreto de cliente (de la aplicación empresarial) Una vez habilitada la aplicación, comenzará a leer las alertas de Azure Graph API para seguridad.

NOTA: Inicialmente solo leerá las alertas que se han producido en las últimas 24 horas.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>

---

Digital Shadows Searchlight (con Azure Functions)

Compatible con:Digital Shadows

El conector de datos de Digital Shadows proporciona la ingesta de incidentes y alertas de Digital Shadows Searchlight en el Microsoft Sentinel mediante la API REST. El conector proporcionará la información de incidentes y alertas para que ayude a examinar, diagnosticar y analizar los posibles riesgos y amenazas de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DigitalShadows_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requiere el identificador de cuenta, el secreto y la clave de Digital Shadows . Consulte la documentación para obtener más información sobre la https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionAPI en .

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a "Digital Shadows Searchlight" para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración para la API "Digital Shadows Searchlight"

El proveedor debe proporcionar o vincular a pasos detallados para configurar el punto de conexión de API "Digital Shadows Searchlight" para que la función Azure pueda autenticarse correctamente, obtener su clave de autorización o token y extraer los registros del dispositivo en Microsoft Sentinel.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector "Digital Shadows Searchlight", tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización de api "Digital Shadows Searchlight" o token, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector "Digital Shadows Searchlight".

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, el nombre de usuario de la API, la contraseña de la API, "u otros campos obligatorios".

Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector "Digital Shadows Searchlight" manualmente con Azure Functions.

1. Creación de una aplicación de funciones

1. En el portal de Azure, vaya a Aplicación de funciones.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos, asegúrese de que la pila en tiempo de ejecución está establecida en Python 3.8.
4. En la pestaña Hospedaje, asegúrese de que tipo de plan está establecido en "Consumo (sin servidor)". 5.select Cuenta de almacenamiento
5. "Agregar otras configuraciones necesarias".
6. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

2. Importar código de aplicación de función (implementación zip)

1. Instalación de la CLI de Azure
2. En el terminal, escriba az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> y presione Entrar. Establezca el ResourceGroup valor en: nombre del grupo de recursos. Establezca el FunctionApp valor en: el nombre de la aplicación de función recién creada. Establezca el Zip File valor en: digitalshadowsConnector.zip(ruta de acceso al archivo ZIP). Nota:- Descargar el archivo zip desde el vínculo : Código de la aplicación de funciones

3. Configurar la aplicación de funciones

1. En la pantalla Aplicación de funciones, haga clic en el nombre de la aplicación de funciones y seleccione Configuración.
2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
3. Agregue cada una de las siguientes configuraciones de aplicación "x (número de)" individualmente, en Nombre, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas) en Valor: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (opcional) (agregue cualquier otra configuración requerida por la aplicación de funciones) Establezca el DigitalShadowsURL valor en: https://api.searchlight.app/v1 Establezca el HighVariabilityClassifications valor en: Establezca el valor en: exposed-credential,marked-documentClassificationFilterOperation value to: exclude para excluir la aplicación de funciones o include para incluir la aplicación de funciones

Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Azure Key Vault documentación de referencias para obtener más detalles.

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://< CustomerId.ods.opinsights.azure.us>.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

DNS

Compatible con:Microsoft Corporation

El conector de registro DNS permite conectar fácilmente los registros de análisis y auditoría de DNS con Microsoft Sentinel y otros datos relacionados para mejorar la investigación.

Al habilitar la recopilación de registros DNS, puede hacer lo siguiente:

• Identifique los clientes que intentan resolver nombres de dominio malintencionados.
• Identificar registros de recursos obsoletos.
• Identifique los nombres de dominio consultados con frecuencia y los clientes DNS conversativos.
• Ver la carga de solicitudes en servidores DNS.
• Ver errores de registro de DNS dinámicos.

Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DnsEvents	Sí	Sí
DnsInventory	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Conector de datos doppel

Compatible con:Doppel

El conector de datos se basa en Microsoft Sentinel para eventos y alertas de Doppel y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de eventos de seguridad recibidos en columnas personalizadas para que las consultas no tengan que analizarlos de nuevo, lo que resulta en un mejor rendimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DoppelTable_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra identificador de inquilino, id. de cliente y secreto de cliente: Microsoft Entra ID requiere un identificador de cliente y un secreto de cliente para autenticar la aplicación. Además, se requiere acceso a nivel de propietario o Administración global para asignar a la aplicación registrada Entra un rol de publicador de métricas de supervisión de grupos de recursos.
• Requiere id. de área de trabajo, DCE-URI, DCR-ID: tendrá que obtener el identificador del área de trabajo de Log Analytics, el URI de ingesta de registros DCE y el identificador inmutable de DCR para la configuración.

Instrucciones de instalación:

Configuración de Doppel Webhook

Configure el webhook en Doppel y Endpoint con permisos en Microsoft Sentinel para enviar datos.

Registrar la aplicación en Microsoft Entra ID

1. Abra la página Microsoft Entra ID:

   • Haga clic en el vínculo proporcionado para abrir la página de registro de Microsoft Entra ID en una nueva pestaña.
   • Asegúrese de que ha iniciado sesión con una cuenta que tiene permisos de nivel de Administración.

2. Crear una nueva aplicación:

   • En el portal de Microsoft Entra ID, seleccione Registros de aplicaciones mencionado en la pestaña de la izquierda.
   • Haga clic en + Nuevo registro.
   • Rellene los campos siguientes:

• Nombre: escriba un nombre para la aplicación (por ejemplo, "Doppel App").
• Tipos de cuenta admitidos: elija Solo cuentas en este directorio organizativo (solo directorio predeterminado: inquilino único).
• URI de redireccionamiento: deje este valor en blanco a menos que sea necesario en caso contrario.
  • Haga clic en Registrar para crear la aplicación.

3. Copie los identificadores de aplicación e inquilino:

   • Una vez registrada la aplicación, anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino) en la página Información general . Los necesitará para la integración.

4. Crear un secreto de cliente:

   • En la sección Certificados & secretos, haga clic en + Nuevo secreto de cliente.
   • Agregue una descripción (por ejemplo, "Doppel Secret") y establezca una expiración (por ejemplo, 1 año).
   • Haga clic en Agregar.
   • Copie el valor del secreto de cliente inmediatamente, ya que no se volverá a mostrar.

Asignar el rol "Publicador de métricas de supervisión" a la aplicación

1. Abra el grupo de recursos en Azure Portal:

   • Vaya al grupo de recursos que contiene el área de trabajo de Log Analytics y las reglas de recopilación de datos (DCR) donde quiere que la aplicación inserte datos.

2. Asigne el rol:

   • En el menú Grupo de recursos, haga clic en Control de acceso (IAM) mencionado en la pestaña de la izquierda.
   • Haga clic en + Agregar y seleccione Agregar asignación de roles.
   • En la lista desplegable Rol, busque y seleccione el rol Publicador de métricas de supervisión .
   • En Asignar acceso a, elija Azure usuario, grupo o entidad de servicio de AD.
   • En el campo Seleccionar, busque la aplicación registrada por nombre o identificador de cliente.
   • Haga clic en Guardar para asignar el rol a la aplicación.

Implementación de la plantilla de ARM

1. Recupere el identificador del área de trabajo:

   • Después de asignar el rol, necesitará el identificador del área de trabajo.
   • Vaya al área de trabajo de Log Analytics dentro del grupo de recursos.
   • En la sección Información general, busque el campo Id. del área de trabajo en Detalles del área de trabajo.
   • Copie el identificador del área de trabajo y guárdalo a mano para los pasos siguientes.

2. Haga clic en el botón Implementar en Azure:

   • portal.azure.com.
   • Esto le llevará directamente a la Azure Portal para iniciar la implementación.

3. Revisar y personalizar parámetros:

   • En la página de implementación personalizada, asegúrese de que va a implementar en la suscripción y el grupo de recursos correctos.
   • Rellene los parámetros como el nombre del área de trabajo, el identificador del área de trabajo y la ubicación del área de trabajo.

4. Haga clic en Revisar y crear y, a continuación, en Crear para implementar los recursos.

Comprobación de la configuración de tablas de DCE, DCR y Log Analytics

1. Compruebe el punto de conexión de recopilación de datos (DCE):

   • Después de la implementación, vaya a Azure Portal Data Collection Endpoints (Puntos de conexión de recopilación de datos de Portal>).
   • Compruebe que el punto de conexión DoppelDCE se ha creado correctamente.
   • Copie el URI de ingesta de registros de DCE, ya que lo necesitará para generar la dirección URL del webhook.

2. Confirme la configuración de la regla de recopilación de datos (DCR):

   • Vaya a reglas de recopilación de datos de Azure Portal>.
   • Asegúrese de que la regla DoppelDCR está presente.
   • Copie el identificador inmutable del DCR en la página Información general, ya que lo necesitará para la dirección URL del webhook.

3. Validar tabla de Log Analytics:

   • Vaya al área de trabajo de Log Analytics (vinculada a Microsoft Sentinel).
   • En la sección Tablas, compruebe que la tabla de DoppelTable_CL se ha creado correctamente y que está lista para recibir datos.

Integración de alertas de Doppel con Microsoft Sentinel

1. Recopile la información necesaria:
   • Recopile los siguientes detalles necesarios para la integración:

• Id. de punto de conexión de recopilación de datos (DCE-ID)
• Identificador de regla de recopilación de datos (DCR-ID)
• credenciales de Microsoft Entra: id. de inquilino, id. de cliente y secreto de cliente.

2. Coordinar con el soporte técnico de Doppel:

   • Comparta las credenciales de DCE-ID, DCR-ID y Microsoft Entra recopiladas con la compatibilidad con Doppel.
   • Solicite ayuda para configurar estos detalles en el inquilino de Doppel para habilitar la configuración de webhook.

3. Configuración de Webhook de Doppel:

   • Doppel usará los identificadores de recursos y las credenciales proporcionados para configurar un webhook.
   • Este webhook facilitará el reenvío de alertas de Doppel a Microsoft Sentinel.

4. Compruebe la entrega de alertas en Microsoft Sentinel:

   • Compruebe que las alertas de Doppel se reenvíen correctamente a Microsoft Sentinel.
   • Valide que el libro de Microsoft Sentinel se actualiza con las estadísticas de alerta, lo que garantiza una integración de datos sin problemas.

---

Notificaciones de Dragos a través de Cloud Sitestore

Compatible con:Dragos Inc

Dragos Platform es la plataforma de ciberseguridad industrial líder que ofrece una completa detección de ciberamenazas de tecnología operativa (OT) creada por una experiencia en ciberseguridad industrial sin igual. Esta solución permite ver los datos de notificación de la plataforma Dragos en Microsoft Sentinel para que los analistas de seguridad puedan evaluar los posibles eventos de ciberseguridad que se producen en sus entornos industriales.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DragosAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API de Sitestore de Dragos: una cuenta de usuario de Sitestore que tiene el notification:read permiso . Esta cuenta también debe tener una clave de API que se pueda proporcionar a Sentinel.

Instrucciones de instalación:

Proporcione la siguiente información para permitir que Microsoft Sentinel se conecte a la tienda de sitios de Dragos.

• Nombre de host del almacén de sitios de Dragos: (dragossitestore.example.com)
• Id. de clave de API de Almacén de sitios de Dragos: (Escriba el identificador de clave de API).
• Secreto de clave de API de Almacén de sitios de Dragos: (Escriba el secreto de clave de API)
• Gravedad mínima de notificación. Los valores válidos son de 0 a 5 inclusive. Asegúrese de que sea menor o igual que la gravedad máxima.: (Escriba la gravedad mínima (se recomienda 0 para todas las notificaciones))
• Gravedad máxima de notificación. Los valores válidos son de 0 a 5 inclusive. Asegúrese de que sea mayor o igual que la gravedad mínima.: (Escriba la gravedad máxima (se recomienda 5 para todas las notificaciones))
• Habilitar o deshabilitar la conexión

---

Conector de eventos de Druva

Compatible con:Druva Inc

Proporciona capacidad para ingerir los eventos de Druva desde las API de Druva.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DruvaSecurityEvents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API de Druva: Druva API requiere un identificador de cliente y un secreto de cliente para autenticarse

Instrucciones de instalación:

Nota: Configuraciones para conectarse a la API rest de Druva

Paso 1: Crear credenciales desde la consola de Druva. Consulte este documento para ver los pasos:- https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials

Paso 2: Escriba el nombre de host. Para la nube pública, su apis.druva.com

Paso 3: Escriba el identificador de cliente y la clave secreta de cliente.

Conéctese a Druva API para empezar a recopilar registros en Microsoft Sentinel

Proporcione los valores necesarios:

• Nombre de host: (ejemplo: apis.druva.com)

---

Dynamics 365 Finance y operaciones

Compatible con:Microsoft Corporation

Dynamics 365 for Finance and Operations es una solución completa de planeación de recursos empresariales (ERP) que combina funcionalidades financieras y operativas para ayudar a las empresas a administrar sus operaciones diarias. Ofrece una variedad de características que permiten a las empresas simplificar los flujos de trabajo, automatizar tareas y obtener información sobre el rendimiento operativo.

El conector de datos Dynamics 365 Finance y Operations ingiere las actividades de administración de Dynamics 365 Finance y Operations y los registros de auditoría, así como los registros de procesos empresariales de usuario y actividades de aplicación en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
FinanceOperationsActivity_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra registro de la aplicación: id. de cliente de aplicación y secreto que se usa para acceder a Dynamics 365 Finance y operaciones.

Instrucciones de instalación:

La conectividad con Finance and Operations requiere un registro de aplicación Microsoft Entra (id. de cliente y secreto). También necesitará el identificador de inquilino de Microsoft Entra y la dirección URL de la organización de Finance Operations.

Para habilitar la recopilación de datos, cree un rol en Dynamics 365 Finance y Operations con permisos para ver la entidad Registro de base de datos. Asigne este rol a un usuario dedicado de Finance and Operations, asignado al identificador de cliente de un registro de aplicación Microsoft Entra. Siga estos pasos para completar el proceso:

Paso 1: registro de aplicaciones Microsoft Entra

1. Vaya al portal de Microsoft Entra.
2. En Aplicaciones, haga clic en Registros de aplicaciones y cree un nuevo registro de aplicación (deje todos los valores predeterminados).
3. Abra el nuevo registro de la aplicación y cree un nuevo secreto.
4. Conserve el identificador de inquilino, el identificador de aplicación (cliente) y el secreto de cliente para su uso posterior.

Paso 2: Creación de un rol para la recopilación de datos en Finance and Operations

1. En el portal de Finance and Operations, vaya a Administración del sistema de áreas > de trabajo y haga clic en Configuración de seguridad.
2. En Roles, haga clic en Crear nuevo y asigne un nombre al nuevo rol, por ejemplo, Visor de registros de base de datos.
3. Seleccione el nuevo rol en la lista de roles y haga clic en Privilegios y en Agregar referencias.
4. Seleccione Vista de entidad del registro de base de datos en la lista de privilegios.
5. Haga clic en Objetos no publicados y, a continuación, publicar todo para publicar el rol.

Paso 3: Creación de un usuario para la recopilación de datos en Finance and Operations

1. En el portal de Finance and Operations, vaya a Administración del sistema de módulos > y haga clic en Usuarios.
2. Cree un nuevo usuario y asigne el rol creado en el paso anterior al usuario.

Paso 4: Registro de la aplicación de Microsoft Entra en Finance and Operations

1. En el portal de F&O, vaya a Configuración > de administración > del sistema Microsoft Entra aplicaciones (Azure aplicaciones de Active Directory)
2. Cree una nueva entrada en la tabla. En el campo Id. de cliente , escriba el identificador de aplicación de la aplicación registrada en el paso 1.
3. En el campo Nombre , escriba un nombre para la aplicación.
4. En el campo Id. de usuario , seleccione el identificador de usuario creado en el paso anterior.

Conexión de eventos de Dyanmics 365 Finance and Operations a Microsoft Sentinel

Conexión con credenciales de cliente

Organizaciones

Cada fila representa una conexión finance and operations

• Data Connectors Grid (configurar en el portal)

---

Dynamics365

Compatible con:Microsoft Corporation

El conector de actividades Dynamics 365 Common Data Service (CDS) proporciona información sobre las actividades de administración, usuario y soporte técnico, así como los eventos de registro de Microsoft Social Engagement. Al conectar Dynamics 365 registros de CRM a Microsoft Sentinel, puede ver estos datos en libros, usarlos para crear alertas personalizadas y mejorar el proceso de investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Dynamics365Activity	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Ataques dynatrace V1

Compatible con:Dynatrace

Este conector usa la API REST Dynatrace Attacks para ingerir ataques detectados en Microsoft Sentinel Log Analytics

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DynatraceAttacks_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido con Application Security habilitado, más información sobre la plataforma Dynatrace.
• Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace; el token debe tener ámbito ataques de lectura (attacks.read).

Instrucciones de instalación:

Eventos de ataque de Dynatrace para Microsoft Sentinel

Configure y habilite Dynatrace Application Security. Siga estas instrucciones para generar un token de acceso.

---

Ataques dynatrace V2

Compatible con:Dynatrace

Este conector usa la API REST Dynatrace Attacks para ingerir ataques detectados en Microsoft Sentinel Log Analytics

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DynatraceAttacksV2_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido con Application Security habilitado, más información sobre la plataforma Dynatrace.
• Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace; el token debe tener ámbito ataques de lectura (attacks.read).

Instrucciones de instalación:

Eventos de ataque de Dynatrace para Microsoft Sentinel

Configure y habilite Dynatrace Application Security. Siga estas instrucciones para generar un token de acceso.

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
• Token de acceso de Dynatrace: ({{dynatraceAccessToken}})
• Habilitar o deshabilitar la conexión

---

Registros de auditoría de Dynatrace V1

Compatible con:Dynatrace

Este conector usa la API REST Registros de auditoría de Dynatrace para ingerir registros de auditoría de inquilinos en Microsoft Sentinel Log Analytics

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DynatraceAuditLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido para obtener más información sobre la plataforma Dynatrace Inicie la evaluación gratuita.
• Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace; el token debe tener el ámbito Leer registros de auditoría (auditLogs.read).

Instrucciones de instalación:

Eventos de registro de auditoría de Dynatrace para Microsoft Sentinel

Habilite el registro de auditoría de Dynatrace. Siga estas instrucciones para generar un token de acceso.

---

Registros de auditoría de Dynatrace V2

Compatible con:Dynatrace

Este conector usa la API REST Registros de auditoría de Dynatrace para ingerir registros de auditoría de inquilinos en Microsoft Sentinel Log Analytics

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DynatraceAuditLogsV2_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido para obtener más información sobre la plataforma Dynatrace Inicie la evaluación gratuita.
• Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace; el token debe tener el ámbito Leer registros de auditoría (auditLogs.read).

Instrucciones de instalación:

Eventos de registro de auditoría de Dynatrace para Microsoft Sentinel

Habilite el registro de auditoría de Dynatrace. Siga estas instrucciones para generar un token de acceso.

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
• Token de acceso de Dynatrace: ({{dynatraceAccessToken}})
• Habilitar o deshabilitar la conexión

---

Problemas de Dynatrace V1

Compatible con:Dynatrace

Este conector usa la API REST de problemas de Dynatrace para ingerir eventos de problema en Microsoft Sentinel Log Analytics

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DynatraceProblems_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido para obtener más información sobre la plataforma Dynatrace Inicie la evaluación gratuita.
• Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace; el token debe tener el ámbito Problemas de lectura (problems.read).

Instrucciones de instalación:

Eventos de problema de Dynatrace para Microsoft Sentinel

Siga estas instrucciones para generar un token de acceso.

---

Problemas de Dynatrace V2

Compatible con:Dynatrace

Este conector usa la API REST de problemas de Dynatrace para ingerir eventos de problema en Microsoft Sentinel Log Analytics

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DynatraceProblemsV2_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido para obtener más información sobre la plataforma Dynatrace Inicie la evaluación gratuita.
• Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace; el token debe tener el ámbito Problemas de lectura (problems.read).

Instrucciones de instalación:

Eventos de problema de Dynatrace para Microsoft Sentinel

Siga estas instrucciones para generar un token de acceso.

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
• Token de acceso de Dynatrace: ({{dynatraceAccessToken}})
• Habilitar o deshabilitar la conexión

---

Vulnerabilidades del entorno de ejecución de Dynatrace V1

Compatible con:Dynatrace

Este conector usa la API REST de problemas de seguridad de Dynatrace para ingerir vulnerabilidades en tiempo de ejecución detectadas en Microsoft Sentinel Log Analytics.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DynatraceSecurityProblems_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido con Application Security habilitado, más información sobre la plataforma Dynatrace.
• Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace; el token debe tener el ámbito Problemas de seguridad de lectura (securityProblems.read).

Instrucciones de instalación:

Eventos de vulnerabilidades de Dynatrace para Microsoft Sentinel

Configure y habilite Dynatrace Application Security. Siga estas instrucciones para generar un token de acceso.

---

Vulnerabilidades del entorno de ejecución de Dynatrace V2

Compatible con:Dynatrace

Este conector usa la API REST de problemas de seguridad de Dynatrace para ingerir vulnerabilidades en tiempo de ejecución detectadas en Microsoft Sentinel Log Analytics.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DynatraceSecurityProblemsV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido con Application Security habilitado, más información sobre la plataforma Dynatrace.
• Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace; el token debe tener el ámbito Problemas de seguridad de lectura (securityProblems.read).

Instrucciones de instalación:

Eventos de vulnerabilidades de Dynatrace para Microsoft Sentinel

Configure y habilite Dynatrace Application Security. Siga estas instrucciones para generar un token de acceso.

• Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
• Token de acceso de Dynatrace: ({{dynatraceAccessToken}})
• Habilitar o deshabilitar la conexión

---

Agente elástico

Compatible con:Microsoft Corporation

El conector de datos de Elastic Agent proporciona la capacidad de ingerir registros, métricas y datos de seguridad de Elastic Agent en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ElasticAgentEvent	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Incluir requisitos previos personalizados si la conectividad requiere: elimine las aduanas: descripción de los requisitos previos personalizados

Instrucciones de instalación:

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione como se esperaba ElasticAgentEvent, que se implementa con la solución Microsoft Sentinel.

NOTA: Este conector de datos se ha desarrollado con Elastic Agent 7.14.

1. Instalar e incorporar el agente para Linux o Windows

Instale el agente en el servidor donde se reenvía los registros del agente elástico.

Los registros de agentes elásticos implementados en servidores Linux o Windows los recopilan Linux o los agentes de Windows.

Elija dónde instalar el agente de Linux:

Instalación del agente en Azure Linux máquina virtual

Seleccione la máquina en la que instalar el agente y, a continuación, haga clic en Conectar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Instalación del agente en una máquina que no es Azure Linux

Descargue el agente en el equipo correspondiente y siga las instrucciones.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Elija dónde instalar el agente de Windows:

Instalación del agente en Azure máquina virtual Windows

Seleccione la máquina en la que instalar el agente y, a continuación, haga clic en Conectar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Instalación del agente en una máquina Windows que no es Azure

Descargue el agente en el equipo correspondiente y siga las instrucciones.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

2. Configuración de Elastic Agent (independiente)

Siga las instrucciones para configurar Elastic Agent para que la salida se realice en Logstash.

3. Configurar Logstash para usar el complemento de salida de Microsoft Logstash

Siga los pasos para configurar Logstash para usar el complemento microsoft-logstash-output-azure-loganalytics:

3.1) Compruebe si el complemento ya está instalado: ./logstash-plugin list | grep "azure-loganalytics" (si el complemento está instalado, vaya al paso 3.3)

3.2) Instalar complemento: ./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Configurar Logstash para usar el complemento

4. Validar la ingesta de registros

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben mediante la tabla personalizada especificada en el paso 3.3 (por ejemplo, ElasticAgentLogs_CL).

La conexión puede tardar unos 30 minutos en transmitir datos al área de trabajo.

---

Elastic Agent (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Elastic Agent le permite ingerir métricas del sistema, registros y datos de telemetría recopilados por Elastic Agent de Elasticsearch en Microsoft Sentinel. Este conector usa Elasticsearch Search API con autenticación de clave de API para consultar varios flujos de datos (CPU, memoria, proceso, sistema de archivos, red, carga, tiempo de actividad, métricas de agente y registros). Admite transformaciones de tiempo de ingesta basadas en DCR para una ejecución eficaz de consultas. Para obtener más información, consulte la documentación de la API: https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ElasticAgentLogsV2_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

1. Requisitos previos

Asegúrese de que tiene el acceso y la configuración necesarios.

Requisitos previos

• Una implementación de Elasticsearch (autoadministrado o Elastic Cloud)
• Agente elástico implementado con la integración del sistema habilitada
• Supervisión del agente habilitada para registros y métricas
• Clave de API de Elasticsearch con permisos de lectura en todos los índices
• Conectividad de red desde Microsoft Sentinel al punto de conexión de Elasticsearch

Índices necesarios

El conector consulta los siguientes índices de Elasticsearch:

Métricas:

• metrics-system.cpu-* - Métricas de CPU
• metrics-system.memory-* - Métricas de memoria
• metrics-system.process-* - Métricas de proceso
• metrics-system.filesystem-* - Métricas del sistema de archivos
• metrics-system.network-* - Métricas de red
• metrics-system.load-*- Carga del sistema (solo Linux)
• metrics-system.uptime-* - Tiempo de actividad del sistema
• metrics-elastic_agent.* - Telemetría del agente

Registros:

• logs-elastic_agent-* - Registros del agente

2. Configurar conexiones de Elasticsearch

Agregue una o varias conexiones de Elasticsearch para recopilar datos.

Conexiones de Elasticsearch

Puede agregar varias conexiones para recopilar datos de diferentes implementaciones de Elasticsearch. Cada conexión requiere su propia dirección URL de Elasticsearch y su clave de API.

Creación de una clave de API

1. En Kibana, vaya a Claves de API de Stack Management > .
2. Haga clic en Crear clave de API.
3. Establezca un nombre y configure los permisos:
   • Acceso de lectura a metrics-system.*
   • Acceso de lectura a metrics-elastic_agent.*
   • Acceso de lectura a logs-elastic_agent-*
4. Copia del valor de clave de API codificada en Base64

• Data Connectors Grid (configurar en el portal)

---

Eventos de seguridad del explorador Ermes

Compatible con:Ermes Cyber Security S.p.A.

Eventos de seguridad del explorador Ermes

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ErmesBrowserSecurityEvents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Id. de cliente y secreto de cliente de Ermes: habilitar el acceso de API en Ermes. Póngase en contacto con el soporte técnico de Ermes Cyber Security para obtener más información.

Instrucciones de instalación:

Conexión de eventos de seguridad del explorador Ermes a Microsoft Sentinel

Conexión con credenciales de OAuth2

• DIRECCIÓN URL de API (opcional): (https://api.shield.ermessecurity.com)

---

ESET Protect Platform (mediante Azure Functions)

Compatible con:ESET Enterprise Integrations

El conector de datos de ESET Protect Platform permite a los usuarios insertar datos de detecciones de ESET Protect Platform mediante la API REST de integración proporcionada. La API REST de integración se ejecuta como Azure function app programada.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
IntegrationTable_CL	Sí	Sí
IntegrationTableIncidents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Permiso para registrar una aplicación en Microsoft Entra ID: se requieren permisos suficientes para registrar una aplicación con el inquilino de Microsoft Entra.
• Permiso para asignar un rol a la aplicación registrada: se requiere permiso para asignar el rol Publicador de métricas de supervisión a la aplicación registrada en Microsoft Entra ID.

Instrucciones de instalación:

NOTA: El conector de datos de ESET Protect Platform usa Azure Functions para conectarse a ESET Protect Platform a través de ESET Connect API para extraer los registros de detecciones en Microsoft Sentinel. Este proceso puede dar lugar a costos adicionales de ingesta de datos. Consulte los detalles en la página de precios de Azure Functions.

NOTA: La versión más reciente de ESET PROTECT Platform y la integración de Microsoft Sentinel extrae no solo los registros de detecciones, sino también los incidentes recién creados. Si la integración se configuró antes de la 20.06.2025, siga estos pasos para actualizarla.

Paso 1: Creación de un usuario de API

Use esta instrucción para crear una cuenta de usuario de ESET Connect API con inicio de sesión y contraseña.

Paso 2: Creación de una aplicación registrada

Cree una aplicación Microsoft Entra ID registrada siguiendo los pasos descritos en la instrucción Registrar una nueva aplicación.

Paso 3: Implementación del conector de datos de ESET Protect Platform mediante la plantilla de Azure Resource Manager (ARM)

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione el nombre del área de trabajo de Log Analytics asociada a la Microsoft Sentinel. Seleccione el mismo grupo de recursos que el grupo de recursos del área de trabajo de Log Analytics.

3. Escriba los parámetros de la aplicación registrada en Microsoft Entra ID: Azure id. de cliente, Azure secreto de cliente, Azure identificador de inquilino, id. de objeto. Puede encontrar el identificador de objeto en Azure Portal siguiendo esta ruta de acceso Microsoft Entra ID :> Administrar (en el menú izquierdo) -> Aplicaciones empresariales -> Columna Id. de objeto (el valor junto al nombre de la aplicación registrada).

4. Proporcione el inicio de sesión y la contraseña de la cuenta de usuario de ESET Connect API obtenidos en el paso 1.

5. Seleccione uno o varios productos ESET (ESET PROTECT, ESET Inspect, ESET Cloud Office Security) de los que se recuperan las detecciones.

---

Recopilador local de Exchange Security Insights

Compatible con:Community

Conector que se usa para insertar la configuración de seguridad local de Exchange para el análisis de Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ESIExchangeConfig_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Cuenta de servicio con rol de administración de la organización: la cuenta de servicio que inicia el script como tarea programada debe ser Administración de la organización para poder recuperar toda la información de seguridad necesaria.
• Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí. >

Instrucciones de instalación:

1. Instalar el script del recopilador de ESI en un servidor con Exchange Administración consola de PowerShell

Este es el script que recopilará información de Exchange para insertar contenido en Microsoft Sentinel.

Implementación de scripts

Descarga de la versión más reciente de ESI Collector

La versión más reciente se puede encontrar aquí: https://aka.ms/ESI-ExchangeCollector-Script. El archivo que se va a descargar es CollectExchSecIns.zip

Copia de la carpeta de script

Descomprima el contenido y copie la carpeta de scripts en un servidor donde están presentes los cmdlets de Exchange PowerShell.

Desbloquear los scripts de PS1

Haga clic con el botón derecho en cada script ps1 y vaya a la pestaña Propiedades. Si el script está marcado como bloqueado, desbloquee el script. También puede usar el cmdlet 'Unblock-File . en la carpeta descomprimida mediante PowerShell.

**Configurar el acceso de red **

Asegúrese de que el script puede ponerse en contacto con Azure Analytics (*.ods.opinsights.azure.com).

2. Configuración del script del recopilador de ESI

Asegúrese de ser administrador local del servidor. En el modo "Ejecutar como administrador", inicie el script "setup.ps1" para configurar el recopilador. Rellene la información del área de trabajo de Log Analytics (Microsoft Sentinel). Rellene el nombre del entorno o deje vacío. De forma predeterminada, elija "Def" como Análisis predeterminado. Las otras opciones son para un uso específico.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

3. Programar el script del recopilador de ESI (si no lo hace el script de instalación debido a la falta de permiso o ignorado durante la instalación)

El script debe programarse para enviar la configuración de Exchange a Microsoft Sentinel. Se recomienda programar el script una vez al día. La cuenta usada para iniciar el script debe ser miembro del grupo Administración de la organización.

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado. Los analizadores se implementan automáticamente con la solución. Siga los pasos para crear el alias de Kusto Functions: ExchangeAdminAuditLogs

Los analizadores se implementan automáticamente durante la implementación de la solución. Si desea realizar la implementación manualmente, siga los pasos que se indican a continuación.

Implementación manual del analizador

1. Descargar el archivo del analizador

La versión más reciente del archivo ExchangeAdminAuditLogs

2. Creación de la función Parser ExchangeAdminAuditLogs

En el explorador de registros del análisis de registros del Microsoft Sentinel, copie el contenido del archivo en el Explorador de registros.

3. Guardar función ExchangeAdminAuditLogs del analizador

Haga clic en el botón Guardar. No se necesita ningún parámetro para este analizador. Vuelva a hacer clic en Guardar.

---

Recopilador de Exchange Security Insights Online (mediante Azure Functions)

Compatible con:Community

Conector que se usa para insertar la configuración de seguridad de Exchange Online para el análisis de Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ESIExchangeOnlineConfig_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• permisos microsoft.automation/automationaccounts: se necesitan permisos de lectura y escritura para crear un Azure Automation con un Runbook. Para obtener más información, consulte Cuenta de Automation.
• Permisos de Microsoft.Graph: los permisos Groups.Read, Users.Read y Auditing.Read son necesarios para recuperar información de usuario o grupo vinculada a asignaciones de Exchange Online. Consulte la documentación para obtener más información.
• permisos Exchange Online: se necesitan los permisos Exchange.ManageAsApp y Lector global o Rol de lector de seguridad para recuperar la configuración de seguridad de Exchange Online.Consulte la documentación para obtener más información.
• (Opcional) Permisos de Log Storage: el colaborador de datos de Storage Blob a una cuenta de almacenamiento vinculada a la identidad administrada de la cuenta de Automation o un identificador de aplicación es obligatorio para almacenar los registros. Consulte la documentación para obtener más información.

Instrucciones de instalación:

NOTA: ACTUALIZACIÓN

Note:

NOTA: ACTUALIZAR:

Se recomienda actualizar el recopilador a la versión 7.6.0.0 o superior. El procedimiento de actualización de script de recopilador se puede encontrar aquí: ESI Online Collector Update

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado. Siga los pasos de cada analizador para crear el alias de Kusto Functions: ExchangeConfiguration y **ExchangeEnvironmentList STEP 1 - Parsers deployment**

Implementación del analizador (cuando se usa la solución de seguridad de Microsoft Exchange, los analizadores se implementan automáticamente)

1. Descargar los archivos del analizador

La versión más reciente de los dos archivos ExchangeConfiguration.yaml y ExchangeEnvironmentList.yaml

2. Crear función ExchangeConfiguration del analizador

En el explorador de registros del análisis de registros del Microsoft Sentinel, copie el contenido del archivo en el Explorador de registros.

3. Guardar función ExchangeConfiguration del analizador

Haga clic en el botón Guardar. Defina los parámetros como se le pide en el encabezado del archivo del analizador. Vuelva a hacer clic en Guardar.

4. Reproducir los mismos pasos para Parser ExchangeEnvironmentList

Reproducir los pasos 2 y 3 con el contenido del archivo "ExchangeEnvironmentList.yaml"

NOTA: Este conector usa Azure Automation para conectarse a "Exchange Online" para extraer su análisis de seguridad en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Automation para obtener más información.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y el Azure Automation asociado

IMPORTANTE: Antes de implementar el conector "ESI Exchange Online Security Configuration", tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como el nombre del inquilino de Exchange Online (contoso.onmicrosoft.com), fácilmente disponibles.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector "ESI Exchange Online Security Configuration".

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, el nombre del inquilino, "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente el conector "CONFIGURACIÓN de seguridad Exchange Online ESI" manualmente con Azure Automation.

R. Creación de la cuenta de Azure Automation

1. En el portal de Azure, vaya a Azure Automation cuenta.
2. Haga clic en + Agregar en la parte superior.
3. En la pestaña Aspectos básicos, rellene los campos necesarios y asigne un nombre al Azure Automation.
4. En las pestañas Avanzadas y Redes y Etiquetas , deje los campos como predeterminados si no necesita personalizarlos.
5. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

B. Agregar módulo de administración de Exchange Online, módulos de Microsoft Graph (autenticación, usuario y grupo)

1. En la página Cuenta de Automation, seleccione Módulos.
2. Haga clic en Examinar galería y busque el módulo ExchangeOnlineManagement .
3. Selecciónelo y haga clic en Seleccionar.
4. Elija el campo Versión 5.1 en Versión en tiempo de ejecución y haga clic en el botón Importar. Repita el paso de los módulos siguientes: "Microsoft.Graph.Authentication", "Microsoft.Graph.Users" y "Microsoft.Graph.Groups". Atención, debe esperar a la instalación de Microsoft.Graph.Authentication antes de procesar los módulos siguientes.

C. Descarga del contenido del runbook

1. Descargue la versión más reciente de ESI Collector. La versión más reciente se puede encontrar aquí: https://aka.ms/ESI-ExchangeCollector-Script
2. Descomprima el archivo para buscar el archivo JSON y el archivo PS1 para el paso siguiente.

D. Creación de runbook

1. En la página Cuenta de Automation, seleccione el botón Runbooks .
2. Haga clic en Crear un runbook y asígnele el nombre "ESI-Collector" con un tipo de runbook PowerShell, versión 5.1 en tiempo de ejecución y haga clic en "Crear".
3. Importe el contenido del archivo PS1 del paso anterior en la ventana Runbook.
4. Haga clic en Publicar.

E. Creación de una variable GlobalConfiguration

1. En la página Cuenta de Automation, seleccione el botón Variables .
2. Haga clic en Agregar una variable y asígnele el nombre exaclty "GlobalConfiguration" con un tipo String.
3. En el campo "Valor", copie el contenido del archivo JSON del paso anterior.
4. Dentro del contenido, reemplace los valores de WorkspaceID y WorkspaceKey.
5. Haga clic en el botón "Crear".

F. Creación de una variable TenantName

1. En la página Cuenta de Automation, seleccione el botón Variables .
2. Haga clic en Agregar una variable y asígnele el nombre exaclty "TenantName" con un tipo String.
3. En el campo "Valor", escriba el nombre del inquilino de la Exchange Online.
4. Haga clic en el botón "Crear".

G. Creación de una variable LastDateTracking

1. En la página Cuenta de Automation, seleccione el botón Variables .
2. Haga clic en Agregar una variable y asígnele el nombre "LastDateTracking" con un tipo String.
3. En el campo "Valor", escriba "Nunca".
4. Haga clic en el botón "Crear".

H. Creación de una programación de runbook

1. En la página Cuenta de Automation, seleccione el botón Runbook y haga clic en el runbook creado.
2. Haga clic en Programaciones y en el botón Agregar una programación .
3. Haga clic en Programar, Agregue una programación y asígnele un nombre. Seleccione Valor periódico con una recurencia de cada 1 día y haga clic en "Crear".
4. Haga clic en "Configurar parámetros y ejecutar opciones". Deje todo vacío y haga clic en Aceptar y aceptar de nuevo.

PASO 3: Asignar permiso de Microsoft Graph y permiso de Exchange Online a una cuenta de identidad administrada

Para poder recopilar Exchange Online información y poder recuperar la información de usuario y la lista de miembros de los grupos de administración, la cuenta de automation necesita varios permisos.

Asignación de permisos por script

R. Descargar script de permiso

Script de actualización de permisos

B. Recupere el GUID de identidad administrada de Azure Automation e insérelo en el script descargado.

1. Vaya a la cuenta de Automation, en la sección Identidad . Puede encontrar el Guid de la identidad administrada.
2. Reemplace el GUID de $MI_ID = "XXXXXXXXXXX" por el GUID de la identidad administrada.

C. Iniciar el script con una cuenta de administrador global

Atención este script requiere módulos MSGraph y Administración consentimiento para acceder a su inquilino con Microsoft Graph. El script agregará 3 permisos a la identidad administrada: 1. Exchange Online permiso ManageAsApp 2. User.Read.All en Microsoft Graph API 3. Group.Read.All en Microsoft Graph API

D. asignación de roles Exchange Online

1. Como administrador global, vaya a Roles y administradores.
2. Seleccione Rol lector global o Lector de seguridad y haga clic en "Agregar asignaciones".
3. Haga clic en "No se ha seleccionado ningún miembro" y busque el nombre de la cuenta de identidad administrada empezando por el nombre de la cuenta de automation , como "ESI-Collector". Selecciónelo y haga clic en "Seleccionar".
4. Haga clic en Siguiente y valide la asignación haciendo clic en Asignar.

---

ExtraHop Detections Data Connector

Compatible con:ExtraHop Support

ExtraHop Detections Data Connector le permite importar datos de detección de ExtraHop RevealX para Microsoft Sentinel a través de cargas de webhook. Los datos se ingieren mediante Azure Monitor Log Ingestion API a través de una regla de recopilación de datos (DCR).

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ExtraHop_Detections_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Azure Suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en Microsoft Entra ID, crear un punto de conexión de recopilación de datos, una regla de recopilación de datos y asignar los roles necesarios.
• Microsoft Entra registro de aplicaciones: se requiere un registro de aplicación de Microsoft Entra ID (entidad de servicio) con un secreto de cliente. Se debe proporcionar el identificador de objeto de la aplicación para que la implementación pueda asignarle el rol necesario para publicar registros a través de la API de ingesta de registros.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Permisos de ExtraHop RevealX: se requiere lo siguiente en el sistema ExtraHop RevealX:

1. El sistema RevealX debe ejecutar la versión de firmware 9.9.2 o posterior.
2. El sistema RevealX debe estar conectado a ExtraHop Cloud Services.
3. La cuenta de usuario debe tener privilegios de administración del sistema en RevealX 360 o privilegios de escritura completa en RevealX Enterprise.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para recibir cargas de webhook extrahop e ingerirlas en Microsoft Sentinel mediante la API de ingesta de registros de Azure Monitor (ingesta basada en DCR). Esto reemplaza a la API de recopilador de datos HTTP de Log Analytics heredada. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura las credenciales de API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo esperado, que se implementa como parte de la solución. Para ver el código de función en Log Analytics, abra la hoja Log Analytics/Microsoft Sentinel Logs, haga clic en Funciones y busque el alias ExtraHopDetections. y cargue el código de función o haga clic aquí. La función normalmente tarda entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

Configuración:

PASO 1: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación (por ejemplo, ExtraHopSentinelConnector).
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de ExtraHop Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 2: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de ExtraHop Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de ExtraHop Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 3: Obtención del identificador de objeto de la aplicación en Microsoft Entra ID

Después de crear el registro de la aplicación, siga los pasos de esta sección para obtener el identificador de objeto:

1. Ve a Microsoft Entra ID.
2. Seleccione Aplicaciones empresariales en el menú de la izquierda.
3. Busque la aplicación recién creada en la lista (puede buscar por el nombre que proporcionó).
4. Haga clic en la aplicación.
5. En la página de información general, copie el identificador de objeto. Este es el AzureEntraObjectID necesario para la asignación de roles de plantilla de ARM.

PASO 4: Implementación del conector de datos ExtraHop

IMPORTANTE: Antes de implementar el conector de datos extrahop, tenga los detalles del registro de aplicaciones de Microsoft Entra ID (id. de cliente, secreto de cliente, identificador de inquilino e id. de objeto) disponibles fácilmente.

Implemente el conector de datos extrahop detections:

Use este método para la implementación automatizada del conector de datos de detecciones extrahop.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la región preferidos.

3. Escriba la información siguiente:

   a. FunctionName : escriba el nombre de la aplicación de funciones (que se usa para asignar un nombre a todos los recursos relacionados). Debe tener entre 1 y 11 caracteres. Predeterminado: ExtraHop

   b. Ubicación : ubicación en la que se deben implementar las reglas de recopilación de datos y los puntos de conexión de recopilación de datos.

   c. WorkspaceName: escriba Microsoft Sentinel nombre del área de trabajo de Log Analytics.

   d. AzureClientId: escriba Azure id. de cliente que ha creado durante el registro de la aplicación.

   e. AzureClientSecret: escriba Azure secreto de cliente que ha creado durante la creación del secreto de cliente.

   f. AzureEntraObjectID: escriba el identificador de objeto de la aplicación de Microsoft Entra

   g. TenantId: escriba el identificador de inquilino de la Microsoft Entra ID

   h. DetectionsTableName : escriba el nombre de la tabla utilizada para almacenar los registros de detecciones de ExtraHop. El valor predeterminado es "ExtraHop_Detections"

   i. LogLevel : seleccione el nivel de registro o el valor de gravedad del registro en Depurar, Información, Error, Advertencia. De forma predeterminada, se establece en Información.

   j. AppInsightsWorkspaceResourceID : migración de Application Insights clásica al área de trabajo de Log Analytic que se retirará antes del 29 de febraury 2024. Use la hoja "Log Analytic Workspace-->Properties" con el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

PASO 5: Posterior a la implementación

Después de una implementación correcta, configure la conexión de webhook de ExtraHop RevealX para Microsoft Sentinel.

1) Obtener el punto de conexión de function app

1. Vaya a la página de información general de la función Azure y haga clic en la pestaña Funciones.
2. Haga clic en la función denominada ExtraHopHttpStarter.
3. Vaya a Get Function URL (Obtener dirección URL de función) y copie la dirección URL de la función disponible de forma predeterminada (clave de función).
4. Reemplace {functionname} por ExtraHopDetectionsOrchestrator en la dirección URL de la función copiada.

2) Configurar una conexión a Microsoft Sentinel y especificar criterios de carga de webhook de RevealX

Desde el sistema ExtraHop, configure la integración de Microsoft Sentinel para establecer una conexión entre Microsoft Sentinel y ExtraHop RevealX y para crear reglas de notificación de detección que enviarán datos de webhook a Microsoft Sentinel. Para obtener instrucciones detalladas, consulte Integración de ExtraHop RevealX con Microsoft Sentinel SIEM.

Una vez configuradas las reglas de notificación y Microsoft Sentinel recibe datos de webhook, se desencadena function app y puede ver las detecciones de ExtraHop desde la tabla personalizada del área de trabajo de Log Analytics. Use la función analizador ExtraHopDetections para obtener una vista normalizada de los datos.

---

F5 BIG-IP

Compatible con:F5 Networks

El conector de firewall F5 permite conectar fácilmente los registros F5 con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le proporciona más información sobre la red de su organización y mejora las funcionalidades de las operaciones de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
F5Telemetry_LTM_CL	No	No
F5Telemetry_system_CL	Sí	Sí
F5Telemetry_ASM_CL	No	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Configuración y conexión de F5 BIGIP

Para conectar F5 BIGIP, debe publicar una declaración JSON en el punto de conexión de API del sistema. Para obtener instrucciones sobre cómo hacerlo, consulte Integración de F5 BGIP con Microsoft Sentinel.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Feedly IoC

Compatible con:Feedly Inc

El conector de datos de IoC de Feedly proporciona la capacidad de ingerir indicadores de riesgo (IOC) de feedly API en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
feedly_indicators_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Acceso a la API de feedly: se requiere acceso a la API de Feedly. Necesita un token de API de Feedly con acceso a las secuencias de IoC que desea ingerir. Generación del token de API en https://feedly.com/i/team/api

Instrucciones de instalación:

Conéctese a Feedly para empezar a recopilar IOC en Microsoft Sentinel

1. Vaya a https://feedly.com/i/team/api y genere un nuevo token de API para el conector.
2. En Sentinel, en la página del conector, proporcione la clave de API de feedly y los identificadores de Stream. A continuación, haga clic en "Conectar".

• Clave de API de Feedly: (Escriba el token de API de Feedly)
• Identificadores de Stream de fuentes: (streamId1,streamId2,streamId3)
• Habilitar o deshabilitar la conexión

---

Conector de inserción de flare

Compatible con:Flare

El conector flare proporciona la capacidad de ingerir datos de inteligencia sobre amenazas y exposición de Flare en Microsoft Sentinel. Flare identifica los recursos digitales de la empresa que están disponibles públicamente debido a errores humanos o ataques malintencionados, como credenciales filtradas, cubos en la nube expuestos, menciones de darkweb y mucho más.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
FireworkV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR).
• Flare: permiso para configurar la integración de Microsoft Sentinel en Flare.

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Este conector permite a Flare enviar datos de exposición a amenazas a Microsoft Sentinel. Cuando el reenvío de datos está habilitado en Flare, los datos de eventos sin procesar se envían de forma segura a la API de ingesta de Microsoft Sentinel.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se crearán tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Configurar Flare para enviar registros a Microsoft Sentinel

Use los parámetros siguientes para configurar Flare para enviar registros al área de trabajo.

• Entra id. de aplicación (cliente):< valor de variable proporcionado en tiempo de instalación>
• Entra Id. de directorio (inquilino):< valor de variable proporcionado en tiempo de instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Dirección URL de ingesta de registro: <valor de variable proporcionado en el momento de la instalación>

3. Configurar el canal de alertas en Flare

Como administrador de la organización, puede configurar un canal de alertas en Flare para enviar datos a Sentinel.

1. Autenticación en Flare
2. Acceda a la página de alertas para crear un nuevo canal de alertas.
3. Seleccione "Microsoft Sentinel" y copie los campos anteriores en el formulario.

Para más información, consulte la documentación de Flare.

---

DLP de punto de fuerza

Compatible con:Community

El conector DLP de Forcepoint (prevención de pérdida de datos) permite exportar automáticamente los datos de incidentes DLP de Forcepoint DLP a Microsoft Sentinel en tiempo real. Esto enriquece la visibilidad de las actividades del usuario y los incidentes de pérdida de datos, permite una correlación adicional con los datos de Azure cargas de trabajo y otras fuentes, y mejora la funcionalidad de supervisión con libros dentro de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ForcepointDLPEvents_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Siga las instrucciones paso a paso de la documentación de DLP de Forcepoint para Microsoft Sentinel para configurar este conector.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Forescout

Compatible con:Microsoft Corporation

El conector de datos forescout proporciona la capacidad de ingerir eventos Forescout en Microsoft Sentinel. Consulte la documentación de Forescout para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ForescoutEvent	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto ForescoutEvent, que se implementa con la solución Microsoft Sentinel.

NOTA: Este conector de datos se ha desarrollado con la versión del complemento Syslog de Forescout: v3.6

1. Instalar e incorporar el agente para Linux o Windows

Instale el agente en el servidor donde se reenvía los registros de Forescout.

Los registros de Forescout Server implementados en servidores Linux o Windows los recopilan Linux o los agentes de Windows.

Elija dónde instalar el agente de Linux:

Instalación del agente en Azure Linux máquina virtual

Seleccione la máquina en la que instalar el agente y, a continuación, haga clic en Conectar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Instalación del agente en una máquina que no es Azure Linux

Descargue el agente en el equipo correspondiente y siga las instrucciones.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Elija dónde instalar el agente de Windows:

Instalación del agente en Azure máquina virtual Windows

Seleccione la máquina en la que instalar el agente y, a continuación, haga clic en Conectar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Instalación del agente en una máquina Windows que no es Azure

Descargue el agente en el equipo correspondiente y siga las instrucciones.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

2. Configuración de los registros que se van a recopilar

Configure las instalaciones que desea recopilar y sus gravedades.

1. En Configuración avanzada del área de trabajo , seleccione Datos y, a continuación, Syslog.
2. Seleccione Aplicar la configuración siguiente a mis máquinas y seleccione las instalaciones y gravedades.
3. Haga clic en Guardar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

3. Configurar el reenvío de eventos de Forescout

Siga los pasos de configuración siguientes para obtener los registros de Forescout en Microsoft Sentinel.

1. Seleccione un dispositivo para configurar.
2. Siga estas instrucciones para reenviar alertas desde la plataforma Forescout a un servidor syslog.
3. Configure los valores en la pestaña Desencadenadores de Syslog.

---

Monitor de propiedades de host de forescout

Compatible con:Microsoft Corporation

El conector del Monitor de propiedades de host de Forescout permite conectar propiedades de host desde la plataforma Forescout con Microsoft Sentinel, ver, crear incidentes personalizados y mejorar la investigación. Esto le proporciona más información sobre la red de su organización y mejora las capacidades de operación de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ForescoutHostProperties_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Requisito del complemento Forescout: asegúrese de que el complemento Forescout Microsoft Sentinel se ejecuta en la plataforma Forescout.

Instrucciones de instalación:

Las instrucciones sobre cómo configurar el complemento forescout Microsoft Sentinel se proporcionan en el Portal de documentación de Forescout (https://docs.forescout.com/bundle/sentinel-1-0-h)

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Fortinet FortiNDR Cloud

Compatible con:Fortinet

El conector de datos FortiNDR Cloud de Fortinet proporciona la capacidad de ingerir datos de Fortinet FortiNDR Cloud en Microsoft Sentinel mediante fortiNDR Cloud API

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
FncEventsSuricata_CL	No	No
FncEventsObservation_CL	No	No
FncEventsDetections_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de MetaStream: se requiere el identificador de clave de acceso de AWS, la clave de acceso secreta de AWS y el código de cuenta en la nube de FortiNDR para recuperar datos de eventos.
• Credenciales de API: el token de API en la nube de FortiNDR, el UUID de la cuenta en la nube de FortiNDR son necesarios para recuperar los datos de detección.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a fortiNDR Cloud API para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector usa un analizador basado en una función kusto para normalizar los campos. Siga estos pasos para crear el alias de función Kusto Fortinet_FortiNDR_Cloud.

PASO 1: Pasos de configuración para la colección de registros en la nube fortiNDR de Fortinet

El proveedor debe proporcionar o vincular a pasos detallados para configurar el punto de conexión de API "PROVIDER NAME APPLICATION NAME" para que la función Azure pueda autenticarse correctamente, obtener su clave de autorización o token y extraer los registros del dispositivo en Microsoft Sentinel.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector FortiNDR Cloud de Fortinet, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las credenciales de la API en la nube de FortiNDR (disponibles en la administración de cuentas de FortiNDR Cloud), fácilmente disponibles.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector FortiNDR Cloud de Fortinet.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos (asegúrese de usar la misma ubicación que el grupo de recursos y de que la ubicación sea compatible con el consumo flexible.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, AwsAccessKeyId, AwsSecretAccessKey u otros campos obligatorios.

4. Haga clic en Crear para implementar.

---

Conector de datos de Fortra Agari (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Fortra Agari permite ingerir registros de las API de Fortra Agari en Microsoft Sentinel. Este conector se integra con los productos Agari Brand Protection (BP), Phishing Defense (APD) y Phishing Response (APR). Admite transformaciones de tiempo de ingesta basadas en DCR para una ejecución eficaz de consultas. Consulte la documentación de Agari API para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AgariBPAlertsLog_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Pasos de configuración para agari API

Siga las instrucciones siguientes para obtener las credenciales de la API de Agari.

1. Recupere la dirección URL de API Inicie sesión en la consola de Agari y vaya a la sección API. La dirección URL de API predeterminada es https://api.agari.com

2. Recupere las credenciales de cliente Obtenga el identificador de cliente y el secreto de cliente de la sección de credenciales de API de la cuenta de Agari. Tenga en cuenta que los diferentes productos de Agari (Protección de marca, Defensa de suplantación de identidad, Respuesta de suplantación de identidad) pueden requerir credenciales de API independientes.

3. Seleccione Flujos de datos Elija qué flujos de datos de Agari desea recopilar. Puede seleccionar una o varias secuencias en función de la suscripción y los requisitos.

• Dirección URL de la API base: (https://api.agari.com)
• Id. de cliente: (Su identificador de cliente)
• Secreto de cliente: (Secreto de cliente)
• Habilitar o deshabilitar la conexión

---

Registros remotos de Garrison ULTRA (mediante Azure Functions)

Compatible con:Garrison

El conector de registros remotos de Garrison ULTRA le permite ingerir registros remotos de Garrison ULTRA en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Garrison_ULTRARemoteLogs_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Garrison ULTRA: para usar este conector de datos, debe tener una licencia de Garrison ULTRA activa.

Instrucciones de instalación:

Implementación: plantilla de Azure Resource Manager (ARM)

En estos pasos se describe la implementación automatizada del conector de datos de registros remotos de Garrison ULTRA mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   portal.azure.com

2. Proporcione los detalles necesarios, como el grupo de recursos, Microsoft Sentinel el área de trabajo y las configuraciones de ingesta.

NOTA: Se recomienda crear un nuevo grupo de recursos para la implementación de estos recursos. 3. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 4. Haga clic en Comprar para implementar.

---

Ejecución en la nube de GCP (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos GCP Cloud Run proporciona la capacidad de ingerir registros de solicitud de ejecución en la nube en Microsoft Sentinel mediante Pub/Sub. Consulte Cloud Run Overview (Introducción a la ejecución en la nube) para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPCloudRun	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

**Conexión de GCP Cloud Run a Microsoft Sentinel **

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite los registros de ejecución en la nube en Google Cloud Console, habilite el registro en la nube si no está habilitado anteriormente y guarde los cambios. Implemente o actualice los servicios de ejecución en la nube con el registro habilitado.

Vínculo de referencia: vínculo a la documentación

3. Conectar nuevos recopiladores Para habilitar los registros de solicitudes de ejecución en la nube de GCP para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, proporcione la información necesaria en la ventana emergente y haga clic en Conectar.

---

GCP Cloud SQL (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de GCP Cloud SQL proporciona la capacidad de ingerir registros de auditoría en Microsoft Sentinel mediante GCP Cloud SQL API. Consulte la documentación de los registros de auditoría de SQL en la nube de GCP para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPCloudSQL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión de GCP Cloud SQL a Microsoft Sentinel

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. En Google Cloud Console, habilite Cloud SQL API, si no está habilitada anteriormente, y guarde los cambios.

3. Conectar nuevos recopiladores Para habilitar los registros de SQL en la nube de GCP para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

---

Registros de auditoría de GCP Pub/Sub

Compatible con:Microsoft Corporation

Los registros de auditoría de Google Cloud Platform (GCP), ingeridos del conector de Microsoft Sentinel, le permiten capturar tres tipos de registros de auditoría: registros de actividad de administración, registros de acceso a datos y registros de transparencia de acceso. Los registros de auditoría en la nube de Google registran una pista que los profesionales pueden usar para supervisar el acceso y detectar posibles amenazas en los recursos de Google Cloud Platform (GCP).

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPAuditLogs	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Conectar nuevos recopiladores Para habilitar los registros de auditoría de GCP para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

---

Registros de GCP Pub/Sub Load Balancer (a través de Codeless Connector Framework).

Compatible con:Microsoft Corporation

Los registros de Load Balancer de Google Cloud Platform (GCP) proporcionan información detallada sobre el tráfico de red, capturando las actividades entrantes y salientes. Estos registros se usan para supervisar patrones de acceso e identificar posibles amenazas de seguridad en los recursos de GCP. Además, estos registros también incluyen registros de Web Application Firewall de GCP (WAF), lo que mejora la capacidad de detectar y mitigar los riesgos de forma eficaz.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPLoadBalancerLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite los registros de Load Balancer En la cuenta de GCP, vaya a la sección Load Balancer. Aquí puede nevigate a [Servicio back-end] -> [Editar], una vez que esté en el [Servicio back-end] en la sección [Registro] habilite la casilla de [Habilitar registros]. Una vez que abra la regla, cambie el botón de alternancia de la sección Registros a Activado y guarde los cambios.

Para obtener más información: Vínculo a la documentación

3. Conectar nuevos recopiladores Para habilitar los registros de GCP Load Balancer para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

---

Registros de flujo de GCP Pub/Sub VPC (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Los registros de flujo de VPC de Google Cloud Platform (GCP) le permiten capturar la actividad de tráfico de red en el nivel de VPC, lo que le permite supervisar patrones de acceso, analizar el rendimiento de la red y detectar posibles amenazas en los recursos de GCP.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPVPCFlow	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite los registros de flujo de VPC En su cuenta de GCP, vaya a la sección de red de VPC. Seleccione la subred que desea supervisar y habilite Registros de flujo en la sección Registro.

Para más información: Documentación de Google Cloud

3. Conectar nuevos recopiladores Para habilitar los registros de flujo de GCP VPC para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

---

Conector AMX de Gigamon

Compatible con:Gigamon

El conector Gigamon proporciona la capacidad de leer datos de eventos sin procesar de Gigamon en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GigamonV2_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Este conector lee los datos de las tablas que Gigamon CCF usa en un área de trabajo de Microsoft Analytics, si la opción de reenvío de datos está habilitada en Gigamon CCF, los datos de eventos sin procesar se envían a la API de ingesta de Microsoft Sentinel.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Insertar los registros en el área de trabajo

Use los parámetros siguientes para configurar la máquina para enviar los registros al área de trabajo.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Nombre de Stream de actividad: <valor de variable proporcionado en tiempo de instalación>
• Nombre de Stream de amenazas: <valor de variable proporcionado en el momento de la instalación>

---

GitHub (mediante Webhooks)

Compatible con:Microsoft Corporation

El conector de datos de webhook de GitHub proporciona la capacidad de ingerir eventos suscritos a GitHub en Microsoft Sentinel mediante eventos de webhook de GitHub. El conector proporciona la capacidad de incluir eventos en Microsoft Sentinel, lo que ayuda a examinar posibles riesgos de seguridad, analizar el uso de la colaboración por parte del equipo, diagnosticar problemas de configuración y mucho más.

Nota: Si está pensado para ingerir registros de auditoría de Github, consulte GitHub Enterprise Audit Log Connector desde la galería "Data Connectors".

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
githubscanaudit_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.

Instrucciones de instalación:

NOTA: Este conector se ha creado en función del desencadenador HTTP Azure Function. Además, proporciona un punto de conexión al que github se conectará a través de su funcionalidad de webhook y envía los eventos suscritos en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Elija UNO entre las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de Webhook de Github, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se puede copiar de la siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de GitHub mediante una instancia de ARM Tempate.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no puede combinar Windows y Linux aplicaciones en la misma región e implementarlas. 3. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de webhook de GitHub manualmente con Azure Functions (Implementación mediante Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
3. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): WorkspaceID WorkspaceKey logAnalyticsUri (opcional): use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

Pasos posteriores a la implementación

PASO 1: Para obtener la dirección URL de la función Azure

1. Vaya a Azure página información general de la función y haga clic en "Funciones" en la hoja izquierda.
2. Haga clic en la función denominada "GithubwebhookConnector".
3. Vaya a "GetFunctionurl" y copie la dirección URL de la función.

PASO 2: Configuración del webhook en la organización de GitHub

1. Vaya a GitHub , abra su cuenta y haga clic en "Sus organizaciones".
2. Haga clic en Configuración.
3. Haga clic en "Webhooks" y escriba la dirección URL de la aplicación de función que se copió del paso 1 anterior en el cuadro de texto URL de carga.
4. Elija el tipo de contenido como "application/json".
5. Suscríbase a eventos y haga clic en "Agregar webhook"

Ahora hemos terminado con la configuración de Webhook de GitHub. Una vez desencadenados los eventos de GitHub y después del retraso de 20 a 30 minutos (como habrá un desaly para que LogAnalytics haga girar los recursos por primera vez), debería poder ver todos los eventos transaccionales de Github en la tabla del área de trabajo de LogAnalytics denominada "githubscanaudit_CL".

Para obtener más información, haga clic aquí.

---

Registro de auditoría de GitHub Enterprise (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de registro de auditoría de GitHub proporciona la capacidad de ingerir registros de GitHub en Microsoft Sentinel. Al conectar los registros de auditoría de GitHub a Microsoft Sentinel, puede ver estos datos en libros, usarlos para crear alertas personalizadas y mejorar el proceso de investigación.

Nota: Si tiene previsto ingerir eventos suscritos a GitHub en Microsoft Sentinel, consulte El conector de GitHub (mediante Webhooks) desde la galería "Conectores de datos".

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GitHubAuditLogsV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Token de acceso personal de la API de GitHub: para habilitar el sondeo para el registro de auditoría enterprise, asegúrese de que el usuario autenticado es un administrador de Empresa y tiene un token de acceso personal (clásico) de GitHub con el read:audit_log ámbito.
• Tipo de GitHub Enterprise: este conector solo funcionará con GitHub Enterprise Cloud; no admitirá GitHub Enterprise Server.

Instrucciones de instalación:

Conexión del registro de auditoría de nivel empresarial de GitHub a Microsoft Sentinel

Habilite los registros de auditoría de GitHub. Siga esta guía para crear o encontrar el token de acceso personal.

• Data Connectors Grid (configurar en el portal)

---

Google ApigeeX (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Google ApigeeX proporciona la capacidad de ingerir registros de auditoría en Microsoft Sentinel mediante la API de Google Apigee. Consulte la documentación de Apigee API de Google para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPApigee	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

**Conectar Google ApigeeX a Microsoft Sentinel **

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite los registros de ApigeeX en Google Cloud Console, habilite api de Apigee, si no está habilitada anteriormente, y guarde los cambios.

3. Conectar nuevos recopiladores Para habilitar los registros de ApigeeX para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, proporcione la información necesaria en la ventana emergente y haga clic en Conectar.

---

CdN de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de CDN de Google Cloud Platform proporciona la capacidad de ingerir registros de auditoría de CDN en la nube y registros de tráfico de CDN en la nube en Microsoft Sentinel mediante la API del motor de proceso. Consulte el documento Información general del producto para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPCDN	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

**Conectar la red CDN de GCP a Microsoft Sentinel **

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite los registros de CDN en Google Cloud Console, habilite el registro en la nube si no está habilitado anteriormente y guarde los cambios. Vaya a la sección Cloud CDN (Red CDN en la nube) y haga clic en Agregar origen para crear back-end según el vínculo que se proporciona a continuación.

Vínculo de referencia: vínculo a la documentación

3. Conectar nuevos recopiladores Para habilitar los registros de cdN en la nube de GCP para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, proporcione la información necesaria en la ventana emergente y haga clic en Conectar.

---

Google Cloud Platform Cloud IDS (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos ids de Google Cloud Platform proporciona la capacidad de ingerir registros de tráfico de IDS en la nube, registros de amenazas y registros de auditoría en Microsoft Sentinel mediante la API de IdS de Google Cloud. Consulte la documentación de cloud IDS API para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPIDS	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

**Conectar GCP Cloud IDS a Microsoft Sentinel **

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite los registros de IDS en Google Cloud Console y habilite Cloud IDS API, si no está habilitado anteriormente. Cree un punto de conexión de IDS y guarde los cambios.

Para obtener más información sobre cómo crear y configurar un punto de conexión de IDS: Vínculo a la documentación

3. Conectar nuevos recopiladores Para habilitar los registros de GCP IDS para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, proporcione la información necesaria en la ventana emergente y haga clic en Conectar.

---

Supervisión en la nube de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Google Cloud Platform Cloud Monitoring ingiere registros de supervisión de Google Cloud en Microsoft Sentinel mediante google cloud monitoring API. Consulte la documentación de Cloud Monitoring API para obtener más detalles.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPMonitoring	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión de Google Cloud Platform Cloud Monitoring a Microsoft Sentinel

1. Configuración de la integración de supervisión de GCP Para capturar registros de GCP Cloud Monitoring a Sentinel se requiere el identificador de proyecto de Google Cloud.

2. Elija el tipo de métrica Para recopilar registros de Google Cloud Monitoring, proporcione el tipo de métrica necesario.

Para obtener más información, consulte Métricas de Google Cloud.

3. Credenciales de OAuth para capturar el identificador de cliente de Oauth y el secreto de cliente, consulte esta documentación.

4. Conéctese a Sentinel Haga clic en Conectar para empezar a extraer registros de supervisión de Google Cloud en Microsoft Sentinel.

• Id. de proyecto de GCP:
• Tipo de métrica:
• Data Connectors Grid (configurar en el portal)

---

Motor de proceso de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos del motor de proceso de Google Cloud Platform proporciona la capacidad de ingerir registros de auditoría del motor de proceso en Microsoft Sentinel mediante la API del motor de proceso de Google Cloud. Consulte la documentación de la API del motor de proceso en la nube para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPComputeEngine	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

**Conectar el motor de proceso de GCP a Microsoft Sentinel **

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite los registros del motor de proceso en Google Cloud Console, habilite la API del motor de proceso, si no está habilitada anteriormente, y guarde los cambios.

3. Conectar nuevos recopiladores Para habilitar los registros del motor de proceso para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, proporcione la información necesaria en la ventana emergente y haga clic en Conectar.

---

DNS de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos DNS de Google Cloud Platform proporciona la capacidad de ingerir registros de consultas DNS en la nube y registros de auditoría de DNS en la nube en Microsoft Sentinel mediante la API DNS de Google Cloud. Consulte la documentación de la API de DNS en la nube para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPDNS	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

**Conectar DNS de GCP a Microsoft Sentinel **

NOTA: Si Azure Function y el conector CCF se ejecutan simultáneamente, los datos duplicados se rellenan en las tablas.

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilitar registros DNS En Google Cloud Console, vaya a la sección DNS en la nube. Habilite el registro en la nube si no está habilitado anteriormente y guarde los cambios. Aquí puede administrar las zonas existentes o crear una nueva zona y crear directivas para la zona que desea supervisar.

Para obtener más información: Vínculo a la documentación

3. Conectar nuevos recopiladores Para habilitar los registros DNS de GCP para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, proporcione la información necesaria en la ventana emergente y haga clic en Conectar.

---

IAM de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos iam de Google Cloud Platform proporciona la capacidad de ingerir los registros de auditoría relacionados con las actividades de Administración de identidades y acceso (IAM) dentro de Google Cloud en Microsoft Sentinel mediante la API de Google IAM. Consulte la documentación de la API de IAM de GCP para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPIAM	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión de GCP IAM a Microsoft Sentinel

NOTA: Si Azure Function y el conector CCF se ejecutan en paralelo, los datos duplicados se rellenan en las tablas.

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Para habilitar los registros de IAM en su cuenta de GCP, vaya a la sección IAM. Desde allí, puede crear un nuevo usuario o modificar el rol de un usuario existente que quiera supervisar. Asegúrese de guardar los cambios.

Para obtener más información: Vínculo a la documentación

3. Conectar nuevos recopiladores Para habilitar los registros de GCPIAM para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

---

NAT de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos NAT de Google Cloud Platform proporciona la capacidad de ingerir registros de auditoría nat en la nube y registros de tráfico nat en la nube en Microsoft Sentinel mediante la API del motor de proceso. Consulte el documento Información general del producto para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPNATAudit	Sí	Sí
GCPNAT	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

**Conexión de GCP NAT a Microsoft Sentinel **

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite los registros NAT en Google Cloud Console, habilite el registro en la nube si no está habilitado anteriormente y guarde los cambios. Vaya a la sección NAT en la nube y haga clic en Agregar origen para crear back-end según el vínculo que se proporciona a continuación.

Vínculo de referencia: vínculo a la documentación

3. Conectar nuevos recopiladores Para habilitar los registros NAT en la nube de GCP para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, proporcione la información necesaria en la ventana emergente y haga clic en Conectar.

---

Google Cloud Platform Resource Manager (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Google Cloud Platform Resource Manager proporciona la capacidad de ingerir Resource Manager registros de actividad Administración y auditoría de acceso a datos en Microsoft Sentinel mediante cloud Resource Manager API. Consulte el documento Información general del producto para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GCPResourceManager	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

**Conectar GCP Resource Manager a Microsoft Sentinel **

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite Resource Manager registros en Google Cloud Console, habilite la API del administrador de recursos en la nube si no está habilitada anteriormente y guarde los cambios. Asegúrese de tener permisos de IAM de nivel de organización para que la cuenta vea todos los registros de la jerarquía de recursos. Puede consultar los vínculos del documento para ver los distintos permisos de IAM para el control de acceso con IAM en cada nivel proporcionado en este vínculo.

3. Conectar nuevos recopiladores Para habilitar los registros de GCP Resource Manager para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, proporcione la información necesaria en la ventana emergente y haga clic en Conectar.

---

Motor de Google Kubernetes (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Los registros de Google Kubernetes Engine (GKE) permiten capturar la actividad del clúster, el comportamiento de la carga de trabajo y los eventos de seguridad, lo que le permite supervisar las cargas de trabajo de Kubernetes, analizar el rendimiento y detectar posibles amenazas en los clústeres de GKE.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GKEAudit	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Habilite el registro del motor de Kubernetes En su cuenta de GCP, vaya a la sección Motor de Kubernetes. Habilite el registro en la nube para los clústeres. En El registro en la nube, asegúrese de que los registros específicos que desea ingerir (como el servidor de API, el programador, el administrador de controladores, la decisión de HPA y los registros de aplicaciones) estén habilitados para un análisis eficaz de la supervisión y la seguridad.

3. Conectar nuevos recopiladores Para habilitar los registros de GKE para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

---

Centro de comandos de seguridad de Google

Compatible con:Microsoft Corporation

El Centro de comandos de seguridad de Google Cloud Platform (GCP) es una plataforma completa de administración de riesgos y seguridad para Google Cloud, ingerida desde el conector de Sentinel. Ofrece características como el inventario y la detección de recursos, la detección de vulnerabilidades y amenazas, y la mitigación y corrección de riesgos para ayudarle a obtener información sobre la seguridad y la superficie de ataque de datos de su organización. Esta integración le permite realizar tareas relacionadas con los resultados y los recursos de forma más eficaz.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GoogleCloudSCC	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

1. Configuración del entorno de GCP Debe tener definidos y configurados los siguientes recursos de GCP: tema, suscripción para el tema, grupo de identidades de carga de trabajo, proveedor de identidades de carga de trabajo y cuenta de servicio con permisos para obtener y consumir de la suscripción. Terraform proporciona una API para iam que crea los recursos. Vínculo a scripts de Terraform.

• Identificador de inquilino: identificador único que se usa como entrada en la configuración de Terraform dentro de un entorno GCP. Valor <de variable proporcionado en el momento de la instalación>

2. Conectar nuevos recopiladores Para habilitar GCP SCC para Microsoft Sentinel, haga clic en el botón Agregar nuevo recopilador, rellene la información necesaria en el panel contextual y haga clic en Conectar.

---

Actividades del área de trabajo de Google (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos Actividades del área de trabajo de Google proporciona la capacidad de ingerir eventos de actividad de Google Workspace API en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GoogleWorkspaceReports	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API de Google Workspace: se requiere acceso a la API de actividades de Google Workspace a través de Oauth.

Instrucciones de instalación:

Conéctese a Google Workspace para empezar a recopilar registros de actividad de usuario en Microsoft Sentinel

Pasos de configuración para la API de informes de Google

1. Inicie sesión en la consola en la nube de Google con las credenciales https://console.cloud.google.comdel área de trabajo Administración .
2. Con la opción de búsqueda (disponible en la parte superior central), busque API & Services.
3. En API & Services ->Enabled API & Services, habilite Administración API del SDK para este proyecto.
4. Vaya a API & Services ->Pantalla de consentimiento de OAuth. Si aún no está configurado, cree una pantalla de consentimiento de OAuth con los pasos siguientes:
   1. Proporcione el nombre de la aplicación y otra información obligatoria.
   2. Elija Externo como Tipo de usuario para la audiencia.
5. Vaya a API & Services ->Credentials y cree el identificador de cliente de OAuth 2.0.
   1. Haga clic en Crear credenciales en la parte superior y seleccione Id. de cliente de Oauth.
   2. Seleccione Aplicación web en la lista desplegable Tipo de aplicación.
   3. Proporcione un nombre adecuado a la aplicación web y agregue el URI de redirección en el formulario siguiente como uri de redireccionamiento autorizado.
   4. Una vez que haga clic en Crear, se le proporcionarán el identificador de cliente y el secreto de cliente. Copie estos valores y úselos en los pasos de configuración siguientes.
6. Vaya a Google Auth Platform ->Data Access: Add Administración SDK API scope

Configure los pasos para el acceso oauth de la API de Informes de Google. A continuación, proporcione la información necesaria a continuación y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

Conector de datos de GravityZone

Compatible con:Bitdefender SRL

Este conector permite la integración entre Bitdefender GravityZone y Microsoft Sentinel a través de event push service API. Una vez configurado, transmite todos los tipos de eventos GravityZone directamente al área de trabajo de Microsoft Sentinel, donde se almacenan como registros en la GzSecurityEvents_CL tabla.

Las categorías de eventos clave, como EDR, XDR, mitigación de ransomware, espacio aislado de red y eventos de malware de Exchange, se pueden correlacionar automáticamente y generar incidentes mediante la regla de análisis de alertas de incidentes de NRT GravityZone .

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GzSecurityEvents_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• registro de App de Azure: Microsoft Entra registro de aplicaciones con los siguientes detalles identificador de directorio (inquilino), identificador de aplicación (cliente), id. de objeto de entidad de servicio administrada (desde la entrada aplicaciones empresariales de la aplicación), secreto de cliente (generado en Certificados & secretos).
• Cuenta en la nube de GravityZone: una cuenta de GravityZone Cloud con una clave de API generada para el punto de conexión de Event Push Service.
• Lea nuestra guía: siga este artículo paso a paso para configurar la integración. Clientes | Asociados

Instrucciones de instalación:

1. Haga clic en el botón Implementar para Azure siguiente y rellene los parámetros necesarios.

aka.ms

2. Recopilación de la dirección URL de ingesta de registros del punto de conexión de recopilación de gz-sentinel-dce datos

3. Recopilación del identificador inmutable de la regla de recopilación de datosgz-sentinel-dcr

4. Vaya a su cuenta de GravityZone Cloud y vaya a Mi cuenta. Cree una clave de API con permisos de Event Push Service .

5. Configure los valores del servicio de inserción de eventos mediante este artículo. Clientes | Asociados. Tenga en cuenta que después de la implementación correcta del conector de datos & configuración correcta del servicio de inserción de eventos de GravityZone, el sistema recibirá los datos del registro de actividad casi en tiempo real. Puede producirse un breve retraso entre la transmisión de datos y su apariencia en la sección registros de Microsoft Sentinel.

---

Inteligencia sobre amenazas de GreyNoise

Compatible con:GreyNoise

Este conector de datos instala una aplicación de función de Azure para descargar indicadores de GreyNoise una vez al día y los inserta en la tabla ThreatIntelIndicators de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelIndicators	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Clave de API de GreyNoise: recupere la clave de API de GreyNoise aquí.

Instrucciones de instalación:

**Puede conectar GreyNoise Threat Intelligence a Microsoft Sentinel siguiendo los pasos siguientes: **

En los pasos siguientes se crea una aplicación de AAD Azure, se recupera una clave de API GreyNoise y se guardan los valores en una App Configuration de función de Azure.

1. Recupere la clave de API del visualizador de GreyNoise.

Generación de una clave de API a partir del visualizador de GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino y el identificador de cliente. Además, obtenga el identificador del área de trabajo de Log Analytics asociado a la instancia de Microsoft Sentinel (debería mostrarse a continuación).

Siga las instrucciones que se indican aquí para crear la aplicación de AAD Azure y guardar el identificador de cliente y el identificador de inquilino: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTA: Espere hasta el paso 5 para generar el secreto de cliente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Siga las instrucciones aquí para agregar el rol colaborador de Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

4. Especifique los permisos de AAD para habilitar MS Graph API acceso a la API upload-indicators.

Siga esta sección aquí para agregar el permiso "ThreatIndicators.ReadWrite.OwnedBy" a la aplicación de AAD: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De vuelta en la aplicación de AAD, asegúrese de conceder el consentimiento del administrador para los permisos que acaba de agregar. Por último, en la sección "Tokens y API", genere un secreto de cliente y guárdelo. Lo necesitará en el paso 6.

5. Implemente la solución Threat Intelligence (nueva) (v3.0.14 o posterior) que incluye threat Intelligence Upload Indicators API (versión preliminar)

Consulte Microsoft Sentinel Content Hub para esta solución e instálela en la instancia de Microsoft Sentinel. Tenga en cuenta que no es necesario realizar ninguna configuración en este paso.

6. Implementar la función Azure

Haga clic en el botón Implementar en Azure.

aka.ms

Rellene los valores adecuados para cada parámetro. Tenga en cuenta que los únicos valores válidos para el parámetro GREYNOISE_CLASSIFICATIONS son benignos, malintencionados o desconocidos, que deben estar separados por comas.

7. Enviar indicadores a Sentinel

La aplicación de funciones instalada en el paso 6 consulta greyNoise GNQL API una vez al día y envía cada indicador que se encuentra en formato STIX 2.1 a la API de indicadores de inteligencia de amenazas de carga de Microsoft. Cada indicador expira aproximadamente 24 horas después de su creación, a menos que se encuentre en la consulta del día siguiente. En este caso, el tiempo válido hasta el indicador ti se extiende durante otras 24 horas, lo que lo mantiene activo en Microsoft Sentinel.

Para obtener más información sobre GreyNoise API y greyNoise Query Language (GNQL), haga clic aquí.

---

Conector de Halcyon

Compatible con:Halcyon

El conector de Halcyon proporciona la capacidad de enviar datos de Halcyon a Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
HalcyonEvents_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra Crear permisos: permisos para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Permisos de asignación de roles: permisos de escritura necesarios para asignar el rol publicador de métricas de supervisión a la regla de recopilación de datos (DCR). Normalmente, requiere el rol Propietario o Administrador de acceso de usuario en el nivel de grupo de recursos.

Instrucciones de instalación:

1. Creación de recursos de ARM y aprovisionamiento de permisos necesarios

Este conector lee los datos de las tablas que Halcyon usa en un área de trabajo de Microsoft Analytics, si los datos se reenvía.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Configuración de la integración en halcyon Platform

Use los parámetros siguientes para configurar la integración en halcyon Platform.

• Id. de directorio (id. de inquilino):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones (id. de cliente):< valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones (secreto de credencial) (ESTE SECRETO NO ESTARÁ VISIBLE DESPUÉS DE SALIR DE ESTA PÁGINA):< valor de variable proporcionado en tiempo de instalación>
• Punto de conexión de recopilación de datos (URL):< valor de variable proporcionado en tiempo de instalación>
• Id. de regla de recopilación de datos (id. de regla):< valor de variable proporcionado en tiempo de instalación>

---

Datos de activos de seguridad de Holm (mediante Azure Functions)

Compatible con:Holm Security

El conector proporciona la capacidad de sondear los datos de Holm Security Center en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
net_assets_CL	No	No
web_assets_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API para seguridad de Holm: se requiere Holm API para seguridad Token. Token de API para seguridad Holm

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a un recurso de seguridad de Holm para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración de la API para seguridad de Holm

Siga estas instrucciones para crear un token de autenticación de API.

PASO 2: Use la siguiente opción de implementación para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de seguridad de Holm, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como el token de autorización de Holm API para seguridad, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Implementación de plantillas de Azure Resource Manager (ARM)

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de seguridad de Holm.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, el nombre de usuario de la API, la contraseña de la API, "u otros campos obligatorios".

Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

---

Registros de IIS de servidores Microsoft Exchange

Compatible con:Community

[Opción 5] - Usar Azure Agente de supervisión: puede transmitir todos los registros de IIS desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite crear alertas personalizadas y mejorar la investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
W3CIISLog	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Log Analytics estará en desuso, para recopilar datos de máquinas virtuales que no son Azure, se recomienda Azure Arc. Más información
• Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí. >

Instrucciones de instalación:

NOTA: Esta solución se basa en opciones. Esto le permite elegir qué datos se van a ingerir, ya que algunas opciones pueden generar un volumen muy alto de datos. En función de lo que quiera recopilar, realice un seguimiento de los libros, las reglas de análisis y las funcionalidades de búsqueda, elija las opciones que va a implementar. Cada opción es independiente de una de la otra. Para obtener más información sobre cada opción: wiki "Seguridad de Microsoft Exchange"

Este conector de datos es la opción 5 de la wiki.

1. Descargue e instale los agentes necesarios para recopilar registros de Microsoft Sentinel

El tipo de servidores (servidores de Exchange, controladores de dominio vinculados a servidores exchange o todos los controladores de dominio) depende de la opción que quiera implementar.

Implementación de agentes de supervisión

Este paso solo es necesario si es la primera vez que incorpora los servidores o controladores de dominio de Exchange Implemente la Azure Agente de Arc Más información

[Opción 5] Registros de IIS de servidores Exchange

Seleccione cómo transmitir registros de IIS de servidores Exchange.

Habilitación de la regla de recopilación de datos

Los registros de IIS solo se recopilan de agentes de Windows .

Opción 1: plantilla de Azure Resource Manager (ARM) (método preferido)

Use este método para la implementación automatizada de DCE y DCR.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Puede cambiar el nombre propuesto del DCE.

4. Haga clic en Crear para implementar.

B. Implementación de una regla de conexión de datos

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el id. de área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. En el portal de Azure, vaya a Azure punto de conexión de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios y asigne un nombre al DCE.
4. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

B. Creación de DCR, registro de IIS de tipo

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios, Seleccione Windows como tipo de plataforma y asigne un nombre al DCR. Seleccione el DCE creado.
4. En la pestaña Recursos , escriba Servidores Exchange.
5. En "Recopilar y entregar", agregue un tipo de origen de datos "Registros de IIS" (no escriba una ruta de acceso si la ruta de acceso de los registros de IIS está configurada de forma predeterminada). Haga clic en "Agregar origen de datos".
6. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

---

Illumio Insights

Compatible con:Illumio

El conector de datos de Illumio Insights permite ingerir registros de illumio API en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel marco de conector sin código. Usa illumio API para capturar registros y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada para que las consultas no tengan que volver a analizarlos, lo que da lugar a un mejor rendimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
IlumioInsights	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Pasos de configuración para illumio Insights API

Requisitos previos

• Registro e inicio de sesión en la consola de Illumio con credenciales válidas
• Las credenciales de cliente deben almacenarse en Microsoft Sentinel cuenta para el inquilino.

Paso 1: Registro de la cuenta de servicio

1. Vaya a Illumio Console → Access → Service Accounts
2. Creación de una cuenta de servicio para el inquilino
3. Una vez creada una cuenta de servicio, recibirá las credenciales de cliente.
4. Copie el nombre de usuario (clave de API) y el paso secreto 2: Agregar credenciales de cliente a Sentinel cuenta

• Adición de la clave y el secreto de API a Sentinel Cuenta para la autenticación de inquilinos
• Estas credenciales se usarán para autenticar llamadas a la API de Illumio SaaS.

Paso 3: Uso de API El conector usará estas credenciales para llamar a la API de Illumio SaaS:

• Punto de conexión: GET https://gw.console.illum.io/api/v1/resource-insights
• Encabezados necesarios:
  • x-illumio-tenant-id: su identificador de inquilino de Illumio
  • x-auth-key: la clave de API obtenida en el paso 1
  • x-auth-X-api-secret: la clave secreta obtenida del paso 1

La validación de autenticación illumio valida la solicitud en:

• Firma en las claves públicas del identificador de Entra
• Audience (aud) coincide con el URI del identificador de aplicación de la API
• Validación del emisor

Rellene los campos necesarios a continuación con las credenciales obtenidas en la consola de Illumio:

• Clave de api de Illumio Insights: (api_XXXXXX)
• Secreto de api: (secreto de API)
• Id. de inquilino de Illumio: ({illumioTenantId})
• Habilitar o deshabilitar la conexión

---

Resumen de Illumio Insights

Compatible con:Illumio

El conector de datos de resumen de Illumio Insights proporciona la capacidad de ingerir informes de análisis de amenazas y conclusiones de seguridad de Illumio en Microsoft Sentinel a través de la API REST. Consulte la documentación de Illumio API para obtener más información. El conector proporciona la capacidad de obtener informes de resumen diarios y semanales de Illumio y visualizarlos en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
IllumioInsightsSummary_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Acceso a la API de Illumio: el acceso a illumio API es necesario para la API de resumen de Illumio Insights.

Instrucciones de instalación:

1. Configuración

Configure el conector de resumen de Illumio Insights.

[! NOTA] Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo esperado, que se implementa como parte de la solución.

• Clave de api de Illumio Insights: (api_XXXXXX)
• Secreto de api: (secreto de API)
• Id. de inquilino de Illumio: ({illumioTenantId})

2. Conectar

Habilite el conector de resumen de Illumio Insights.

• Habilitar o deshabilitar la conexión

---

Illumio SaaS (con Azure Functions)

Compatible con:Illumio

El conector Illumio proporciona la capacidad de ingerir eventos en Microsoft Sentinel. El conector proporciona la capacidad de ingerir eventos auditables y de flujo desde el cubo de AWS S3.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Illumio_Auditable_Events_CL	Sí	Sí
Illumio_Flow_Events_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de cuenta de SQS y AWS S3: se requiere AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL. Si usa un cubo s3 proporcionado por Illumio, póngase en contacto con el soporte técnico de Illumio. En su solicitud, le proporcionarán el nombre del bucket de AWS S3, la dirección URL de AWS SQS y las credenciales de AWS para acceder a ellos.
• Clave y secreto de la API de Illumio: ILLUMIO_API_KEY, se necesita ILLUMIO_API_SECRET para que un libro realice la conexión a SaaS PCE y capture las respuestas de la API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a AWS SQS/S3 para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Requisitos previos

1. Asegúrese de que AWS SQS está configurado para el bucket s3 desde el que se van a extraer los registros de eventos auditables y de flujo. En caso de que Illumio proporcione bucket, póngase en contacto con el soporte técnico de Illumio para obtener la dirección URL de sqs, el nombre del bucket s3 y las credenciales de aws.
2. Registro de una aplicación de AAD: para que DCR (regla de recopilación de datos) autentírese para ingerir datos en Log Analytics, debe usar Entra aplicación. 1. Siga las instrucciones que aparecen aquí (pasos del 1 al 5) para obtener el identificador de inquilino de AAD, el identificador de cliente de AAD y el secreto de cliente de AAD.
3. Asegúrese de que ha creado un área de trabajo de Log Analytics. Tenga en cuenta el nombre y la región donde se ha implementado.

Implementación

Elija uno de los enfoques de las opciones siguientes. Use la siguiente plantilla de ARM para implementar recursos de Azure o implementar la aplicación de funciones manualmente.

1. Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada de recursos de Azure mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Proporcione los detalles necesarios, como Microsoft Sentinel Workspace, las credenciales de AWS, Azure los detalles de la aplicación de AD y las configuraciones de ingesta.

NOTA: Se recomienda crear un nuevo grupo de recursos para la implementación de la aplicación de funciones y los recursos asociados. 3. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 4. Haga clic en Comprar para implementar.

2. Implementación de aplicaciones de funciones adicionales para controlar la escala

Use este método para la implementación automatizada de aplicaciones de funciones adicionales mediante una instancia de ARM Tempate.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

3. Implementación manual de Azure Functions

Implementación mediante Visual Studio Code.

1. Implementación de una aplicación de funciones

2. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.

4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

5. Configuración de la aplicación de funciones

6. Siga el vínculo> de inserción de documentación <para configurar todas las variables de entorno necesarias y haga clic en Guardar. Asegúrese de reiniciar la aplicación de funciones una vez que se guarde la configuración.

---

Imperva Cloud WAF (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos de WAF en la nube de Imperva proporciona la capacidad de integrar e ingerir eventos Web Application Firewall en Microsoft Sentinel a través de la API REST. Consulte la documentación de integración de registros para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ImpervaWAFCloud_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de API REST: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI son necesarios para la API. Para obtener más información, consulte Proceso de integración del registro de instalación. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales. Tenga en cuenta que este conector usa el formato de evento de registro CEF. Más información sobre el formato de registro.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a Imperva Cloud API para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de Azure Functions.

**NOTA:**Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto ImpervaWAFCloud, que se implementa con la solución Microsoft Sentinel.

PASO 1: Pasos de configuración para la integración de registros

Siga las instrucciones para obtener las credenciales.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y el Azure Functions asociado

IMPORTANTE: Antes de implementar el conector de datos del área de trabajo, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de WAF en la nube de Imperva mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI e implemente. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de WAF en la nube de Imperva manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de funciones de Azure.

1. Descargue el archivo Azure Functions App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, ImpervaCloudXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

3. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Imperva Cloud WAF (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Imperva WAF Cloud proporciona la capacidad de ingerir registros en Microsoft Sentinel mediante la integración de registros de Imperva a través de AWS S3 con notificaciones de SQS. El conector analiza los eventos WAF con formato CEF, incluidos los registros de acceso y las alertas de seguridad para la detección y la investigación de amenazas. Consulte Integración de registros en la nube de Imperva WAF para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ImpervaWAFCloud	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

**Conexión de Imperva WAF Cloud a Microsoft Sentinel

**

NOTA: Este conector captura los registros de WAF en la nube de Imperva del bucket de AWS S3.

Para recopilar datos de Imperva, debe configurar los siguientes recursos.

1. AWS Role ARN Para recopilar datos de Imperva, necesitará AWS Role ARN.

2. DIRECCIÓN URL de cola de AWS SQS Para recopilar datos de Imperva, necesitará la dirección URL de la cola de AWS SQS.

Para obtener pasos detallados para recuperar el ARN de rol de AWS, la dirección URL de cola de SQS y configurar el reenvío de registros de Imperva al bucket de Amazon S3, consulte la Guía de configuración del conector.

• Data Connectors Grid (configurar en el portal)

---

Infoblox Cloud Data Connector a través de AMA

Compatible con:Infoblox

Infoblox Cloud Data Connector permite conectar fácilmente los datos de Infoblox con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de la correlación & de búsqueda, las alertas y el enriquecimiento de inteligencia sobre amenazas para cada registro.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommonSecurityLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

IMPORTANTE: En este conector de datos de Microsoft Sentinel se supone que ya se ha creado y configurado un host de Infoblox Data Connector en el Portal de infoblox Cloud Services (CSP). Como Infoblox Data Connector es una característica de Threat Defense, se requiere acceso a una suscripción de Threat Defense adecuada. Consulte esta guía de inicio rápido para obtener más información y requisitos de licencia.

1. configuración del agente de Syslog Linux

Instale y configure el agente de Linux para recopilar los mensajes de Syslog de Common Event Format (CEF) y reenviarlos a Microsoft Sentinel.

Observe que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

1.1 Seleccione o cree una máquina Linux

Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel esta máquina puede estar en el entorno local, Azure u otras nubes.

1.2 Instale el recopilador cef en la máquina Linux

Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto 514 TCP.

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python -version.

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para instalar y aplicar el valor de variable cef collector:: <proporcionado en el momento de la instalación.>

2. Configure Infoblox para enviar datos de Syslog al conector de datos en la nube de Infoblox para reenviarlos al agente de Syslog.

Siga los pasos siguientes para configurar infoblox CDC para enviar datos a Microsoft Sentinel a través del agente de Syslog de Linux.

1. Vaya a Administrar > conector de datos.
2. Haga clic en la pestaña Configuración de destino en la parte superior.
3. Haga clic en Crear > Syslog.

• Nombre: asigne al nuevo destino un nombre significativo, como Microsoft-Sentinel-Destination.
• Descripción: opcionalmente, déle una descripción significativa.
• Estado: establezca el estado en Habilitado.
• Formato: establezca el formato en CEF.
• FQDN/IP: escriba la dirección IP del dispositivo Linux en el que está instalado el agente de Linux.
• Puerto: deje el número de puerto en 514.
• Protocolo: seleccione el protocolo deseado y el certificado de ca si procede.
• Haga clic en Guardar & Cerrar.

4. Haga clic en la pestaña Configuración del flujo de tráfico en la parte superior.
5. Haga clic en Crear.

• Nombre: asigne al nuevo flujo de tráfico un nombre significativo, como Microsoft-Sentinel-Flow.
• Descripción: opcionalmente, déle una descripción significativa.
• Estado: establezca el estado en Habilitado.
• Expanda la sección Instancia de servicio .
• Instancia de servicio: seleccione la instancia de servicio deseada para la que está habilitado el servicio Data Connector.
• Expanda la sección Configuración de origen .
• Origen: seleccione BloxOne Cloud Source (Origen en la nube de BloxOne).
• Seleccione todos los tipos de registro deseados que desea recopilar. Los tipos de registro admitidos actualmente son:
• Registro de consultas o respuestas de Threat Defense
• Registro de aciertos de fuentes de amenazas de Threat Defense
• Registro de consulta/respuesta de DDI
• Registro de concesión dhcp de DDI
• Expanda la sección Configuración de destino .
• Seleccione el destino que acaba de crear.
• Haga clic en Guardar & Cerrar.

6. Permita que la configuración se active algún tiempo.

3. Validar la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben mediante el esquema CommonSecurityLog.

La conexión puede tardar unos 20 minutos en transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python -version

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para validar la conectividad:: <valor de variable proporcionado en tiempo de instalación.>

**4. Protección de la máquina **

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Aprende más >

---

Conector de datos de Infoblox a través de la API REST

Compatible con:Infoblox

Infoblox Data Connector le permite conectar fácilmente los datos de Infoblox TIDE y los datos de Dossier con Microsoft Sentinel. Al conectar los datos a Microsoft Sentinel, puede aprovechar las ventajas de la correlación & de búsqueda, las alertas y el enriquecimiento de inteligencia sobre amenazas para cada registro.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Failed_Range_To_Ingest_CL	No	No
Infoblox_Failed_Indicators_CL	No	No
dossier_whois_CL	No	No
dossier_whitelist_CL	No	No
dossier_tld_risk_CL	No	No
dossier_threat_actor_CL	No	No
dossier_rpz_feeds_records_CL	No	No
dossier_rpz_feeds_CL	No	No
dossier_nameserver_matches_CL	No	No
dossier_nameserver_CL	No	No
dossier_malware_analysis_v3_CL	No	No
dossier_inforank_CL	No	No
dossier_infoblox_web_cat_CL	No	No
dossier_geo_CL	No	No
dossier_dns_CL	No	No
dossier_atp_threat_CL	No	No
dossier_atp_CL	No	No
dossier_ptr_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Azure Suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requiere la clave de API de Infoblox . Consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a infoblox API para crear indicadores de amenazas para TIDE y extraer datos de Dossier en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución del cuaderno de estrategias TriggersSync.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 2: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución del cuaderno de estrategias TriggersSync. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución del cuaderno de estrategias TriggersSync.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 3: Asignar el rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

1. En el Azure Portal, vaya al grupo de recursos y seleccione el grupo de recursos.
2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
3. Haga clic en Agregar y, a continuación, seleccione Agregar asignación de roles.
4. Seleccione Colaborador como rol y haga clic en Siguiente.
5. En Asignar acceso a, seleccione User, group, or service principal.
6. Haga clic en Agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia:/azure/role-based-access-control/role-assignments-portal

PASO 4: Pasos para generar las credenciales de la API de Infoblox

Siga estas instrucciones para generar la clave de API de Infoblox. En infoblox Cloud Services Portal, genere una clave de API y cópiela en algún lugar seguro para usarlo en el paso siguiente. Puede encontrar instrucciones sobre cómo crear claves de API aquí.

PASO 5: Pasos para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de datos de Infoblox, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar a partir de lo siguiente) fácilmente disponibles.., así como las credenciales de autorización de la API de Infoblox.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Infoblox.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la información siguiente: Azure id. de inquilino Azure id. de cliente Azure identificador de recurso de clave de área de trabajo de id. de área de trabajo de la dirección URL base de Infoblox del secreto de cliente Azure nivel de cliente de App Insights

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

---

Conector de datos de Infoblox SOC Insight a través de AMA

Compatible con:Infoblox

Infoblox SOC Insight Data Connector le permite conectar fácilmente los datos de Infoblox BloxOne SOC Insight con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de la correlación & de búsqueda, las alertas y el enriquecimiento de inteligencia sobre amenazas para cada registro.

Este conector de datos ingiere los registros CDC de Infoblox SOC Insight en el área de trabajo de Log Analytics mediante el nuevo agente de Azure Monitor. Obtenga más información sobre la ingesta con el nuevo agente de monitor de Azure aquí. Microsoft recomienda usar este conector de datos.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommonSecurityLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Para recopilar datos de máquinas virtuales que no son Azure, deben tener Azure Arc instalado y habilitado. Más información
• El formato de evento común (CEF) a través de AMA y Syslog a través de conectores de datos AMA debe estar instalado. Más información

Instrucciones de instalación:

Claves del área de trabajo

Para usar los cuadernos de estrategias como parte de esta solución, busque el identificador del área de trabajo y la clave principal del área de trabajo a continuación para su comodidad.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave del área de trabajo: <valor variable proporcionado en tiempo de instalación>

Analizadores

Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo esperado denominado InfobloxCDC_SOCInsights que se implementa con la solución Microsoft Sentinel.

SOC Insights

Este conector de datos supone que tiene acceso a Infoblox BloxOne Threat Defense SOC Insights. Puede encontrar más información sobre SOC Insights aquí.

Conector de datos en la nube de Infoblox

Este conector de datos supone que ya se ha creado y configurado un host de Infoblox Data Connector en infoblox Cloud Services Portal (CSP). Dado que Infoblox Data Connector es una característica de BloxOne Threat Defense, se requiere acceso a una suscripción de BloxOne Threat Defense adecuada. Consulte esta guía de inicio rápido para obtener más información y requisitos de licencia.

Siga los pasos siguientes para configurar este conector de datos.

R. Configuración del formato de evento común (CEF) mediante el conector de datos AMA

Nota: Los registros CEF se recopilan solamente de los agentes de Linux

1. Vaya a la hoja Conectores de datos del área > de trabajo de Microsoft Sentinel.

2. Busque el formato de evento común (CEF) a través del conector de datos AMA y ábralo.

3. Asegúrese de que no hay ningún DCR existente configurado para recopilar la instalación necesaria de registros, ya que puede provocar la duplicación de registros. Cree una nueva DCR (regla de recopilación de datos).

   Nota: Se recomienda instalar el agente de AMA v1.27 como mínimo. Obtenga más información y asegúrese de que no hay ninguna DCR duplicada, ya que puede provocar la duplicación de registros.

4. Ejecute el comando proporcionado en la página Common Event Format (CEF) via AMA data connector (Formato de evento común (CEF) a través del conector de datos ama para configurar el recopilador cef en el equipo.

B. En infoblox Cloud Services Portal, configure Infoblox BloxOne para enviar datos de CEF Syslog al conector de datos en la nube de Infoblox para reenviarlos al agente de Syslog.

Siga los pasos siguientes para configurar infoblox CDC para enviar datos de BloxOne a Microsoft Sentinel a través del agente de Syslog de Linux.

1. Vaya a Administrar > conector de datos.
2. Haga clic en la pestaña Configuración de destino en la parte superior.
3. Haga clic en Crear > Syslog.

• Nombre: asigne al nuevo destino un nombre significativo, como Microsoft-Sentinel-Destination.
• Descripción: opcionalmente, déle una descripción significativa.
• Estado: establezca el estado en Habilitado.
• Formato: establezca el formato en CEF.
• FQDN/IP: escriba la dirección IP del dispositivo Linux en el que está instalado el agente de Linux.
• Puerto: deje el número de puerto en 514.
• Protocolo: seleccione el protocolo deseado y el certificado de ca si procede.
• Haga clic en Guardar & Cerrar.

4. Haga clic en la pestaña Configuración del flujo de tráfico en la parte superior.
5. Haga clic en Crear.

• Nombre: asigne al nuevo flujo de tráfico un nombre significativo, como Microsoft-Sentinel-Flow.
• Descripción: opcionalmente, déle una descripción significativa.
• Estado: establezca el estado en Habilitado.
• Expanda la sección Instancia de servicio .
• Instancia de servicio: seleccione la instancia de servicio deseada para la que está habilitado el servicio Data Connector.
• Expanda la sección Configuración de origen .
• Origen: seleccione BloxOne Cloud Source (Origen en la nube de BloxOne).
• Seleccione el Tipo de registro de notificaciones internas .
• Expanda la sección Configuración de destino .
• Seleccione el destino que acaba de crear.
• Haga clic en Guardar & Cerrar.

6. Permita que la configuración se active algún tiempo.

C. Validación de la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben mediante el esquema CommonSecurityLog.

La conexión puede tardar unos 20 minutos en transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python -version

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para validar la conectividad:: <valor de variable proporcionado en tiempo de instalación.>

**2. Protección de la máquina **

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Aprende más >

---

Conector de datos de Infoblox SOC Insight a través de la API REST

Compatible con:Infoblox

Infoblox SOC Insight Data Connector le permite conectar fácilmente los datos de Infoblox BloxOne SOC Insight con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de la correlación & de búsqueda, las alertas y el enriquecimiento de inteligencia sobre amenazas para cada registro.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
InfobloxInsight_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Claves del área de trabajo

Para usar los cuadernos de estrategias como parte de esta solución, busque el identificador del área de trabajo y la clave principal del área de trabajo a continuación para su comodidad.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave del área de trabajo: <valor variable proporcionado en tiempo de instalación>

Analizadores

Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo esperado denominado InfobloxInsight, que se implementa con la solución Microsoft Sentinel.

SOC Insights

Este conector de datos supone que tiene acceso a Infoblox BloxOne Threat Defense SOC Insights. Puede encontrar más información sobre SOC Insights aquí.

Siga los pasos siguientes para configurar este conector de datos.

1. Generar una clave de API de Infoblox y copiarla en algún lugar seguro

En infoblox Cloud Services Portal, genere una clave de API y cópiela en algún lugar seguro para usarlo en el paso siguiente. Puede encontrar instrucciones sobre cómo crear claves de API aquí.

2. Configurar el cuaderno de estrategias Infoblox-SOC-Get-Open-Insights-API

Cree y configure el cuaderno de estrategias Infoblox-SOC-Get-Open-Insights-API que se implementa con esta solución. Escriba la clave de API de Infoblox en el parámetro adecuado cuando se le solicite.

---

InfoSecGlobal Data Connector

Compatible con:InfoSecGlobal

Use este conector de datos para integrarse con InfoSec Crypto Analytics y obtener datos enviados directamente a Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
InfoSecAnalytics_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

InfoSecGlobal Crypto Analytics Data Connector

1. Los datos se envían a Microsoft Sentinel a través de Logstash
2. La configuración de Logstash necesaria se incluye con la instalación de Crypto Analytics
3. La documentación proporcionada con la instalación de Crypto Analytics explica cómo habilitar el envío de datos a Microsoft Sentinel

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Registros de seguridad de IONIX (a través de Codeless Connector Framework)

Compatible con:IONIX

El conector IONIX permite ingerir elementos de acción de la plataforma ionix attack surface management en Microsoft Sentinel mediante Codeless Connector Framework (CCF). Los elementos de acción representan los hallazgos de seguridad y las vulnerabilidades que requieren corrección.

Este conector sondea automáticamente la API de IONIX y escribe datos en la tabla de CyberpionActionItems_CL.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyberpionActionItems_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Token de API de IONIX: se requiere un token de API del portal de IONIX. Cree uno en la API de configuración > en el portal de IONIX.

Instrucciones de instalación:

Conexión de IONIX a Microsoft Sentinel

Este conector usa la API de IONIX para sondear automáticamente los elementos de acción e ingerirlos en Microsoft Sentinel. Necesita un token de API en el portal de IONIX.

• Token de API de IONIX: (Escriba el token de LA API JWT desde la API de configuración de > IONIX)
• Nombre de cuenta de IONIX: (cyberpion)
• Habilitar o deshabilitar la conexión

---

Conector de datos de abuso de IPinfo

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar standard_abuse conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_Abuse_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos asn de IPinfo

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar standard_ASN conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_ASN_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos del operador IPinfo

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar standard_carrier conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_Carrier_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de la empresa IPinfo

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar standard_company conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_Company_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de IPinfo Core

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar conjuntos de datos principales e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_CORE_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos ASN de IPinfo Country

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar country_asn conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_Country_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de dominio IPinfo

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar standard_domain conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_Domain_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de iplocation de IPinfo

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar standard_location conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_Location_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

IPinfo Iplocation Extended Data Connector

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar standard_location_extended conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_Location_extended_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos IPinfo Plus

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar conjuntos de datos plus e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_PLUS_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de privacidad de IPinfo

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar standard_privacy conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_Privacy_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos extendidos de privacidad de IPinfo

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar standard_privacy conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_Privacy_extended_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos IPinfo ResProxy

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar conjuntos de datos resProxy e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_RESIDENTIAL_PROXY_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos IPinfo RIRWHOIS

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar conjuntos de datos RIRWHOIS e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_RIRWHOIS_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de IPinfo RWHOIS

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar conjuntos de datos RWHOIS e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_RWHOIS_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos ASN de IPinfo WHOIS

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar WHOIS_ASN conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_WHOIS_ASN_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de IPinfo WHOIS MNT

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar WHOIS_MNT conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_WHOIS_MNT_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de IPinfo WHOIS NET

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar WHOIS_NET conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_WHOIS_NET_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de IPinfo WHOIS ORG

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar WHOIS_ORG conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_WHOIS_ORG_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Conector de datos de IPinfo WHOIS POC

Compatible con:IPinfo

Este conector de datos IPinfo instala una aplicación de función de Azure para descargar WHOIS_POC conjuntos de datos e insertarlos en una tabla de registro personalizada en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ipinfo_WHOIS_POC_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de IPinfo: recupere el token de API de IPinfo aquí.

Instrucciones de instalación:

1. Recuperación del token de API

Recupere el token de API de IPinfo aquí.

2. En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD)

En el inquilino de Azure AD, cree una aplicación Azure Active Directory (AAD) y adquiera el identificador de inquilino, el identificador de cliente y el secreto de cliente: use este vínculo.

3. Asigne a la aplicación de AAD el rol colaborador Microsoft Sentinel.

Asigne la aplicación de AAD que acaba de crear a colaborador (roles de administrador con privilegios) y publicador de métricas de supervisión (roles de función de trabajo) en el mismo "grupo de recursos" que usa para "Área de trabajo de análisis de registros" en la que se agrega "Microsoft Sentinel": Use este vínculo.

4. Obtención del identificador de recurso del área de trabajo

Use la hoja Log Analytics Workspace - Properties (Área de trabajo de análisis de registros:> propiedades) que tiene el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Implementar la función Azure

Úselo para la implementación automatizada del conector de datos IPinfo mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos IPinfo manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local Azure Function App.
2. Cree function app mediante el plan de Hospedaje de Functions Premium o App Service mediante la opción avanzada mediante VSCode.
3. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación Azure Functions mediante VSCode.
4. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En La aplicación de funciones, seleccione el Nombre de la aplicación de función y seleccione Configuración:> variables de configuración o entorno.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Island Enterprise Browser V2

Compatible con:Island

Island Enterprise Browser V2 Data Connector permite ingerir eventos de usuario, eventos de administración y eventos del sistema, todo dentro de un único conector.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Island_UserEvents_V2_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Clave de API de isla: se requiere una clave de API de isla. Genere la clave de API a través de island management console. Para obtener más instrucciones, consulte la documentación oficial de la isla.

Instrucciones de instalación:

Conexión de isla a Microsoft Sentinel

La dirección URL de API y la clave de API están disponibles a través de island management console. Para obtener más instrucciones, consulte la documentación oficial de la isla.

• DIRECCIÓN URL de API: (DIRECCIÓN URL de API)
• Clave de API: (Clave)
• Habilitar o deshabilitar la conexión

---

Jamf Protect Push Connector

Compatible con:Jamf Software, LLC

El conector Jamf Protect proporciona la capacidad de leer datos de eventos sin procesar de Jamf Protect en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
jamfprotecttelemetryv2_CL	Sí	Sí
jamfprotectunifiedlogs_CL	Sí	Sí
jamfprotectalerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Este conector lee los datos de las tablas que Jamf Protect usa en un área de trabajo de Microsoft Analytics, si la opción de reenvío de datos está habilitada en Jamf Protect, los datos de eventos sin procesar se envían a la API de ingesta de Microsoft Sentinel.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Insertar los registros en el área de trabajo

Use los parámetros siguientes para configurar la máquina para enviar los registros al área de trabajo.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Nombre de Stream registros unificados: <valor de variable proporcionado en tiempo de instalación>
• Nombre de Stream de telemetría: <valor de variable proporcionado en el momento de la instalación>
• Alertas Stream Nombre: <valor de variable proporcionado en tiempo de instalación>

---

JoeSandboxThreatIntelligence (mediante Azure Functions)

Compatible con:Stefan Bühlmann

El conector JoeSandboxThreatIntelligence genera y alimenta automáticamente la inteligencia sobre amenazas para todos los envíos a JoeSandbox, lo que mejora la detección de amenazas y la respuesta a incidentes en Sentinel. Esta integración perfecta permite a los equipos abordar proactivamente las amenazas emergentes.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en azure active directory() y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requiere la clave de API de JoeSandbox .

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API JoeSandbox para extraer los IOC de JoeSandbox Threat en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage costos. Consulte la página de precios de Azure Functions y Azure Blob Storage página de precios para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM) para el plan de consumo flexible

Use este método para la implementación automatizada del conector de datos mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador de aplicación, el identificador de inquilino, el secreto de cliente, la clave de API de JoeSandbox, la fecha de captura inicial de JoeSandbox, TimeInterval e deploy.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: plantilla de Azure Resource Manager (ARM) para el plan Premium

Use este método para la implementación automatizada del conector de datos mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador de aplicación, el identificador de inquilino, el secreto de cliente, la clave de API de JoeSandbox, la fecha de captura inicial de JoeSandbox, TimeInterval e deploy.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

---

Conector de inserción de seguridad de Keeper

Compatible con:Keeper Security

El conector de seguridad de Keeper proporciona la capacidad de leer datos de eventos sin procesar de Keeper Security en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
KeeperSecurityEventNewLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Este conector lee datos de las tablas que Keeper Security usa en un área de trabajo de Microsoft Analytics, si la opción de reenvío de datos está habilitada en Keeper Security, los datos de eventos sin procesar se envían a la API de ingesta de Microsoft Sentinel.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Insertar los registros en el área de trabajo

Use los parámetros siguientes para configurar la máquina para enviar los registros al área de trabajo.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Registros de eventos Stream Nombre: <valor de variable proporcionado en tiempo de instalación>

3. Actualizar la consola de Administración de Keeper

Configure la consola de Keeper Administración con los detalles de conexión de Azure para habilitar el reenvío de datos a Microsoft Sentinel.

Configuración de registros de Azure Monitor en la consola de Keeper Administración

En la consola de Keeper Administración, inicie sesión como administrador de Keeper. A continuación, vaya a Alertas de & informes y seleccione Azure Supervisar registros.

Proporcione la siguiente información del paso 2 anterior en la consola de Administración:

• Azure identificador de inquilino: puede encontrarlo en el área "Suscripciones" de Azure.
• Identificador de aplicación (cliente): se encuentra en la pantalla de información general registro de aplicaciones (KeeperLogging)
• Valor secreto de cliente: este es el valor secreto de cliente de los secretos de registro de la aplicación.
• Dirección URL del punto de conexión: se trata de una dirección URL que se crea en el siguiente formato específico: https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01

Para ensamblar la dirección URL del punto de conexión:

• <Dirección URL> de la colección Procede del paso 2 anterior
• < >DCR_ID De la regla del recopilador de datos, copie el valor "Id. inmutable", por ejemplo,dcr-xxxxxxx
• Este es el nombre de tabla creado por Azure, por ejemplo,Custom-KeeperSecurityEventNewLogs

  Ejemplo: https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01

  
  
  

  ---

  LastPass Enterprise: informes (CCF de sondeo)

  Compatible con:The Collective Consulting

  El conector LastPass Enterprise proporciona la funcionalidad de los registros de informes (auditoría) de LastPass en Microsoft Sentinel. El conector proporciona visibilidad sobre los inicios de sesión y la actividad dentro de LastPass (como leer y quitar contraseñas).

  Tablas de Log Analytics:

  Tabla	Compatibilidad con DCR	Ingesta solo de lago
  LastPassNativePoller_CL	Sí	Sí

  Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

  Requisitos previos:

  • LastPass API Key y CID: se requiere una clave de API de LastPass y CID. Para obtener más información, consulte LastPass API.

  Instrucciones de instalación:

  Conexión de LastPass Enterprise a Microsoft Sentinel

  Proporcione la clave de API de aprovisionamiento de LastPass.

  
  
  

---

Lookout Mobile Threat Detection Connector (a través de Codeless Connector Framework) (versión preliminar)

Compatible con:Lookout

El conector de datos Detección de amenazas móviles de Lookout proporciona la capacidad de ingerir eventos relacionados con los riesgos de seguridad móviles en Microsoft Sentinel a través de Mobile Risk API. Consulte la documentación de la API para obtener más información. Este conector le ayuda a examinar los posibles riesgos de seguridad detectados en los dispositivos móviles.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
LookoutMtdV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión del conector de Lookout Mobile Threat Defense a Microsoft Sentinel

Antes de conectarse a Lookout, asegúrese de que se completan los siguientes requisitos previos.

1. ApiKey es necesario para Mobile Threat Detection API. Consulte la documentación para obtener más información sobre la API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

• Clave de API: (Escriba la clave de API )
• Habilitar o deshabilitar la conexión

---

IOC de Luminar y credenciales filtradas (mediante Azure Functions)

Compatible con:Cognyte Luminar

Los IOC de Luminar y el conector de credenciales filtradas permiten la integración de datos IOC basados en inteligencia y registros filtrados relacionados con el cliente identificados por Luminar.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en azure active directory() y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requiere el identificador de cliente de Luminar, el secreto de cliente de Luminar y el identificador de cuenta de Luminar .

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Luminar de Cognyte para extraer los IIC de Luminar y las credenciales filtradas en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage costos. Consulte la página de precios de Azure Functions y Azure Blob Storage página de precios para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador de la aplicación, el identificador de inquilino, el secreto de cliente, el identificador de cliente de la API de Luminar, el identificador de la cuenta de la API de Luminar, el secreto de cliente de la API de Luminar, el límite, timeInterval y la implementación.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Cognyte Luminar manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA:Tendrá que preparar el código VS para el desarrollo de funciones Azure.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, CognyteLuminarXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): Id. de inquilino de la aplicación Secreto de cliente de la API luminar Id. de cliente de Luminar Id. de la API luminar Tiempo límite de cliente de Luminar APIInterval: use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente:https://<CustomerId>.ods.opinsights.azure.us

12. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

MailGuard 365

Compatible con:MailGuard 365

Seguridad de Email mejorada de MailGuard 365 para Microsoft 365. Exclusivo de Microsoft Marketplace, MailGuard 365 se integra con la seguridad de Microsoft 365 (incluido Defender) para mejorar la protección contra amenazas avanzadas de correo electrónico, como phishing, ransomware y ataques BEC sofisticados.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
MailGuard365_Threats_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Configuración y conexión de MailGuard 365

1. En la consola de MailGuard 365, haga clic en Configuración en la barra de navegación.
2. Haga clic en la pestaña Integraciones .
3. Haga clic en habilitar Microsoft Sentinel.
4. Escriba el identificador del área de trabajo y la clave principal en los campos siguientes y haga clic en Finalizar.
5. Para obtener instrucciones adicionales, póngase en contacto con el soporte técnico de MailGuard 365.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

MailRisk por práctica segura

Compatible con:Secure Practice

El conector MailRisk by Secure Practice le permite ingerir datos de inteligencia sobre amenazas por correo electrónico de la API mailRisk en Microsoft Sentinel. Este conector proporciona visibilidad sobre los correos electrónicos notificados, las evaluaciones de riesgos y los eventos de seguridad relacionados con las amenazas de correo electrónico.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
MailRiskEventEmails_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Credenciales de API: también se necesita el par de claves de LA API de práctica segura, que se crean en la configuración del portal de administración. Genere un nuevo par de claves con la descripción Microsoft Sentinel.

Instrucciones de instalación:

1. Obtención de credenciales de LA API de práctica segura

Inicie sesión en su cuenta de Práctica segura y genere una clave de API y un secreto de API si aún no lo ha hecho.

2. Conectarse a MailRisk API

Escriba las credenciales de Secure Practice API a continuación. Las credenciales se almacenarán y usarán de forma segura para autenticar las solicitudes de API.

• Clave de API: (escriba la clave de API de práctica segura)
• Secreto de API: (Escriba el secreto de LA API de práctica segura)
• Habilitar o deshabilitar la conexión

---

meshStack Event Logs

Compatible con:meshcloud GmbH

El conector de registros de eventos meshStack proporciona la capacidad de ingerir eventos de la plataforma meshStack en Microsoft Sentinel. Al conectar los registros de eventos de meshStack a Microsoft Sentinel, puede ver estos datos en libros, usarlos para crear alertas personalizadas y mejorar el proceso de investigación para la gobernanza, auditoría y supervisión de cumplimiento de la plataforma en la nube.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
meshStackEventLogs_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• meshStack OAuth2 API Key: se requiere una clave de API meshStack válida con el permiso "Administración: Enumerar registros de eventos en cualquier área de trabajo". Cree la clave de API en el panel meshStack Administración en Access Control > claves de API. La clave de API proporciona credenciales de OAuth2 (id. de clave como client_id y secreto de clave como client_secret) para la autenticación. Nota: La clave de API está enlazada a un área de trabajo, pero puede acceder a eventos desde todas las áreas de trabajo.
• meshStack Instance: acceso a una instancia de meshStack con la API events habilitada.

Instrucciones de instalación:

Conexión de los registros de eventos de meshStack a Microsoft Sentinel

Escriba la dirección URL de la API de instancia de meshStack y las credenciales de OAuth2 desde la clave de API. El formato de dirección URL de API debe ser: https://your-meshstack-instance.io. Cree una clave de API en meshStack (Administración panel > Access Control > claves de API) con el permiso "Administración: Enumerar registros de eventos en cualquier área de trabajo". La clave de API proporciona un identificador de clave (client_id) y un secreto de clave (client_secret) para la autenticación de OAuth2.

• dirección URL de api meshStack: (https://your-meshstack-instance.io)
• Id. de cliente (id. de clave): (Escriba el identificador de clave de la clave de API)
• Secreto de cliente (secreto de clave): (Escriba el secreto de clave de la clave de API)
• Habilitar o deshabilitar la conexión

---

Microsoft 365 (anteriormente, Office 365)

Compatible con:Microsoft Corporation

El conector de registro de actividad de Microsoft 365 (anteriormente, Office 365) proporciona información sobre las actividades continuas del usuario. Obtendrá detalles de operaciones como descargas de archivos, solicitudes de acceso enviadas, cambios en eventos de grupo, set-mailbox y detalles del usuario que realizó las acciones. Al conectar los registros de Microsoft 365 a Microsoft Sentinel puede usar estos datos para ver paneles, crear alertas personalizadas y mejorar el proceso de investigación. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OfficeActivity	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Administración de riesgos internos de Microsoft 365

Compatible con:Microsoft Corporation

Microsoft 365 Insider Risk Management es una solución de cumplimiento de Microsoft 365 que ayuda a minimizar los riesgos internos al permitirle detectar, investigar y actuar sobre actividades malintencionadas e involuntariamente en su organización. Los analistas de riesgo de su organización pueden tomar rápidamente las medidas adecuadas para asegurarse de que los usuarios cumplen los estándares de cumplimiento de su organización.

Las directivas de riesgo internos le permiten:

• defina los tipos de riesgos que desea identificar y detectar en su organización.
• decida qué acciones tomar en respuesta, incluido el escalado de casos a Microsoft Advanced eDiscovery si es necesario.

Esta solución genera alertas que los clientes de Office pueden ver en la solución Insider Risk Management del Centro de cumplimiento de Microsoft 365. Más información sobre Insider Risk Management.

Estas alertas se pueden importar en Microsoft Sentinel con este conector, lo que le permite ver, investigar y responder a ellas en un contexto de amenaza organizativo más amplio. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityAlert	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Registros de eventos de seguridad de controladores de dominio de Microsoft Active-Directory

Compatible con:Community

[Opción 3 & 4] - Uso de Azure Agente de supervisión: puede transmitir una parte o todos los registros de eventos de seguridad de controladores de dominio desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite crear alertas personalizadas y mejorar la investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityEvent	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Log Analytics estará en desuso, para recopilar datos de máquinas virtuales que no son Azure, se recomienda Azure Arc. Más información
• Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí. >

Instrucciones de instalación:

NOTA: Esta solución se basa en opciones. Esto le permite elegir qué datos se van a ingerir, ya que algunas opciones pueden generar un volumen muy alto de datos. En función de lo que quiera recopilar, realice un seguimiento de los libros, las reglas de análisis y las funcionalidades de búsqueda, elija las opciones que va a implementar. Cada opción es independiente de una de la otra. Para obtener más información sobre cada opción: wiki "Seguridad de Microsoft Exchange"

Este conector de datos es la opción 3 y 4 de la wiki.

1. Descargue e instale los agentes necesarios para recopilar registros de Microsoft Sentinel

El tipo de servidores (servidores de Exchange, controladores de dominio vinculados a servidores exchange o todos los controladores de dominio) depende de la opción que quiera implementar.

Implementación de agentes de supervisión

Este paso solo es necesario si es la primera vez que incorpora los servidores o controladores de dominio de Exchange Implemente la Azure Agente de Arc Más información

Registros de seguridad de controladores de dominio

Seleccione cómo transmitir registros de seguridad de controladores de dominio. Si desea implementar la opción 3, solo tiene que seleccionar CONTROLADOR de dominio en el mismo sitio que los servidores de Exchange. Si desea implementar la opción 4, puede seleccionar todos los controladores de dominio del bosque.

[Opción 3] Enumerar solo los controladores de dominio en el mismo sitio que los servidores de Exchange para el paso siguiente

Esto limita la cantidad de datos injested, pero no se puede detectar algún incidente.

[Opción 4] Enumere todos los controladores de dominio del bosque de Active-Directory para el paso siguiente.

Esto permite recopilar todos los eventos de seguridad

Recopilación de registros de eventos de seguridad

Reglas de recopilación de datos: registros de eventos de seguridad

Habilitar la regla de recopilación de datos para registros de seguridad Los registros de eventos de seguridad solo se recopilan de agentes de Windows .

1. Agregue los controladores de dominio elegidos en la pestaña Recursos .
2. Seleccione Nivel de registro de seguridad

El nivel común es el mínimo necesario. Seleccione "Común" o "Todos los eventos de seguridad" en la definición de DCR.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

---

Microsoft Copilot

Compatible con:Microsoft

El conector de registros de Microsoft Copilot en Microsoft Sentinel permite la ingesta sin problemas de registros de actividad generados por Copilot desde M365 Copilot y Security Copilot en Microsoft Sentinel para la detección, investigación y respuesta avanzadas de amenazas. Recopila telemetría de Microsoft Copilot servicios, como datos de uso y respuestas del sistema, e ingerir en Microsoft Sentinel, lo que permite a los equipos de seguridad supervisar el uso indebido, detectar anomalías y mantener el cumplimiento de las directivas de la organización.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CopilotActivity	No	Sí

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos de inquilino: "Administrador de seguridad" o "Administrador global" en el inquilino del área de trabajo.

Instrucciones de instalación:

Conexión de registros de auditoría de Microsoft Copilot a Microsoft Sentinel

Este conector usa la API de Administración de Office para obtener los registros de auditoría de Microsoft Copilot. Los registros se almacenarán y procesarán en el área de trabajo de Microsoft Sentinel existente. Puede encontrar los datos en la tabla CopilotActivity .

• Habilitar o deshabilitar la conexión

---

Microsoft Dataverse

Compatible con:Microsoft Corporation

Microsoft Dataverse es una plataforma de datos escalable y segura que permite a las organizaciones almacenar y administrar los datos utilizados por las aplicaciones empresariales. El conector de datos de Microsoft Dataverse proporciona la capacidad de ingerir registros de actividad de Dataverse y Dynamics 365 CRM desde el inicio de sesión de Auditoría de Microsoft Purview en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
DataverseActivity	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos de inquilino: "Administrador de seguridad" o "Administrador global" en el inquilino del área de trabajo.
• Micorosft Purview Audit: Auditoría de Microsoft Purview (Standard o Premium) debe activarse.
• Dataverse de producción: el registro de actividad solo está disponible para entornos de producción. Otros tipos, como el espacio aislado, no admiten el registro de actividad.
• Configuración de auditoría de dataverse: la configuración de auditoría debe configurarse globalmente y en el nivel de entidad o tabla. Para obtener más información, consulte Configuración de auditoría de Dataverse.

Instrucciones de instalación:

Conexión de registros de auditoría de Microsoft Dataverse a Microsoft Sentinel

Este conector usa office management API para obtener los registros de auditoría de Dataverse. Los registros se almacenarán y procesarán en el área de trabajo de Microsoft Sentinel existente. Puede encontrar los datos en la tabla DataverseActivity .

• Habilitar o deshabilitar la conexión

---

Microsoft Defender for Cloud Apps

Compatible con:Microsoft Corporation

Al conectarse con Microsoft Defender for Cloud Apps obtendrá visibilidad de las aplicaciones en la nube, obtendrá análisis sofisticados para identificar y combatir las ciberamenazas y controlará cómo viajan los datos.

• Identifique las aplicaciones en la nube de shadow IT en la red.
• Controlar y limitar el acceso en función de las condiciones y el contexto de sesión.
• Use directivas integradas o personalizadas para el uso compartido de datos y la prevención de pérdida de datos.
• Identifique el uso de alto riesgo y obtenga alertas para actividades de usuario inusuales con las funcionalidades de análisis de comportamiento y detección de anomalías de Microsoft, incluida la actividad de ransomware, los viajes imposibles, las reglas de reenvío de correo electrónico sospechosas y la descarga masiva de archivos.
• Descarga masiva de archivos

Implementación ahora >

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityAlert​	No	No
McasShadowItReporting​	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

Microsoft Defender para punto de conexión

Compatible con:Microsoft Corporation

Microsoft Defender para punto de conexión es una plataforma de seguridad diseñada para prevenir, detectar, investigar y responder a amenazas avanzadas. La plataforma crea alertas cuando se ven eventos de seguridad sospechosos en una organización. Capturar alertas generadas en Microsoft Defender para punto de conexión para Microsoft Sentinel para que pueda analizar eventos de seguridad de forma eficaz. Puede crear reglas, crear paneles y crear cuadernos de estrategias para una respuesta inmediata. Para obtener más información, consulte la documentación >de Microsoft Sentinel .

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityAlert	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Microsoft Defender for Identity

Compatible con:Microsoft Corporation

Conecte Microsoft Defender for Identity para obtener visibilidad sobre los eventos y el análisis de usuarios. Microsoft Defender for Identity identifica, detecta y le ayuda a investigar amenazas avanzadas, identidades en peligro y acciones internas malintencionadas dirigidas a su organización. Microsoft Defender for Identity permite a los analistas y profesionales de seguridad de SecOp luchar para detectar ataques avanzados en entornos híbridos para:

• Supervisión de usuarios, comportamiento de entidad y actividades con análisis basado en aprendizaje
• Proteger las identidades y credenciales de los usuarios almacenadas en el Active Directory
• Identificar e investigar las actividades sospechosas de los usuarios y los ataques avanzados a lo largo de la cadena de exterminio
• Proporcionar información clara sobre los incidentes en una línea de tiempo simple para una rápida evaluación de errores

Pruébelo ahora >

Implementación ahora >

Para obtener más información, consulte la documentación >de Microsoft Sentinel .

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityAlert	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Microsoft Defender para IoT

Compatible con:Microsoft Corporation

Obtenga información sobre la seguridad de IoT mediante la conexión de Microsoft Defender para alertas de IoT a Microsoft Sentinel. Puede obtener datos y métricas de alertas de fábrica, incluidas las tendencias de alerta, las alertas principales y el desglose de alertas por gravedad. También puede obtener información sobre las recomendaciones proporcionadas para los centros de IoT, incluidas las recomendaciones y recomendaciones principales por gravedad. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityAlert	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Microsoft Defender para Office 365 (versión preliminar)

Compatible con:Microsoft Corporation

Microsoft Defender para Office 365 protege su organización frente a amenazas malintencionadas planteadas por mensajes de correo electrónico, vínculos (DIRECCIONES URL) y herramientas de colaboración. Al ingerir Microsoft Defender para Office 365 alertas en Microsoft Sentinel, puede incorporar información sobre las amenazas basadas en direcciones URL y correo electrónico en el análisis de riesgos más amplio y crear escenarios de respuesta en consecuencia.

Se importarán los siguientes tipos de alertas:

• Se ha detectado un clic en una dirección URL potencialmente maliciosa
• Mensajes de correo electrónico que contienen malware quitados después de la entrega
• Mensajes de correo electrónico que contienen direcciones URL de cebo quitados después de la entrega
• Correo electrónico notificado por el usuario como malware o cebo
• Se detectaron patrones de envío de correo electrónico sospechosos
• Usuario al que se le ha restringido el envío de correo electrónico

Los clientes de Office pueden ver estas alertas en el ** Centro de seguridad y cumplimiento de Office**.

Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityAlert	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Inteligencia contra amenazas de Microsoft Defender

Compatible con:Microsoft Corporation

Microsoft Sentinel proporciona la capacidad de importar inteligencia sobre amenazas generada por Microsoft para habilitar la supervisión, las alertas y la búsqueda. Use este conector de datos para importar indicadores de peligro (IOC) de Inteligencia contra amenazas de Microsoft Defender (MDTI) a Microsoft Sentinel. Los indicadores de amenazas pueden incluir direcciones IP, dominios, direcciones URL y hashes de archivo, etc.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Microsoft Defender XDR

Compatible con:Microsoft Corporation

Microsoft Defender XDR es un conjunto de defensa empresarial unificado, integrado de forma nativa, anterior y posterior a la vulneración que protege los puntos de conexión, la identidad, el correo electrónico y las aplicaciones, y le ayuda a detectar, prevenir, investigar y responder automáticamente a amenazas sofisticadas.

Microsoft Defender XDR suite incluye:

• Microsoft Defender para punto de conexión
• Microsoft Defender for Identity
• Microsoft Defender para Office 365
• Administración de vulnerabilidades & amenazas
• Microsoft Defender for Cloud Apps

Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityIncident	Sí	Sí
SecurityAlert	Sí	Sí
DeviceEvents	Sí	Sí
EmailEvents	Sí	Sí
IdentityLogonEvents	Sí	Sí
CloudAppEvents	Sí	Sí
AlertEvidence	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Microsoft Entra ID

Compatible con:Microsoft Corporation

Obtenga información sobre Microsoft Entra ID conectando los registros de auditoría e inicio de sesión a Microsoft Sentinel para recopilar información sobre Microsoft Entra ID escenarios. Puede obtener información sobre el uso de la aplicación, las directivas de acceso condicional, los detalles relacionados con la autenticación heredada mediante nuestros registros de inicio de sesión. Puede obtener información sobre el uso del autoservicio de restablecimiento de contraseña (SSPR), Microsoft Entra ID Actividades de administración como usuario, grupo, rol, administración de aplicaciones mediante nuestra tabla Registros de auditoría. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SigninLogs	Sí	Sí
AuditLogs	Sí	Sí
AADNonInteractiveUserSignInLogs	Sí	Sí
AADServicePrincipalSignInLogs	Sí	Sí
AADManagedIdentitySignInLogs	Sí	Sí
AADProvisioningLogs	Sí	Sí
ADFSSignInLogs	Sí	Sí
AADUserRiskEvents	Sí	Sí
AADRiskyUsers	Sí	Sí
NetworkAccessTraffic	Sí	Sí
AADRiskyServicePrincipals	Sí	Sí
AADServicePrincipalRiskEvents	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

recursos de Microsoft Entra ID

Compatible con:Microsoft Corporation

Entra conector de datos de recursos de identificador proporciona información más detallada sobre los datos de actividad complementando los detalles con información de recursos. Los datos de este conector se usan para crear gráficos de riesgo de datos en Purview. Si ha habilitado esos gráficos, la desactivación de este conector impedirá que se compilen los gráficos. Obtenga información sobre el gráfico de riesgo de datos.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

---

protección de Microsoft Entra ID

Compatible con:Microsoft Corporation

Protección de Microsoft Entra ID proporciona una vista consolidada de los usuarios de riesgo, los eventos de riesgo y las vulnerabilidades, con la capacidad de corregir el riesgo inmediatamente y establecer directivas para corregir automáticamente eventos futuros. El servicio se basa en la experiencia de Microsoft para proteger las identidades de los consumidores y obtiene una gran precisión de la señal de más de 13 000 millones de inicios de sesión al día. Integre alertas de Microsoft Protección de Microsoft Entra ID con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Para obtener más información, consulte la documentación de Microsoft Sentinel .

Obtener Microsoft Entra ID Premium P1/P2

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityAlert	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Registros de auditoría de Microsoft Exchange Administración por registros de eventos

Compatible con:Community

[Opción 1] - Usar Azure Agente de supervisión: puede transmitir todos los eventos de Auditoría de Exchange desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación. Los libros de seguridad de Microsoft Exchange lo usan para proporcionar información de seguridad del entorno local de Exchange.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Event	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Log Analytics estará en desuso, para recopilar datos de máquinas virtuales que no son Azure, se recomienda Azure Arc. Más información
• Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí. >

Instrucciones de instalación:

NOTA: Esta solución se basa en opciones. Esto le permite elegir qué datos se van a ingerir, ya que algunas opciones pueden generar un volumen muy alto de datos. En función de lo que quiera recopilar, realice un seguimiento de los libros, las reglas de análisis y las funcionalidades de búsqueda, elija las opciones que va a implementar. Cada opción es independiente de una de la otra. Para obtener más información sobre cada opción: wiki "Seguridad de Microsoft Exchange"

Este conector de datos es la opción 1 de la wiki.

1. Descargue e instale los agentes necesarios para recopilar registros de Microsoft Sentinel

El tipo de servidores (servidores de Exchange, controladores de dominio vinculados a servidores exchange o todos los controladores de dominio) depende de la opción que quiera implementar.

Implementación de agentes de supervisión

Este paso solo es necesario si es la primera vez que incorpora los servidores o controladores de dominio de Exchange Implemente la Azure Agente de Arc Más información

2. [Opción 1] Recopilación de registros de administración de MS Exchange: MS Exchange Administración Auditar registros de eventos por reglas de recopilación de datos

Los registros de eventos de MS Exchange Administración Audit se recopilan mediante reglas de recopilación de datos (DCR) y permiten almacenar todos los cmdlets administrativos ejecutados en un entorno de Exchange.

DCR

Implementación de reglas de recopilación de datos

Habilitar la regla de recopilación de datos Microsoft Exchange Administración los registros de eventos de auditoría solo se recopilan de agentes de Windows.

Opción 1: plantilla de Azure Resource Manager (ARM) (preferible)

Use este método para la implementación automatizada de DCR.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el nombre del área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

R. Creación de DCR, registro de eventos de tipo

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios, Seleccione Windows como tipo de plataforma y asigne un nombre al DCR.
4. En la pestaña Recursos , escriba Servidores Exchange.
5. En "Recopilar y entregar", agregue un tipo de origen de datos "Registros de eventos de Windows" y seleccione la opción "Personalizado", escriba "Administración de MSExchange" como expresión y agréguelo.
6. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado. Los analizadores se implementan automáticamente con la solución. Siga los pasos para crear el alias de Kusto Functions: ExchangeAdminAuditLogs

Los analizadores se implementan automáticamente durante la implementación de la solución. Si desea realizar la implementación manualmente, siga los pasos que se indican a continuación.

Implementación manual del analizador

1. Descargar el archivo del analizador

La versión más reciente del archivo ExchangeAdminAuditLogs

2. Creación de la función Parser ExchangeAdminAuditLogs

En el explorador de registros del análisis de registros del Microsoft Sentinel, copie el contenido del archivo en el Explorador de registros.

3. Guardar función ExchangeAdminAuditLogs del analizador

Haga clic en el botón Guardar. No se necesita ningún parámetro para este analizador. Vuelva a hacer clic en Guardar.

---

Registros de proxy HTTP de Microsoft Exchange

Compatible con:Community

[Opción 7] - Usar Azure Agente de supervisión: puede transmitir registros de proxy HTTP y registros de eventos de seguridad desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite crear alertas personalizadas y mejorar la investigación. Más información

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ExchangeHttpProxy_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Log Analytics quedará en desuso: Azure Log Analytics quedará en desuso, para recopilar datos de máquinas virtuales que no son Azure, se recomienda Azure Arc. Más información
• Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí. >

Instrucciones de instalación:

NOTA: Esta solución se basa en opciones. Esto le permite elegir qué datos se van a ingerir, ya que algunas opciones pueden generar un volumen muy alto de datos. En función de lo que quiera recopilar, realice un seguimiento de los libros, las reglas de análisis y las funcionalidades de búsqueda, elija las opciones que va a implementar. Cada opción es independiente de una de la otra. Para obtener más información sobre cada opción: wiki "Seguridad de Microsoft Exchange"

Este conector de datos es la opción 7 de la wiki.

1. Descargue e instale los agentes necesarios para recopilar registros de Microsoft Sentinel

El tipo de servidores (servidores de Exchange, controladores de dominio vinculados a servidores exchange o todos los controladores de dominio) depende de la opción que quiera implementar.

Implementación de agentes de supervisión

Este paso solo es necesario si es la primera vez que incorpora los servidores o controladores de dominio de Exchange Implemente la Azure Agente de Arc Más información

2. [Opción 7] Proxy HTTP de servidores Exchange

Seleccione cómo transmitir el proxy HTTP de servidores exchange

Reglas de recopilación de datos: cuando se usa Azure Agente de Supervisión

Habilitar la regla de recopilación de datos El seguimiento de mensajes solo se recopila de agentes de Windows .

Opción 1: plantilla de Azure Resource Manager (ARM) (método preferido)

Use este método para la implementación automatizada de DCE y DCR.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Puede cambiar el nombre propuesto del DCE.

4. Haga clic en Crear para implementar.

B. Implementación de una regla de conexión de datos

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el id. de área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

Creación de una tabla personalizada: explicación

La tabla personalizada no se puede crear mediante el portal de Azure. Debe usar una plantilla de ARM, un script de PowerShell u otro método descrito aquí.

Creación de una tabla personalizada mediante una plantilla de ARM

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos, la ubicación y el nombre del área de trabajo analítica preferidos.

3. Haga clic en Crear para implementar.

Creación de una tabla personalizada con PowerShell en Cloud Shell

1. En el portal de Azure, abra un Cloud Shell.
2. Copie y pegue y ejecute el siguiente script en el Cloud Shell para crear la tabla. $tableParams = @' { "properties": { "schema": { "name": "ExchangeHttpProxy_CL", "columns": [ { "name": "AccountForestLatencyBreakup", "type": "string" }, { "name": "ActivityContextLifeTime", "type": "string" }, { "name": "ADLatency", "type": "string" }, { "name": "AnchorMailbox", "type": "string" }, { "name": "AuthenticatedUser", "type": "string" }, { "name": "AuthenticationType", "type": "string" }, { "name": "AuthModulePerfContext", "type": "string" }, { "name": "BackEndCookie", "type": "string" }, { "name": "BackEndGenericInfo", "type": "string" }, { "name": "BackendProcessingLatency", "type": "string" }, { "name": "BackendReqInitLatency", "type": "string" }, { "name": "BackendReqStreamLatency", "type": "string" }, { "name": "BackendRespInitLatency", "type": "string" }, { "name": "BackendRespStreamLatency", "type": "string" }, { "name": "BackEndStatus", "type": "string" }, { "name": "BuildVersion", "type": "string" }, { "name": "CalculateTargetBackEndLatency", "type": "string" }, { "name": "ClientIpAddress", "type": "string" }, { "name": "ClientReqStreamLatency", "type": "string" }, { "name": "ClientRequestId", "type": "string" }, { "name": "ClientRespStreamLatency", "type": "string" }, { "name": "CoreLatency", "type": "string" }, { "name": "DatabaseGuid", "type": "string" }, { "name": "EdgeTraceId", "type": "string" }, { "name": "ErrorCode", "type": "string" }, { "name": "GenericErrors", "type": "string" }, { "name": "GenericInfo", "type": "string" }, { "name": "GlsLatencyBreakup", "type": "string" }, { "name": "HandlerCompletionLatency", "type": "string" }, { "name": "HandlerToModuleSwitchingLatency", "type": "string" }, { "name": "HttpPipelineLatency", "type": "string" }, { "name": "HttpProxyOverhead", "type": "string" }, { "name": "HttpStatus", "type": "string" }, { "name": "IsAuthenticated", "type": "string" }, { "name": "KerberosAuthHeaderLatency", "type": "string" }, { "name": "MajorVersion", "type": "string" }, { "name": "Method", "type": "string" }, { "name": "MinorVersion", "type": "string" }, { "name": "ModuleToHandlerSwitchingLatency", "type": "string" }, { "name": "Organization", "type": "string" }, { "name": "PartitionEndpointLookupLatency", "type": "string" }, { "name": "Protocol", "type": "string" }, { "name": "ProtocolAction", "type": "string" }, { "name": "ProxyAction", "type": "string" }, { "name": "ProxyTime", "type": "string" }, { "name": "RequestBytes", "type": "string" }, { "name": "RequestHandlerLatency", "type": "string" }, { "name": "RequestId", "type": "string" }, { "name": "ResourceForestLatencyBreakup", "type": "string" }, { "name": "ResponseBytes", "type": "string" }, { "name": "RevisionVersion", "type": "string" }, { "name": "RouteRefresherLatency", "type": "string" }, { "name": "RoutingHint", "type": "string" }, { "name": "RoutingLatency", "type": "string" }, { "name": "RoutingStatus", "type": "string" }, { "name": "RoutingType", "type": "string" }, { "name": "ServerHostName", "type": "string" }, { "name": "ServerLocatorHost", "type": "string" }, { "name": "ServerLocatorLatency", "type": "string" }, { "name": "SharedCacheLatencyBreakup", "type": "string" }, { "name": "TargetOutstandingRequests", "type": "string" }, { "name": "TargetServer", "type": "string" }, { "name": "TargetServerVersion", "type": "string" }, { "name": "TotalAccountForestLatency", "type": "string" }, { "name": "TotalGlsLatency", "type": "string" }, { "name": "TotalRequestTime", "type": "string" }, { "name": "TotalResourceForestLatency", "type": "string" }, { "name": "TotalSharedCacheLatency", "type": "string" }, { "name": "UrlHost", "type": "string" }, { "name": "UrlQuery", "type": "string" }, { "name": "UrlStem", "type": "string" }, { "name": "UserADObjectGuid", "type": "string" }, { "name": "UserAgent", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "FilePath", "type": "string" } } } } } @
3. Copie, reemplace, pegue y ejecute los parámetros siguientes con sus propios valores: $SubscriptionID = "YourGUID" $ResourceGroupName = "YourResourceGroupName" $WorkspaceName = "YourWorkspaceName"
4. Ejecute el siguiente cmdlet para crear la tabla: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. En el portal de Azure, vaya a Azure punto de conexión de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios y asigne un nombre al DCE.
4. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

B. Creación de un registro dcr y tipo personalizado

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Haga clic en el botón "Crear".
3. En la pestaña "Aspectos básicos", rellene el nombre de la regla, como DCR-Option7-HTTPProxyLogs, seleccione el punto de conexión de recopilación de datos con el punto de conexión creado anteriormente y rellene otros parámetros.
4. En la pestaña Recursos , agregue los servidores de Exchange.
5. En Recopilar y entregar, agregue un tipo de origen de datos "Registros de texto personalizado" y escriba el siguiente patrón de archivo: 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
6. Coloque "ExchangeHttpProxy_CL" en Nombre de tabla.
7. En el campo Transformar, escriba la siguiente solicitud KQL: source | extend d = split(RawData,',') | extend DateTime=todatetime(d[0]),RequestId=tostring(d[1]) ,MajorVersion=tostring(d[2]) ,MinorVersion=tostring(d[3]) ,BuildVersion=tostring(d[4]) ,RevisionVersion=tostring(d[5]) ,ClientRequestId=tostring(d[6]) ,Protocol=tostring(d[7]) ,UrlHost=tostring(d[8]) ,UrlStem=tostring(d[9]) ,ProtocolAction=tostring(d[10]) ,AuthenticationType=tostring(d[11]) ,IsAuthenticated=tostring(d[12]) ,AuthenticatedUser=tostring(d[13]) , Organization=tostring(d[14]) ,AnchorMailbox=tostring(d[15]) ,UserAgent=tostring(d[16]) ,ClientIpAddress=tostring(d[17]) ,ServerHostName=tostring(d[18]) ,HttpStatus=tostring(d[19]) ,BackEndStatus=tostring(d[20]) , ErrorCode=tostring(d[21]) ,Method=tostring(d[22]) ,ProxyAction=tostring(d[23]) ,TargetServer=tostring(d[24]) ,TargetServerVersion=tostring(d[25]) ,RoutingType=tostring(d[26]) ,RoutingHint=tostring(d[27]) , BackEndCookie=tostring(d[28]) ,ServerLocatorHost=tostring(d[29]) ,ServerLocatorLatency=tostring(d[30]) ,RequestBytes=tostring(d[31]) ,ResponseBytes=tostring(d[32]) ,TargetOutstandingRequests=tostring(d[33]) ,AuthModulePerfContext=tostring(d[34]) ,HttpPipelineLatency=tostring(d[35]) ,CalculateTargetBackEndLatency=tostring(d[36]) ,GlsLatencyBreakup=tostring(d[37]) ,TotalGlsLatency=tostring(d[38]) ,AccountForestLatencyBreakup=tostring(d[39]) , TotalAccountForestLatency=tostring(d[40]) ,ResourceForestLatencyBreakup=tostring(d[41]) ,TotalResourceForestLatency=tostring(d[42]) ,ADLatency=tostring(d[43]) ,SharedCacheLatencyBreakup=tostring(d[44]) ,TotalSharedCacheLatency=tostring(d[d[d]. 45]) ,ActivityContextLifeTime=tostring(d[46]) ,ModuleToHandlerSwitchingLatency=tostring(d[47]) ,ClientReqStreamLatency=tostring(d[48]) ,BackendReqInitLatency=tostring(d[49]) ,BackendReqStreamLatency=tostring(d[50]) , BackendProcessingLatency=tostring(d[51]) ,BackendRespInitLatency=tostring(d[52]) ,BackendRespStreamLatency=tostring(d[53]) ,ClientRespStreamLatency=tostring(d[54]) ,KerberosAuthHeaderLatency=tostring(d[55]) ,HandlerCompletionLatency=tostring(d[d]. 56]) ,RequestHandlerLatency=tostring(d[57]) ,HandlerToModuleSwitchingLatency=tostring(d[58]) ,ProxyTime=tostring(d[59]) ,CoreLatency=tostring(d[60]) ,RoutingLatency=tostring(d[61]) ,HttpProxyOverhead=tostring(d[62]) , TotalRequestTime=tostring(d[63]) ,RouteRefresherLatency=tostring(d[64]) ,UrlQuery=tostring(d[65]) ,BackEndGenericInfo=tostring(d[66]) ,GenericInfo=tostring(d[67]) ,GenericErrors=tostring(d[66])68]) ,EdgeTraceId=tostring(d[69]) ,DatabaseGuid=tostring(d[70]) ,UserADObjectGuid=tostring(d[71]) ,PartitionEndpointLookupLatency=tostring(d[72]) ,RoutingStatus=tostring(d[73]) | extend TimeGenerated = DateTime | project-away d,RawData,DateTime | project-away d,RawData,DateTime y haga clic en 'Destination'.
8. En "Destino", agregue un destino y seleccione el área de trabajo donde ha creado anteriormente la tabla personalizada.
9. Haga clic en "Agregar origen de datos".
10. Rellene otros parámetros y etiquetas necesarios y cree la DCR.

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

---

Registros y eventos de Microsoft Exchange

Compatible con:Community

[Opción 2] - Usar Azure Agente de supervisión: puede transmitir todos los registros de eventos de aplicación & seguridad de Exchange desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite crear alertas personalizadas y mejorar la investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Event	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Log Analytics quedará en desuso: Azure Log Analytics quedará en desuso, para recopilar datos de máquinas virtuales que no son Azure, se recomienda Azure Arc. Más información
• Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí. >

Instrucciones de instalación:

NOTA: Esta solución se basa en opciones. Esto le permite elegir qué datos se van a ingerir, ya que algunas opciones pueden generar un volumen muy alto de datos. En función de lo que quiera recopilar, realice un seguimiento de los libros, las reglas de análisis y las funcionalidades de búsqueda, elija las opciones que va a implementar. Cada opción es independiente de una de la otra. Para obtener más información sobre cada opción: wiki "Seguridad de Microsoft Exchange"

Este conector de datos es la opción 2 de la wiki.

1. Descargue e instale los agentes necesarios para recopilar registros de Microsoft Sentinel

El tipo de servidores (servidores de Exchange, controladores de dominio vinculados a servidores exchange o todos los controladores de dominio) depende de la opción que quiera implementar.

Implementación de agentes de supervisión

Este paso solo es necesario si es la primera vez que incorpora los servidores o controladores de dominio de Exchange Implemente la Azure Agente de Arc Más información

2. [Opción 2] Registros de seguridad, aplicación o sistema de servidores exchange

Los registros de seguridad, aplicación o sistema de servidores de Exchange se recopilan mediante reglas de recopilación de datos (DCR).

Recopilación de registros de eventos de seguridad

Reglas de recopilación de datos: registros de eventos de seguridad

Habilitar la regla de recopilación de datos para registros de seguridad Los registros de eventos de seguridad solo se recopilan de agentes de Windows .

1. Agregar servidores exchange en la pestaña Recursos .
2. Seleccione Nivel de registro de seguridad

El nivel común es el mínimo necesario. Seleccione "Común" o "Todos los eventos de seguridad" en la definición de DCR.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Recopilación de registros de eventos de aplicación y sistema

Habilitación de la regla de recopilación de datos

Los registros de eventos de aplicación y del sistema solo se recopilan de agentes de Windows .

Opción 1: plantilla de Azure Resource Manager (ARM) (método preferido)

Use este método para la implementación automatizada de DCR.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el nombre del área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

R. Creación de DCR, registro de eventos de tipo

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios, Seleccione Windows como tipo de plataforma y asigne un nombre al DCR.
4. En la pestaña Recursos , escriba Servidores Exchange.
5. En "Recopilar y entregar", agregue un tipo de origen de datos "Registros de eventos de Windows" y seleccione la opción "Básico".
6. En Aplicación, seleccione "Crítico", "Error" y "Advertencia". En Sistema, seleccione Crítico/Error/Advertencia/Información.
7. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

---

Registros de seguimiento de mensajes de Microsoft Exchange

Compatible con:Community

[Opción 6] - Usar Azure Agente de supervisión: puede transmitir todo el seguimiento de mensajes de Exchange desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Estos registros se pueden usar para realizar un seguimiento del flujo de mensajes en el entorno de Exchange. Este conector de datos se basa en la opción 6 de la wiki de seguridad de Microsoft Exchange.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
MessageTrackingLog_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Log Analytics quedará en desuso: Azure Log Analytics quedará en desuso, para recopilar datos de máquinas virtuales que no son Azure, se recomienda Azure Arc. Más información
• Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí. >

Instrucciones de instalación:

NOTA: Esta solución se basa en opciones. Esto le permite elegir qué datos se van a ingerir, ya que algunas opciones pueden generar un volumen muy alto de datos. En función de lo que quiera recopilar, realice un seguimiento de los libros, las reglas de análisis y las funcionalidades de búsqueda, elija las opciones que va a implementar. Cada opción es independiente de una de la otra. Para obtener más información sobre cada opción: wiki "Seguridad de Microsoft Exchange"

Este conector de datos es la opción 6 de la wiki.

1. Descargue e instale los agentes necesarios para recopilar registros de Microsoft Sentinel

El tipo de servidores (servidores de Exchange, controladores de dominio vinculados a servidores exchange o todos los controladores de dominio) depende de la opción que quiera implementar.

Implementación de agentes de supervisión

Este paso solo es necesario si es la primera vez que incorpora los servidores o controladores de dominio de Exchange Implemente la Azure Agente de Arc Más información

2. Seguimiento de mensajes de servidores exchange

Seleccionar cómo transmitir el seguimiento de mensajes de servidores exchange

Reglas de recopilación de datos: cuando se usa Azure Agente de Supervisión

Habilitar la regla de recopilación de datos El seguimiento de mensajes solo se recopila de agentes de Windows .

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada de DCE y DCR.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Puede cambiar el nombre propuesto del DCE.

4. Haga clic en Crear para implementar.

B. Implementación de una regla de conexión de datos y una tabla personalizada

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el id. de área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

Creación de una tabla personalizada: explicación

La tabla personalizada no se puede crear mediante el portal de Azure. Debe usar una plantilla de ARM, un script de PowerShell u otro método descrito aquí.

Creación de una tabla personalizada mediante una plantilla de ARM

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos, la ubicación y el nombre del área de trabajo analítica preferidos.

3. Haga clic en Crear para implementar.

Creación de una tabla personalizada con PowerShell en Cloud Shell

1. En el portal de Azure, abra un Cloud Shell.
2. Copie y pegue y ejecute el siguiente script en el Cloud Shell para crear la tabla. $tableParams = @' { "properties": { "schema": { "name": "MessageTrackingLog_CL", "columns": [ { "name": "directionality", "type": "string" }, { "name": "reference", "type": "string" }, { "name": "source", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "clientHostname", "type": "string" }, { "name": "clientIP", "type": "string" }, { "name": "connectorId", "type": "string" }, { "name": "customData", "type": "string" }, { "name": "eventId", "type": "string" }, { "name": "internalMessageId", "type": "string" }, { "name": "logId", "type": "string" }, { "name": "messageId", "type": "string" }, { "name": "messageInfo", "type": "string" }, { "name": "messageSubject", "type": "string" }, }, { "name": "networkMessageId", "type": "string" }, { "name": "originalClientIp", "type": "string" }, { "name": "originalServerIp", "type": "string" }, { "name": "recipientAddress", "type": "string" }, { "name": "recipientCount", "type": "string" }, { "name": "recipientStatus", "type": "string" }, { "name": "relatedRecipientAddress", "type": "string" }, { "name": "returnPath", "type": "string" }, { "name": "senderAddress", "type": "string" }, { "name": "senderHostname", "type": "string" }, }, { "name": "serverIp", "type": "string" }, { "name": "sourceContext", "type": "string" }, { "name": "schemaVersion", "type": "string" }, { "name": "messageTrackingTenantId", "type": "string" }, { "name": "totalBytes", "type": "string" }, { "name": "transportTrafficType", "type": "string" }, { "name": "FilePath", "type": "string" } ] } } } ' @
3. Copie, reemplace, pegue y ejecute los parámetros siguientes con sus propios valores: $SubscriptionID = "YourGUID" $ResourceGroupName = "YourResourceGroupName" $WorkspaceName = "YourWorkspaceName"
4. Ejecute el siguiente cmdlet para crear la tabla: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. En el portal de Azure, vaya a Azure punto de conexión de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios y asigne un nombre al DCE, como ESI-ExchangeServers.
4. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

B. Creación de un registro dcr y tipo personalizado

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Haga clic en el botón "Crear".
3. En la pestaña "Aspectos básicos", rellene el nombre de la regla, como DCR-Option6-MessageTrackingLogs, seleccione el punto de conexión de recopilación de datos con el punto de conexión creado anteriormente y rellene otros parámetros.
4. En la pestaña Recursos , agregue los servidores de Exchange.
5. En Recopilar y entregar, agregue un tipo de origen de datos "Registros de texto personalizado" y escriba "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" en el patrón de archivo, "MessageTrackingLog_CL" en Nombre de tabla. 6.in campo Transformar, escriba la siguiente solicitud KQL: source | extend d = split(RawData,',') | extend TimeGenerated =todatetime(d[0]) ,clientIP =tostring(d[1]) ,clientHostname =tostring(d[2]) ,serverIp=tostring(d[3]) ,senderHostname=tostring(d[4]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) , source =tostring(d[7]) ,eventId =tostring(d[8]) ,internalMessageId =tostring(d[9]) ,messageId =tostring(d[10]) ,networkMessageId =tostring(d[11]) ,recipientAddress=tostring(d[12]) ,recipientStatus=tostring(d[13]) , totalBytes=tostring(d[14]) ,recipientCount=tostring(d[15]) ,relatedRecipientAddress=tostring(d[16]) ,reference=tostring(d[17]) ,messageSubject =tostring(d[18]) ,senderAddress=tostring(d[19]) ,returnPath=tostring(d[20]) ,messageInfo ==tostring(d[20]) ,messageInfo =tostring(d[19]) ,messageInfo =tostring(d[20]) tostring(d[21]) ,directionality=tostring(d[22]) ,messageTrackingTenantId =tostring(d[23]) ,originalClientIp =tostring(d[24]) ,originalServerIp =tostring(d[25]) ,customData=tostring(d[26]) ,transportTrafficType =tostring(d[27]) , logId =tostring(d[28]) ,schemaVersion=tostring(d[29]) | project-away d,RawData y haga clic en "Destino".
6. En "Destino", agregue un destino y seleccione el área de trabajo donde ha creado anteriormente la tabla personalizada.
7. Haga clic en "Agregar origen de datos".
8. Rellene otros parámetros y etiquetas necesarios y cree la DCR.

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

---

Microsoft Power Automate

Compatible con:Microsoft Corporation

Power Automate es un servicio de Microsoft que ayuda a los usuarios a crear flujos de trabajo automatizados entre aplicaciones y servicios para sincronizar archivos, obtener notificaciones, recopilar datos y mucho más. Simplifica la automatización de tareas, lo que aumenta la eficiencia al reducir las tareas manuales y repetitivas y mejorar la productividad. El conector de datos de Power Automate proporciona la capacidad de ingerir registros de actividad de Power Automate desde el Auditoría de Microsoft Purview iniciar sesión en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
PowerAutomateActivity	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos de inquilino: "Administrador de seguridad" o "Administrador global" en el inquilino del área de trabajo.
• Micorosft Purview Audit: Auditoría de Microsoft Purview (Standard o Premium) debe activarse.

Instrucciones de instalación:

Conexión de registros de auditoría de Microsoft Power Automate a Microsoft Sentinel

Este conector usa la API de administración de Office para obtener los registros de auditoría de Power Automate. Los registros se almacenarán y procesarán en el área de trabajo de Microsoft Sentinel existente. Puede encontrar los datos en la tabla PowerAutomateActivity .

• Habilitar o deshabilitar la conexión

---

Actividad de Administración de Microsoft Power Platform

Compatible con:Microsoft Corporation

Microsoft Power Platform es un conjunto de código bajo o sin código que permite a los desarrolladores cívicos y profesionales simplificar los procesos empresariales al permitir la creación de aplicaciones personalizadas, la automatización de flujos de trabajo y el análisis de datos con una codificación mínima. El conector de datos de Power Platform Administración proporciona la capacidad de ingerir registros de actividad de administrador de Power Platform desde el inicio de sesión de Auditoría de Microsoft Purview en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
PowerPlatformAdminActivity	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos de inquilino: "Administrador de seguridad" o "Administrador global" en el inquilino del área de trabajo.
• Micorosft Purview Audit: Auditoría de Microsoft Purview (Standard o Premium) debe activarse.

Instrucciones de instalación:

Conecte los registros de auditoría de actividad de Microsoft Power Platform Administración a Microsoft Sentinel

Este conector usa office management API para obtener los registros de auditoría del administrador de Power Platform. Los registros se almacenarán y procesarán en el área de trabajo de Microsoft Sentinel existente. Puede encontrar los datos en la tabla PowerPlatformAdminActivity .

• Habilitar o deshabilitar la conexión

---

Microsoft PowerBI

Compatible con:Microsoft Corporation

Microsoft PowerBI es una colección de servicios de software, aplicaciones y conectores que funcionan juntos para convertir los orígenes de datos no relacionados en información coherente, visualmente inmersiva e interactiva. Los datos pueden ser una hoja de cálculo de Excel, una colección de almacenes de datos híbridos locales y basados en la nube, o un almacén de datos de otro tipo. Este conector le permite transmitir registros de auditoría de PowerBI en Microsoft Sentinel, lo que le permite realizar un seguimiento de las actividades del usuario en el entorno de PowerBI. Puede filtrar los datos de auditoría por intervalo de fechas, usuario, panel, informe, conjunto de datos y tipo de actividad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
PowerBIActivity	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Microsoft Project

Compatible con:Microsoft

Microsoft Project (MSP) es una solución de software de administración de proyectos. Según el plan, Microsoft Project le permite planear proyectos, asignar tareas, administrar recursos, crear informes y mucho más. Este conector le permite transmitir los registros de auditoría de Azure Project a Microsoft Sentinel con el fin de realizar un seguimiento de las actividades del proyecto.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ProjectActivity	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Microsoft Purview

Compatible con:Microsoft Corporation

Conéctese a Microsoft Purview para habilitar el enriquecimiento de confidencialidad de datos de Microsoft Sentinel. Los registros de etiquetas de confidencialidad y clasificación de datos de los exámenes de Microsoft Purview se pueden ingerir y visualizar a través de libros, reglas analíticas y mucho más. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
PurviewDataSensitivityLogs	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión de Microsoft Purview a Microsoft Sentinel

En el portal de Azure, vaya al recurso de Purview:

1. En la barra de búsqueda, busque cuentas de Purview.
2. Seleccione la cuenta específica que desea configurar con Sentinel.

Dentro del recurso de Microsoft Purview: 3. Seleccione Configuración de diagnóstico. 4. Seleccione + Agregar configuración de diagnóstico. 5. En la hoja Configuración de diagnóstico :

• Seleccione la categoría de registro como DataSensitivityLogEvent.
• Seleccione Enviar a Log Analytics.
• Elija el área de trabajo de destino del registro. Debe ser el mismo área de trabajo que usa Microsoft Sentinel.
• Haga clic en Guardar.

---

Microsoft Purview Information Protection

Compatible con:Microsoft Corporation

Microsoft Purview Information Protection le ayuda a descubrir, clasificar, proteger y controlar la información confidencial dondequiera que viva o viaje. El uso de estas funcionalidades le permite conocer los datos, identificar los elementos que son confidenciales y obtener visibilidad sobre cómo se usan para proteger mejor los datos. Las etiquetas de confidencialidad son la funcionalidad fundamental que proporciona acciones de protección, aplicando cifrado, restricciones de acceso y marcas visuales. Integre Microsoft Purview Information Protection registros con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
MicrosoftPurviewInformationProtection	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Auditoría de mimecast

Compatible con:Mimecast

El conector de datos de Mimecast Audit proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con los eventos de auditoría y autenticación dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre la actividad del usuario, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las capacidades de alerta personalizadas.
Los productos mimecast incluidos en el conector son: Audit

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Audit_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de LA API REST: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a una API mimecast para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Configuración:

PASO 1: Pasos de configuración para mimecast API

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (guarde el valor en algún lugar seguro de inmediato porque no podrá obtener una vista previa más adelante)

PASO 2: Implementación del conector de MIMECAST API

IMPORTANTE: Antes de implementar el conector de MIMECAST API, tenga las claves de autorización de mimecast API o token disponibles fácilmente.

PASO 3: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de TenableVM Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 4: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de TenableVM Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de TenableVM Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 5: Obtención del identificador de objeto de la aplicación en Microsoft Entra ID

Después de crear el registro de la aplicación, siga los pasos de esta sección para obtener el identificador de objeto:

1. Ve a Microsoft Entra ID.
2. Seleccione Aplicaciones empresariales en el menú de la izquierda.
3. Busque la aplicación recién creada en la lista (puede buscar por el nombre que proporcionó).
4. Haga clic en la aplicación.
5. En la página de información general, copie el identificador de objeto. Este es el valor de AzureEntraObjectId necesario para la asignación de roles de plantilla de ARM.

Implemente mimecast Audit Data Connector:

Use este método para la implementación automatizada del conector de datos de auditoría mimecast.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la región preferidos.

3. Escriba la información siguiente:

   a. Ubicación: ubicación en la que se deben implementar las reglas de recopilación de datos y los puntos de conexión de recopilación de datos.

   b. WorkspaceName: escriba Microsoft Sentinel nombre del área de trabajo de Log Analytics.

   c. AzureClientID: escriba Azure id. de cliente que ha creado durante el registro de la aplicación.

   d. AzureClientSecret: escriba Azure secreto de cliente que ha creado durante la creación del secreto de cliente.

   e. AzureTenantID: escriba Azure identificador de inquilino de su Azure Active Directory.

   f. AzureEntraObjectID: escriba el identificador de objeto de la aplicación de Microsoft Entra

   g. MimecastBaseURL: escriba la dirección URL base de Mimecast API 2.0 (por ejemplo, https://api.services.mimecast.com)

   h. MimecastClientID: escriba el identificador de cliente de Mimecast para la autenticación.

   i. MimecastClientSecret: escriba el secreto de cliente mimecast para la autenticación.

   j. MimecastAuditTableName: escriba el nombre de la tabla utilizada para almacenar los datos de auditoría. El valor predeterminado es "Auditar"

   k. StartDate: escriba la fecha de inicio en el formato "aaaa-mm-dd". Si no proporciona una fecha, los datos de los últimos 60 días se capturarán automáticamente. Asegúrese de que la fecha esté en el pasado y tenga el formato correcto

   l. Programación: escriba una expresión cron-expression de Quartz válida. (Ejemplo: 0 0 */1 * * *) No mantenga el valor vacío, el valor mínimo es de 10 minutos.

   m. LogLevel: agregue el nivel de registro o el valor de gravedad del registro. De forma predeterminada, se establece en INFO.

   n. AppInsightsWorkspaceResourceId: migración de Application Insights clásica al área de trabajo de Log Analytic que se retirará antes del 29 de febraury 2024. Use la hoja "Log Analytic Workspace-->Properties" con el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

---

Autenticación de & de auditoría de Mimecast (mediante Azure Functions)

Compatible con:Mimecast

El conector de datos para mimecast Audit & Authentication proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con los eventos de auditoría y autenticación dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre la actividad del usuario, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las capacidades de alerta personalizadas.
Los productos mimecast incluidos en el conector son: Audit & Authentication

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
MimecastAudit_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de mimecast API: debe tener los siguientes fragmentos de información para configurar la integración:
• mimecastEmail: dirección Email de un usuario administrador de Mimecast dedicado
• mimecastPassword: contraseña para el usuario administrador de Mimecast dedicado
• mimecastAppId: identificador de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
• mimecastAppKey: clave de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
• mimecastAccessKey: clave de acceso para el usuario administrador de Mimecast dedicado
• mimecastSecretKey: clave secreta para el usuario administrador de Mimecast dedicado
• mimecastBaseURL: dirección URL base de la API regional de Mimecast

El identificador de aplicación mimecast, la clave de aplicación, junto con las claves de clave de acceso y secreto para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de mimecast API para cada región se documenta aquí: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Grupo de recursos: debe tener un grupo de recursos creado con una suscripción que va a usar.
• Aplicación functions: debe tener un App de Azure registrado para que este conector lo use.

1. Id. de aplicación
2. Identificador de inquilino
3. Identificador de cliente
4. Secreto de cliente

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a una API mimecast para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Configuración:

PASO 1: Pasos de configuración para mimecast API

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (guarde el valor en algún lugar seguro de inmediato porque no podrá obtener una vista previa más adelante)

PASO 2: Implementación del conector de MIMECAST API

IMPORTANTE: Antes de implementar el conector de MIMECAST API, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización de mimecast API o token, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Implemente mimecast Audit & Authentication Data Connector:

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba los campos siguientes:

• appName: cadena única que se usará como identificador para la aplicación en Azure plataforma
• objectId: Azure Portal ---> Azure Active Directory ---> más información ---> id. de objeto -----> perfil
• appInsightsLocation(default): westeurope
• mimecastEmail: dirección Email del usuario dedicado para esta integración
• mimecastPassword: contraseña para un usuario dedicado
• mimecastAppId: id. de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
• mimecastAppKey: clave de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
• mimecastAccessKey: clave de acceso para el usuario mimecast dedicado
• mimecastSecretKey: clave secreta para un usuario dedicado de Mimecast
• mimecastBaseURL: dirección URL base de mimecast API regional
• activeDirectoryAppId: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> id. de aplicación
• activeDirectoryAppSecret: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> [your_app_secret]
• workspaceId: Azure Portal ---> área de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> identificador de área de trabajo (o puede copiar workspaceId desde arriba)
• workspaceKey: Azure Portal ---> las áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> clave principal (o puede copiar workspaceKey desde arriba)
• AppInsightsWorkspaceResourceID: Azure Portal ---> áreas de trabajo de Log Analytics ---> [su área de trabajo] ---> propiedades ---> identificador de recurso

Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

6. Vaya a Azure Portal ---> Grupos de recursos ---> [your_resource_group] ---> [appName](type: Storage account) ---> Explorador de Storage ---> BLOB CONTAINERS ---> Audit checkpoints ---> Upload and create empty file on your machine named checkpoint.txt and select it for upload (esto se hace para que date_range para los registros SIEM se almacene en estado coherente)

---

Mimecast Awareness Training

Compatible con:Mimecast

El conector de datos para Mimecast Awareness Training proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con las tecnologías de inspección de Targeted Threat Protection dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.
Los productos mimecast incluidos en el conector son:

• Detalles del rendimiento
• Detalles de puntuación segura
• Datos de usuario
• Detalles de la lista de reproducción

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Awareness_Performance_Details_CL	Sí	Sí
Awareness_SafeScore_Details_CL	Sí	Sí
Awareness_User_Data_CL	Sí	Sí
Awareness_Watchlist_Details_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de LA API REST: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Instrucciones de instalación:

Grupo de recursos

Debe tener un grupo de recursos creado con una suscripción que va a usar.

Aplicación functions

Debe tener un App de Azure registrado para que use este conector.

1. Id. de aplicación
2. Identificador de inquilino
3. Identificador de cliente
4. Secreto de cliente
5. Entra id. de objeto

NOTA: Este conector usa Azure Functions para conectarse a una API mimecast para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de Mimecast Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 2: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de Mimecast Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de Mimecast Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 3: Obtención del identificador de objeto de la aplicación en Microsoft Entra ID

Después de crear el registro de la aplicación, siga los pasos de esta sección para obtener el identificador de objeto:

1. Ve a Microsoft Entra ID.
2. Seleccione Aplicaciones empresariales en el menú de la izquierda.
3. Busque la aplicación recién creada en la lista (puede buscar por el nombre que proporcionó).
4. Haga clic en la aplicación.
5. En la página de información general, copie el identificador de objeto. Este es el valor de AzureEntraObjectId necesario para la asignación de roles de plantilla de ARM.

PASO 4: Implementación del conector de MIMECAST API

IMPORTANTE: Antes de implementar el conector de MIMECAST API, tenga las claves de autorización de mimecast API o token disponibles fácilmente.

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector mimecast Awareness Training Data.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la región preferidos.

3. Escriba la información siguiente:

   a. Ubicación: ubicación en la que se deben implementar las reglas de recopilación de datos y los puntos de conexión de recopilación de datos.

   b. WorkspaceName: escriba Microsoft Sentinel nombre del área de trabajo de Log Analytics.

   c. AzureClientID: escriba Azure id. de cliente que ha creado durante el registro de la aplicación.

   d. AzureClientSecret: escriba Azure secreto de cliente que ha creado durante la creación del secreto de cliente.

   e. AzureTenantID: escriba Azure identificador de inquilino de su Azure Active Directory.

   f. AzureEntraObjectID: escriba el identificador de objeto de la aplicación de Microsoft Entra

   g. MimecastBaseURL: escriba la dirección URL base de Mimecast API 2.0 (por ejemplo, https://api.services.mimecast.com)

   h. MimecastClientID: escriba el identificador de cliente de Mimecast para la autenticación.

   i. MimecastClientSecret: escriba el secreto de cliente mimecast para la autenticación.

   j. MimecastAwarenessPerformanceDetailsTableName: escriba el nombre de la tabla que se usa para almacenar los datos de detalles de rendimiento de reconocimiento. El valor predeterminado es "Awareness_Performance_Details"

   k. MimecastAwarenessUserDataTableName: escriba el nombre de la tabla usada para almacenar datos de usuario de reconocimiento. El valor predeterminado es "Awareness_User_Data"

   l. MimecastAwarenessWatchlistDetailsTableName: escriba el nombre de la tabla que se usa para almacenar los datos de detalles de la lista de seguimiento de reconocimiento. El valor predeterminado es "Awareness_Watchlist_Details"

   m. MimecastAwarenessSafeScoreDetailsTableName: escriba el nombre de la tabla que se usa para almacenar los datos de Awareness SafeScore Details. El valor predeterminado es "Awareness_SafeScore_Details"

   n. StartDate: escriba la fecha de inicio en el formato "aaaa-mm-dd". Si no proporciona una fecha, los datos de los últimos 60 días se capturarán automáticamente. Asegúrese de que la fecha esté en el pasado y tenga el formato correcto

   o. Programación: escriba una expresión cron-expression de Quartz válida. (Ejemplo: 0 0 */1 * * *) No mantenga el valor vacío, el valor mínimo es de 10 minutos.

   p. LogLevel: agregue el nivel de registro o el valor de gravedad del registro. De forma predeterminada, se establece en INFO.

   q. AppInsightsWorkspaceResourceId: migración de Application Insights clásica al área de trabajo de Log Analytic que se retirará antes del 29 de febraury 2024. Use la hoja "Log Analytic Workspace-->Properties" con el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

---

Mimecast Cloud Integrated

Compatible con:Mimecast

El conector de datos para Mimecast Cloud Integrated proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con las tecnologías de inspección integrada en la nube dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Cloud_Integrated_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de LA API REST: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Instrucciones de instalación:

Grupo de recursos

Debe tener un grupo de recursos creado con una suscripción que va a usar.

Aplicación functions

Debe tener un App de Azure registrado para que use este conector.

1. Id. de aplicación
2. Identificador de inquilino
3. Identificador de cliente
4. Secreto de cliente

NOTA: Este conector usa Azure Functions para conectarse a una API mimecast para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Configuración:

PASO 1: Pasos de configuración para mimecast API

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (guarde el valor en algún lugar seguro de inmediato porque no podrá obtener una vista previa más adelante)

PASO 2: Implementación del conector de MIMECAST API

IMPORTANTE: Antes de implementar el conector de MIMECAST API, tenga las claves de autorización de mimecast API o token disponibles fácilmente.

PASO 3: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de TenableVM Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 4: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de TenableVM Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de TenableVM Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 5: Obtención del identificador de objeto de la aplicación en Microsoft Entra ID

Después de crear el registro de la aplicación, siga los pasos de esta sección para obtener el identificador de objeto:

1. Ve a Microsoft Entra ID.
2. Seleccione Aplicaciones empresariales en el menú de la izquierda.
3. Busque la aplicación recién creada en la lista (puede buscar por el nombre que proporcionó).
4. Haga clic en la aplicación.
5. En la página de información general, copie el identificador de objeto. Este es el valor de AzureEntraObjectId necesario para la asignación de roles de plantilla de ARM.

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos integrados en la nube mimecast.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la región preferidos.

3. Escriba la información siguiente:

   a. Ubicación: ubicación en la que se deben implementar las reglas de recopilación de datos y los puntos de conexión de recopilación de datos.

   b. WorkspaceName: escriba Microsoft Sentinel nombre del área de trabajo de Log Analytics.

   c. AzureClientID: escriba Azure id. de cliente que ha creado durante el registro de la aplicación.

   d. AzureClientSecret: escriba Azure secreto de cliente que ha creado durante la creación del secreto de cliente.

   e. AzureTenantID: escriba Azure identificador de inquilino de su Azure Active Directory.

   f. AzureEntraObjectID: escriba el identificador de objeto de la aplicación de Microsoft Entra

   g. MimecastBaseURL: escriba la dirección URL base de Mimecast API 2.0 (por ejemplo, https://api.services.mimecast.com)

   h. MimecastClientID: escriba el identificador de cliente de Mimecast para la autenticación.

   i. MimecastClientSecret: escriba el secreto de cliente mimecast para la autenticación.

   j. MimecastCITableName: escriba el nombre de la tabla que se usa para almacenar datos integrados en la nube. El valor predeterminado es "Cloud_Integrated"

   k. StartDate: escriba la fecha de inicio en el formato "aaaa-mm-dd". Si no proporciona una fecha, los datos de los últimos 60 días se capturarán automáticamente. Asegúrese de que la fecha esté en el pasado y tenga el formato correcto

   l. Programación: escriba una expresión cron-expression de Quartz válida. (Ejemplo: 0 0 */1 * * *) No mantenga el valor vacío, el valor mínimo es de 10 minutos.

   m. LogLevel: agregue el nivel de registro o el valor de gravedad del registro. De forma predeterminada, se establece en INFO.

   n. AppInsightsWorkspaceResourceId: migración de Application Insights clásica al área de trabajo de Log Analytic que se retirará antes del 29 de febraury 2024. Use la hoja "Log Analytic Workspace-->Properties" con el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

---

Mimecast Intelligence para Microsoft: Microsoft Sentinel (mediante Azure Functions)

Compatible con:Mimecast

El conector de datos de Mimecast Intelligence para Microsoft proporciona inteligencia sobre amenazas regional protegida de las tecnologías de inspección de correo electrónico de Mimecast con paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de la investigación.
Se requieren productos y características mimecast:

• Mimecast Secure Email Gateway
• Mimecast Threat Intelligence

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de mimecast API: debe tener los siguientes fragmentos de información para configurar la integración:
• mimecastEmail: dirección Email de un usuario administrador de Mimecast dedicado
• mimecastPassword: contraseña para el usuario administrador de Mimecast dedicado
• mimecastAppId: identificador de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
• mimecastAppKey: clave de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
• mimecastAccessKey: clave de acceso para el usuario administrador de Mimecast dedicado
• mimecastSecretKey: clave secreta para el usuario administrador de Mimecast dedicado
• mimecastBaseURL: dirección URL base de la API regional de Mimecast

El identificador de aplicación mimecast, la clave de aplicación, junto con las claves de clave de acceso y secreto para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de mimecast API para cada región se documenta aquí: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Grupo de recursos: debe tener un grupo de recursos creado con una suscripción que va a usar.
• Aplicación functions: debe tener un App de Azure registrado para que este conector lo use.

1. Id. de aplicación
2. Identificador de inquilino
3. Identificador de cliente
4. Secreto de cliente

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a una API mimecast para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Configuración:

PASO 1: Pasos de configuración para mimecast API

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (guarde el valor en algún lugar seguro de inmediato porque no podrá obtener una vista previa más adelante)

PASO 2: Implementación del conector de MIMECAST API

IMPORTANTE: Antes de implementar el conector de MIMECAST API, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización de mimecast API o token, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Habilitar Mimecast Intelligence para Microsoft: conector de Microsoft Sentinel:

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba los campos siguientes:

• appName: cadena única que se usará como identificador para la aplicación en Azure plataforma
• objectId: Azure Portal ---> Azure Active Directory ---> más información ---> id. de objeto -----> perfil
• appInsightsLocation(default): westeurope
• mimecastEmail: dirección Email del usuario dedicado para esta integración
• mimecastPassword: contraseña para un usuario dedicado
• mimecastAppId: id. de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
• mimecastAppKey: clave de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
• mimecastAccessKey: clave de acceso para el usuario mimecast dedicado
• mimecastSecretKey: clave secreta para un usuario dedicado de Mimecast
• mimecastBaseURL: dirección URL base de mimecast API regional
• activeDirectoryAppId: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> id. de aplicación
• activeDirectoryAppSecret: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> [your_app_secret]
• workspaceId: Azure Portal ---> área de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> identificador de área de trabajo (o puede copiar workspaceId desde arriba)
• workspaceKey: Azure Portal ---> las áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> clave principal (o puede copiar workspaceKey desde arriba)
• AppInsightsWorkspaceResourceID: Azure Portal ---> áreas de trabajo de Log Analytics ---> [su área de trabajo] ---> propiedades ---> identificador de recurso

Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

6. Vaya a Azure Portal ---> Grupos de recursos ---> [your_resource_group] ---> [appName](type: Storage account) ---> Explorador de Storage ---> BLOB CONTAINERS ---> puntos de comprobación de TIR ---> Cargar y crear un archivo vacío en el equipo denominado checkpoint.txt y seleccionarlo para cargarlo (esto se hace para que date_range para los registros TIR se almacene en estado coherente)

Configuración adicional:

Conéctese a un conector de datos de plataformas de inteligencia sobre amenazas . Siga las instrucciones de la página del conector y, a continuación, haga clic en el botón Conectar.

---

Mimecast Secure Email Gateway

Compatible con:Mimecast

El conector de datos de Mimecast Secure Email Gateway permite una recopilación de registros sencilla de Secure Email Gateway para exponer la información del correo electrónico y la actividad del usuario dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas. Se requieren productos y características mimecast:

• Mimecast Cloud Gateway
• Prevención de fugas de datos mimecast

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Seg_Cg_CL	Sí	Sí
Seg_Dlp_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de LA API REST: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a una API mimecast para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Configuración:

PASO 1: Pasos de configuración para mimecast API

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (guarde el valor en algún lugar seguro de inmediato porque no podrá obtener una vista previa más adelante)

**PASO 2: Implementación del conector de MIMECAST API

IMPORTANTE: Antes de implementar el conector de MIMECAST API, tenga las claves de autorización de mimecast API o token disponibles fácilmente.

PASO 3: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de TenableVM Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 4: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de TenableVM Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de TenableVM Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 5: Obtención del identificador de objeto de la aplicación en Microsoft Entra ID

Después de crear el registro de la aplicación, siga los pasos de esta sección para obtener el identificador de objeto:

1. Ve a Microsoft Entra ID.
2. Seleccione Aplicaciones empresariales en el menú de la izquierda.
3. Busque la aplicación recién creada en la lista (puede buscar por el nombre que proporcionó).
4. Haga clic en la aplicación.
5. En la página de información general, copie el identificador de objeto. Este es el valor de AzureEntraObjectId necesario para la asignación de roles de plantilla de ARM.

Implemente mimecast Secure Email Gateway Data Connector:

Use este método para la implementación automatizada del conector mimecast Secure Email Gateway Data.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. SSeleccione la suscripción, el grupo de recursos y la región preferidos.

3. Escriba la información siguiente:

   a. Ubicación: ubicación en la que se deben implementar las reglas de recopilación de datos y los puntos de conexión de recopilación de datos.

   b. WorkspaceName: escriba Microsoft Sentinel nombre del área de trabajo de Log Analytics.

   c. AzureClientID: escriba Azure id. de cliente que ha creado durante el registro de la aplicación.

   d. AzureClientSecret: escriba Azure secreto de cliente que ha creado durante la creación del secreto de cliente.

   e. AzureTenantID: escriba Azure identificador de inquilino de su Azure Active Directory.

   f. AzureEntraObjectID: escriba el identificador de objeto de la aplicación de Microsoft Entra

   g. MimecastBaseURL: escriba la dirección URL base de Mimecast API 2.0 (por ejemplo, https://api.services.mimecast.com)

   h. MimecastClientID: escriba el identificador de cliente de Mimecast para la autenticación.

   i. MimecastClientSecret: escriba el secreto de cliente mimecast para la autenticación.

   j. MimecastCGTableName: escriba el nombre de la tabla utilizada para almacenar datos CG. El valor predeterminado es "Seg_Cg"

   k. MimecastDLPTableName: escriba el nombre de la tabla utilizada para almacenar datos DLP. El valor predeterminado es "Seg_Dlp"

   l. StartDate: escriba la fecha de inicio en el formato "aaaa-mm-dd". Si no proporciona una fecha, los datos de los últimos 60 días se capturarán automáticamente. Asegúrese de que la fecha esté en el pasado y tenga el formato correcto

   m. Programación: escriba una expresión cron-expression de Quartz válida. (Ejemplo: 0 0 */1 * * *) No mantenga el valor vacío, el valor mínimo es de 10 minutos.

   n. LogLevel: agregue el nivel de registro o el valor de gravedad del registro. De forma predeterminada, se establece en INFO.

   o. AppInsightsWorkspaceResourceId: migración de Application Insights clásica al área de trabajo de Log Analytic que se retirará antes del 29 de febraury 2024. Use la hoja "Log Analytic Workspace-->Properties" con el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

---

Mimecast Secure Email Gateway (mediante Azure Functions)

Compatible con:Mimecast

El conector de datos de Mimecast Secure Email Gateway permite una recopilación de registros sencilla de Secure Email Gateway para exponer la información del correo electrónico y la actividad del usuario dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas. Se requieren productos y características mimecast:

• Mimecast Secure Email Gateway
• Prevención de fugas de datos mimecast

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
MimecastSIEM_CL	No	No
MimecastDLP_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de mimecast API: debe tener los siguientes fragmentos de información para configurar la integración:
• mimecastEmail: dirección Email de un usuario administrador de Mimecast dedicado
• mimecastPassword: contraseña para el usuario administrador de Mimecast dedicado
• mimecastAppId: identificador de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
• mimecastAppKey: clave de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
• mimecastAccessKey: clave de acceso para el usuario administrador de Mimecast dedicado
• mimecastSecretKey: clave secreta para el usuario administrador de Mimecast dedicado
• mimecastBaseURL: dirección URL base de la API regional de Mimecast

El identificador de aplicación mimecast, la clave de aplicación, junto con las claves de clave de acceso y secreto para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de mimecast API para cada región se documenta aquí: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Grupo de recursos: debe tener un grupo de recursos creado con una suscripción que va a usar.
• Aplicación functions: debe tener un App de Azure registrado para que este conector lo use.

1. Id. de aplicación
2. Identificador de inquilino
3. Identificador de cliente
4. Secreto de cliente

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a una API mimecast para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Configuración:

PASO 1: Pasos de configuración para mimecast API

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (guarde el valor en algún lugar seguro de inmediato porque no podrá obtener una vista previa más adelante)

PASO 2: Implementación del conector de MIMECAST API

IMPORTANTE: Antes de implementar el conector de MIMECAST API, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización de mimecast API o token, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Implemente mimecast Secure Email Gateway Data Connector:

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba los campos siguientes:

• appName: cadena única que se usará como identificador para la aplicación en Azure plataforma
• objectId: Azure Portal ---> Azure Active Directory ---> más información ---> id. de objeto -----> perfil
• appInsightsLocation(default): westeurope
• mimecastEmail: dirección Email del usuario dedicado para esta integración
• mimecastPassword: contraseña para un usuario dedicado
• mimecastAppId: id. de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
• mimecastAppKey: clave de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
• mimecastAccessKey: clave de acceso para el usuario mimecast dedicado
• mimecastSecretKey: clave secreta para un usuario dedicado de Mimecast
• mimecastBaseURL: dirección URL base de mimecast API regional
• activeDirectoryAppId: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> id. de aplicación
• activeDirectoryAppSecret: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> [your_app_secret]
• workspaceId: Azure Portal ---> área de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> identificador de área de trabajo (o puede copiar workspaceId desde arriba)
• workspaceKey: Azure Portal ---> las áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> clave principal (o puede copiar workspaceKey desde arriba)
• AppInsightsWorkspaceResourceID: Azure Portal ---> áreas de trabajo de Log Analytics ---> [su área de trabajo] ---> propiedades ---> identificador de recurso

Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

6. Vaya a Azure Portal ---> Grupos de recursos ---> [your_resource_group] ---> [appName](type: Storage account) ---> Explorador de Storage ---> BLOB CONTAINERS ---> puntos de control SIEM ---> Cargar y crear un archivo vacío en el equipo denominado checkpoint.txt, dlp-checkpoint.txt y seleccionarlo para cargarlo (esto se hace para que date_range para los registros SIEM se almacene en estado coherente)

---

Protección contra amenazas dirigidas a Mimecast

Compatible con:Mimecast

El conector de datos para Mimecast Targeted Threat Protection proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con las tecnologías de inspección de Targeted Threat Protection dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.
Los productos mimecast incluidos en el conector son:

• Protección de direcciones URL
• Protección de suplantación
• Protección de datos adjuntos

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Ttp_Url_CL	Sí	Sí
Ttp_Attachment_CL	Sí	Sí
Ttp_Impersonation_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de LA API REST: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Instrucciones de instalación:

Grupo de recursos

Debe tener un grupo de recursos creado con una suscripción que va a usar.

Aplicación functions

Debe tener un App de Azure registrado para que use este conector.

1. Id. de aplicación
2. Identificador de inquilino
3. Identificador de cliente
4. Secreto de cliente

NOTA: Este conector usa Azure Functions para conectarse a una API mimecast para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de Mimecast Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 2: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de Mimecast Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de Mimecast Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 3: Obtención del identificador de objeto de la aplicación en Microsoft Entra ID

Después de crear el registro de la aplicación, siga los pasos de esta sección para obtener el identificador de objeto:

1. Ve a Microsoft Entra ID.
2. Seleccione Aplicaciones empresariales en el menú de la izquierda.
3. Busque la aplicación recién creada en la lista (puede buscar por el nombre que proporcionó).
4. Haga clic en la aplicación.
5. En la página de información general, copie el identificador de objeto. Este es el valor de AzureEntraObjectId necesario para la asignación de roles de plantilla de ARM.

PASO 4: Implementación del conector de MIMECAST API

IMPORTANTE: Antes de implementar el conector de MIMECAST API, tenga las claves de autorización de mimecast API o token disponibles fácilmente.

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector mimecast Targeted Threat Protection Data.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la región preferidos.

3. Escriba la información siguiente:

   a. Ubicación: ubicación en la que se deben implementar las reglas de recopilación de datos y los puntos de conexión de recopilación de datos.

   b. WorkspaceName: escriba Microsoft Sentinel nombre del área de trabajo de Log Analytics.

   c. AzureClientID: escriba Azure id. de cliente que ha creado durante el registro de la aplicación.

   d. AzureClientSecret: escriba Azure secreto de cliente que ha creado durante la creación del secreto de cliente.

   e. AzureTenantID: escriba Azure identificador de inquilino de su Azure Active Directory.

   f. AzureEntraObjectID: escriba el identificador de objeto de la aplicación de Microsoft Entra

   g. MimecastBaseURL: escriba la dirección URL base de Mimecast API 2.0 (por ejemplo, https://api.services.mimecast.com)

   h. MimecastClientID: escriba el identificador de cliente de Mimecast para la autenticación.

   i. MimecastClientSecret: escriba el secreto de cliente mimecast para la autenticación.

   j. StartDate: escriba la fecha de inicio en el formato "aaaa-mm-dd". Si no proporciona una fecha, los datos de los últimos 60 días se capturarán automáticamente. Asegúrese de que la fecha esté en el pasado y tenga el formato correcto

   k. MimecastTTPAttachmentTableName: escriba el nombre de la tabla utilizada para almacenar datos adjuntos de TTP. El valor predeterminado es "Ttp_Attachment"

   l. MimecastTTPImpersonationTableName: escriba el nombre de la tabla utilizada para almacenar los datos de suplantación de TTP. El valor predeterminado es "Ttp_Impersonation"

   m. MimecastTTPUrlTableName: escriba el nombre de la tabla utilizada para almacenar datos adjuntos de TTP. El valor predeterminado es "Ttp_Url"

   n. Programación: escriba una expresión cron-expression de Quartz válida. (Ejemplo: 0 0 */1 * * *) No mantenga el valor vacío, el valor mínimo es de 10 minutos.

   l. LogLevel: agregue el nivel de registro o el valor de gravedad del registro. De forma predeterminada, se establece en INFO.

   o. AppInsightsWorkspaceResourceId: migración de Application Insights clásica al área de trabajo de Log Analytic que se retirará antes del 29 de febraury 2024. Use la hoja "Log Analytic Workspace-->Properties" con el valor de propiedad "Resource ID". Se trata de un resourceId completo que tiene el formato "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

---

Mimecast Targeted Threat Protection (mediante Azure Functions)

Compatible con:Mimecast

El conector de datos para Mimecast Targeted Threat Protection proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con las tecnologías de inspección de Targeted Threat Protection dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.
Los productos mimecast incluidos en el conector son:

• Protección de direcciones URL
• Protección de suplantación
• Protección de datos adjuntos

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
MimecastTTPUrl_CL	No	No
MimecastTTPAttachment_CL	No	No
MimecastTTPImpersonation_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de api rest: debe tener los siguientes fragmentos de información para configurar la integración:
• mimecastEmail: dirección Email de un usuario administrador de Mimecast dedicado
• mimecastPassword: contraseña para el usuario administrador de Mimecast dedicado
• mimecastAppId: identificador de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
• mimecastAppKey: clave de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
• mimecastAccessKey: clave de acceso para el usuario administrador de Mimecast dedicado
• mimecastSecretKey: clave secreta para el usuario administrador de Mimecast dedicado
• mimecastBaseURL: dirección URL base de la API regional de Mimecast

El identificador de aplicación mimecast, la clave de aplicación, junto con las claves de clave de acceso y secreto para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de mimecast API para cada región se documenta aquí: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Instrucciones de instalación:

Grupo de recursos

Debe tener un grupo de recursos creado con una suscripción que va a usar.

Aplicación functions

Debe tener un App de Azure registrado para que use este conector.

1. Id. de aplicación
2. Identificador de inquilino
3. Identificador de cliente
4. Secreto de cliente

NOTA: Este conector usa Azure Functions para conectarse a una API mimecast para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Configuración:

PASO 1: Pasos de configuración para mimecast API

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (guarde el valor en algún lugar seguro de inmediato porque no podrá obtener una vista previa más adelante)

PASO 2: Implementación del conector de MIMECAST API

IMPORTANTE: Antes de implementar el conector de MIMECAST API, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización de mimecast API o token, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Implemente mimecast Targeted Threat Protection Data Connector:

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba los campos siguientes:

• appName: cadena única que se usará como identificador para la aplicación en Azure plataforma
• objectId: Azure Portal ---> Azure Active Directory ---> más información ---> id. de objeto -----> perfil
• appInsightsLocation(default): westeurope
• mimecastEmail: dirección Email del usuario dedicado para esta integración
• mimecastPassword: contraseña para un usuario dedicado
• mimecastAppId: id. de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
• mimecastAppKey: clave de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
• mimecastAccessKey: clave de acceso para el usuario mimecast dedicado
• mimecastSecretKey: clave secreta para un usuario dedicado de Mimecast
• mimecastBaseURL: dirección URL base de mimecast API regional
• activeDirectoryAppId: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> id. de aplicación
• activeDirectoryAppSecret: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados & secretos ---> [your_app_secret]
• workspaceId: Azure Portal ---> área de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> identificador de área de trabajo (o puede copiar workspaceId desde arriba)
• workspaceKey: Azure Portal ---> las áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> clave principal (o puede copiar workspaceKey desde arriba)
• AppInsightsWorkspaceResourceID: Azure Portal ---> áreas de trabajo de Log Analytics ---> [su área de trabajo] ---> propiedades ---> identificador de recurso

Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

6. Vaya a Azure Portal ---> Grupos de recursos ---> [your_resource_group] ---> [appName](type: Storage account) ---> Explorador de Storage ---> BLOB CONTAINERS ---> puntos de control de TTP ---> Cargar y crear archivos vacíos en el equipo denominado attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt y seleccionarlos para cargarlos (esto se hace para que date_range para los registros de TTP se almacenen en estado coherente)

---

MISP2Sentinel

Compatible con:Community

Esta solución instala el conector MISP2Sentinel que permite insertar automáticamente indicadores de amenazas de MISP a Microsoft Sentinel a través de la API REST Indicadores de carga. Después de instalar la solución, configure y habilite este conector de datos siguiendo las instrucciones de la vista Administrar solución.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Instrucciones de instalación y configuración

Use la documentación de este repositorio de GitHub para instalar y configurar misp para Microsoft Sentinel conector:

https://github.com/cudeso/misp2sentinel

---

Registros de Atlas de MongoDB

Compatible con:MongoDB

El conector MongoDBAtlas Logs ofrece la capacidad de cargar los registros de base de datos de MongoDB Atlas en Microsoft Sentinel a través de la API de administración de Atlas de MongoDB. Consulte la documentación de la API para obtener más información. El conector proporciona la capacidad de obtener un intervalo de mensajes de registro de base de datos para los hosts especificados y el proyecto especificado.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
MDBALogTable_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requieren el identificador de cliente y el secreto de cliente de la cuenta de servicio de Atlas de MongoDB. Para obtener más información, consulte creación de una cuenta de servicio.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a "MongoDB Atlas" para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Asegúrese de que el área de trabajo se agrega a Microsoft Sentinel antes de implementar el conector.

PASO 1: Pasos de configuración para la API de administración de Atlas de MongoDB

1. Siga estas instrucciones para crear una cuenta de servicio de Atlas de MongoDB.
2. Copie el identificador de cliente y el secreto de cliente que creó, también el identificador de grupo (Project) y cada identificador de clúster (nombre de host) necesarios para los pasos posteriores.
3. Consulte la documentación de la API de Atlas de MongoDB para obtener más detalles.
4. El secreto de cliente se puede pasar al conector a través de un almacén de claves de Azure o directamente en el conector.
5. Si desea usar la opción de almacén de claves, cree un almacén de claves, mediante una directiva de acceso del almacén, con un secreto denominado mongodb-client-secret y el secreto de cliente guardado como el valor del secreto.

PASO 2: Implementación del conector "Registros de Atlas de MongoDB" y la función de Azure asociada

1. Haga clic en el botón Implementar en Azure siguiente.

   portal.azure.com

PASO 3: Establecimiento de los parámetros del conector

1. Seleccione la suscripción preferida y un grupo de recursos existente.
2. Escriba un identificador de recurso del área de trabajo de Log Analytics existente que pertenezca al grupo de recursos.
3. Haga clic en Siguiente.
4. Escriba el id. de grupo de MongoDB, una lista de hasta 10 identificadores de clúster de MongoDB, cada uno en una línea independiente, y el identificador de cliente de MongoDB.
5. Elija en Método de autenticación secreto de cliente y copie en el valor del secreto de cliente o Key Vault y copie en el nombre del almacén de claves. Haga clic en Siguiente.
6. Revise los filtros de MongoDB. Seleccione registros de al menos una categoría. Haga clic en Siguiente.
7. Revise la programación. Haga clic en Siguiente.
8. Revise la configuración y haga clic en Crear.

---

MuleSoft Cloudhub (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos de MuleSoft Cloudhub proporciona la capacidad de recuperar registros de aplicaciones de Cloudhub mediante la API de Cloudhub y más eventos en Microsoft Sentinel a través de la API REST. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
MuleSoft_Cloudhub_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de LA API REST: se requieren MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername y MuleSoftPassword para realizar llamadas API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Azure Blob Storage para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage costos. Consulte la página de precios de Azure Functions y Azure Blob Storage página de precios para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione como se esperaba en MuleSoftCloudhub, que se implementa con la solución Microsoft Sentinel.

Nota: Este conector de datos captura solo los registros de la aplicación de CloudHub mediante Platform API y no de la aplicación CloudHub 2.0

PASO 1: Pasos de configuración para la API de Cloudhub de MuleSoft

Siga las instrucciones para obtener las credenciales.

1. Obtenga MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername y MuleSoftPassword mediante la documentación.
2. Guarde las credenciales para usarlas en el conector de datos.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos de MuleSoft Cloudhub, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de MuleSoft Cloudhub mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername y MuleSoftPassword e implemente. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de MuleSoft Cloudhub manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, MuleSoftXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

NC Protect

Compatible con:archTIS

NC Protect Data Connector (archtis.com) proporciona la capacidad de ingerir registros y eventos de actividad de usuario en Microsoft Sentinel. El conector proporciona visibilidad sobre los registros y eventos de actividad de usuario de NC Protect en Microsoft Sentinel para mejorar las funcionalidades de supervisión e investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
NCProtectUAL_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• NC Protect: debe tener una instancia en ejecución de NC Protect para O365. Póngase en contacto con nosotros.

Instrucciones de instalación:

1. Instalación de NC Protect en el inquilino de Azure
2. Inicie sesión en el sitio de administración de NC Protect.
3. En el menú de navegación izquierdo, seleccione General -> Supervisión de la actividad del usuario.
4. Active la casilla Habilitar SIEM y haga clic en el botón Configurar.
5. Seleccione Microsoft Sentinel como aplicación y complete la configuración con la información siguiente.
6. Haga clic en Guardar para activar la conexión.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Alertas y eventos de Netskope

Compatible con:Netskope

Alertas y eventos de seguridad de Netskope

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
NetskopeAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Dirección URL de la organización de Netskope: el conector de datos de Netskope requiere que proporcione la dirección URL de su organización. Para encontrar la dirección URL de la organización, inicie sesión en el portal de Netskope.
• Clave de API de Netskope: el conector de datos de Netskope requiere que proporcione una clave de API válida. Puede crear uno siguiendo la documentación de Netskope.

Instrucciones de instalación:

PASO 1: Creación de una clave de API de Netskope.

Siga la documentación de Netskope para obtener instrucciones sobre este paso.

PASO 2: Escriba los detalles de su producto Netskope.

Escriba la dirección URL de la organización de Netskope & token de API a continuación:

• Dirección URL de la organización: (Escriba la dirección URL de su organización)
• Clave de API: (Escriba la clave de API) OPCIONAL: especifique el índice que usa la API.

La configuración del índice es opcional y solo es necesaria en escenarios avanzados. Netskope usa un índice para recuperar eventos. En algunos casos avanzados (consumiendo el evento en varias áreas de trabajo Microsoft Sentinel o preaplicando el índice para recuperar solo datos recientes), es posible que un cliente quiera tener control directo sobre el índice.

• Índice: (NetskopeCCF)

PASO 3: Hacer clic en Conectar

Compruebe que todos los campos anteriores se rellenaron correctamente. Presione Connect (Conectar) para conectar Netskope a Microsoft Sentinel.

• Habilitar o deshabilitar la conexión

---

Conector de datos de Netskope

Compatible con:Netskope

El conector de datos de Netskope proporciona las siguientes funcionalidades:

1. NetskopeToAzureStorage :

• Obtenga los datos de alertas y eventos de Netskope de Netskope e ingerir para Azure almacenamiento. 2. StorageToSentinel :
• Obtenga los datos de alertas y eventos de Netskope de Azure almacenamiento e ingesta a la tabla de registro personalizada en el área de trabajo de Log Analytics. 3. WebTxMetrics :
• Obtenga los datos de WebTxMetrics de Netskope e ingerirlos en una tabla de registro personalizada en el área de trabajo de Log Analytics.

Para obtener más información sobre las API REST, consulte las siguientes documentación:

1. Documentación de Netskope API:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure documentación de almacenamiento: /azure/storage/common/storage-introduction 3. Documentación de análisis de registros de Microsoft: /azure/azure-monitor/logs/log-analytics-overview

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
alertscompromisedcredentialdata_CL	No	No
alertsctepdata_CL	No	No
alertsdlpdata_CL	No	No
alertsmalsitedata_CL	No	No
alertsmalwaredata_CL	No	No
alertspolicydata_CL	No	No
alertsquarantinedata_CL	No	No
alertsremediationdata_CL	No	No
alertssecurityassessmentdata_CL	No	No
alertsubadata_CL	No	No
eventsapplicationdata_CL	No	No
eventsauditdata_CL	No	No
eventsconnectiondata_CL	No	No
eventsincidentdata_CL	No	No
eventsnetworkdata_CL	No	No
eventspagedata_CL	No	No
Netskope_WebTx_metrics_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Azure suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en azure active directory() y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requiere el inquilino de Netskope y el token de API de Netskope . Consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a las API de Netskope para extraer sus datos de alertas y eventos en la tabla de registro personalizada. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución del cuaderno de estrategias TriggersSync.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 2: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución del cuaderno de estrategias TriggersSync. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución del cuaderno de estrategias TriggersSync.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 3: Asignar el rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

1. En el Azure Portal, vaya al grupo de recursos y seleccione el grupo de recursos.
2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
3. Haga clic en Agregar y, a continuación, seleccione Agregar asignación de roles.
4. Seleccione Colaborador como rol y haga clic en Siguiente.
5. En Asignar acceso a, seleccione User, group, or service principal.
6. Haga clic en Agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia:/azure/role-based-access-control/role-assignments-portal

PASO 4: Pasos para crear o obtener credenciales para la cuenta de Netskope

Siga los pasos de esta sección para crear o obtener el nombre de host de Netskope y el token de API de Netskope:

1. Inicie sesión en el inquilino de Netskope y vaya al menú Configuración de la barra de navegación izquierda.
2. Haga clic en Herramientas y, a continuación, en API REST v2.
3. Ahora, haga clic en el botón nuevo token. A continuación, le pedirá el nombre del token, la duración de la expiración y los puntos de conexión de los que desea capturar datos.
4. Una vez hecho esto, haga clic en el botón Guardar, se generará el token. Copie el token y guárdelo en un lugar seguro para su uso adicional.

PASO 5: Pasos para crear las funciones de Azure para la recopilación de datos de alertas y eventos de Netskope

IMPORTANTE: Antes de implementar el conector de datos de Netskope, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente) fácilmente disponibles.., así como las claves de autorización de netskope API.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Con la plantilla de ARM, implemente las aplicaciones de función para la ingesta de eventos de Netskope y alerte a los datos para Sentinel.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la información siguiente: Netskope HostName Netskope API Token Select Yes (Seleccionar sí) en la lista desplegable Alerts and Events types (Tipos de alertas y eventos) para ese punto de conexión que desea capturar alertas y clave de área de trabajo de id. de área de trabajo de nivel de registro de eventos.

4. Haga clic en Revisar y crear.

5. Después de la validación, haga clic en Crear para implementar.

---

Netskope Web Transaction Connector (a través de Blob Storage)

Compatible con:Netskope

El conector de transacciones web de Netskope ingiere registros de transacciones web de Netskope Log Streaming en Microsoft Sentinel a través de Azure Blob Storage mediante Codeless Connector Framework (CCF).

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
NetskopeWebTransactions_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos de suscripción: necesita permisos para crear los recursos de flujo de datos:
• colas de almacenamiento (cola de notificaciones y cola de mensajes fallidos)
• tema y suscripción de event grid (para enviar notificaciones de "evento creado por blobs" a la cola de notificaciones)
• asignaciones de roles (para conceder acceso para Microsoft Sentinel aplicación al contenedor de blobs y a las colas de almacenamiento).
• Configuración de red de la cuenta de almacenamiento: las restricciones de red (reglas de firewall/IP) en la cuenta de Azure Blob Storage no se admiten para este conector debido a Azure restricciones y limitaciones del firewall de Storage:
• Las reglas de red IPno tienen ningún efectoen las solicitudes procedentes de la misma región Azure que la cuenta de almacenamiento.
• Las reglas de red IPno pueden restringirel acceso a Azure servicios implementados en la misma región, ya que estos servicios usan direcciones IP de Azure privadas para la comunicación.
• Las reglas de punto de conexión del servicio de red virtual no se aplican a los clientes de una región emparejada.

Asegúrese de que la hoja Redes de la cuenta de almacenamiento está establecida en Habilitado desde todas las redes.

• Asignaciones de roles de cuenta de almacenamiento: los siguientes roles de RBAC de Azure deben asignarse a la entidad de servicio de aplicación empresarial de Microsoft Sentinel (que se muestra a continuación) en la cuenta de almacenamiento que contiene el contenedor de blobs:
• Colaborador de datos de Storage Blob : necesario para leer datos de blobs del contenedor.
• Colaborador de datos de cola de Storage : necesario para administrar mensajes de cola de notificaciones y mensajes fallidos.

Para asignar estos roles: vaya a la cuenta de almacenamiento → Access Control (IAM) → Agregar asignación de roles, busque el identificador de entidad de servicio que se muestra a continuación y asigne ambos roles.

• Recopilación de datos de Netskope en el contenedor de blobs: siga los pasos descritos en la documentación de Netskope Log Streaming para configurar Netskope para transmitir registros de transacciones web al contenedor de Azure Blob Storage.

Instrucciones de instalación:

Conexión de registros webtx de Netskope a Microsoft Sentinel

Para habilitar los registros web de Netskope para Microsoft Sentinel, proporcione la información necesaria a continuación y haga clic en Conectar.

• Dirección URL del contenedor de blobs de la que desea recopilar datos:
• Nombre de la carpeta blobs en el contenedor. Opcional.:
• Ubicación de la cuenta de almacenamiento del contenedor de blobs:
• Nombre del grupo de recursos de la cuenta de almacenamiento del contenedor de blobs:
• Identificador de suscripción de la cuenta de almacenamiento del contenedor de blobs:
• Nombre del tema de Event Grid de la cuenta de almacenamiento del contenedor de blobs si existe. si no, manténgalo vacío.:
• Habilitar o deshabilitar la conexión

---

Conector de datos de transacciones web de Netskope

Compatible con:Netskope

El conector de datos de Netskope Web Transactions proporciona la funcionalidad de una imagen de Docker para extraer los datos de Netskope Web Transactions de google pubsublite, procesar los datos e ingerir los datos procesados en Log Analytics. Como parte de este conector de datos, se formarán dos tablas en Log Analytics, una para los datos de transacciones web y otra para los errores detectados durante la ejecución.

Para obtener más detalles relacionados con las transacciones web, consulte la documentación siguiente:

1. Documentación sobre transacciones web de Netskope:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
NetskopeWebtxData_CL	No	No
NetskopeWebtxErrors_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Azure Suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos de Microsoft.Compute: se necesitan permisos de lectura y escritura para Azure máquinas virtuales. Para obtener más información, consulte Azure máquinas virtuales.
• Credenciales y permisos de TransactionEvents: se requiere el inquilino de Netskope y el token de API de Netskope . Para obtener más información, vea Eventos de transacción.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.

Instrucciones de instalación:

NOTA: Este conector proporciona la funcionalidad de ingerir datos de Netskope Web Transactions mediante una imagen de Docker que se va a implementar en una máquina virtual (ya sea Azure máquina virtual o máquina virtual local). Consulte la página de precios de Azure máquina virtual para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos para crear o obtener credenciales para la cuenta de Netskope

Siga los pasos de esta sección para crear o obtener el nombre de host de Netskope y el token de API de Netskope:

1. Inicie sesión en el inquilino de Netskope y vaya al menú Configuración de la barra de navegación izquierda.
2. Haga clic en Herramientas y, a continuación, en API REST v2.
3. Ahora, haga clic en el botón nuevo token. A continuación, le pedirá el nombre del token, la duración de la expiración y los puntos de conexión de los que desea capturar datos.
4. Una vez hecho esto, haga clic en el botón Guardar, se generará el token. Copie el token y guárdelo en un lugar seguro para su uso adicional.

PASO 2: Elija una de las dos opciones de implementación siguientes para implementar el conector de datos basado en Docker para ingerir datos de Transacciones web de Netskope.

IMPORTANTE: Antes de implementar el conector de datos de Netskope, tenga disponibles fácilmente el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización de netskope API [asegúrese de que el token tenga permisos para los eventos de transacción].

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: Usar Azure Resource Manager plantilla (ARM) para implementar la máquina virtual [recomendado]

Con la plantilla de ARM, implemente una máquina virtual Azure, instale los requisitos previos e inicie la ejecución.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la información siguiente: Nombre de imagen de Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions) Netskope HostName Netskope API Token Seek Timestamp (La marca de tiempo de época que desea buscar el puntero pubsublite, se puede dejar vacía) Recuento de reintentos de reintento de clave de reintento de id. de área de trabajo del área de trabajo (Recuento de reintentos de errores relacionados con tokens antes de reiniciar la ejecución).
   Tiempo de espera de retroceso (número de segundos de suspensión antes de reintentar) Tiempo de espera de inactividad (número de segundos para esperar datos de transacciones web antes de reiniciar la ejecución) Tipo de autenticación de nombre de máquina virtual Administración contraseña o prefijo de etiqueta DNS clave Ubuntu OS Ubicación de la máquina virtual Tamaño de la máquina virtual Nombre de red Nombre de grupo de seguridad Tipo de seguridad

4. Haga clic en Revisar y crear.

5. Después de la validación, haga clic en Crear para implementar.

Opción 2: Implementación manual en una máquina virtual creada anteriormente

Use las siguientes instrucciones paso a paso para implementar manualmente el conector de datos basado en Docker en una máquina virtual creada anteriormente.

1. Instalación de docker y extracción de docker Image

NOTA: Asegúrese de que la máquina virtual está basada en Linux (preferiblemente Ubuntu).

1. En primer lugar, tendrá que usar SSH en la máquina virtual.

2. Ahora instale el motor de Docker.

3. Ahora extraiga la imagen de Docker desde Docker Hub mediante el comando "sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions".

4. Ahora para ejecutar la imagen de Docker, use el comando : "sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions". Puede reemplazar mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions por el identificador de imagen. Aquí docker_persistent_volume es el nombre de la carpeta que se crearía en la máquina virtual en la que se almacenarán los archivos.

5. Configuración de los parámetros

6. Una vez que se ejecute la imagen de Docker, solicitará los parámetros necesarios.

7. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores (distinguen mayúsculas de minúsculas): Netskope HostName Netskope API Token Seek Timestamp (Marca de tiempo de época que desea buscar el puntero pubsublite, se puede dejar vacía) Recuento de reintentos de reintentos de clave de área de trabajo de id. de área de trabajo (recuento de reintentos para errores relacionados con tokens antes de reiniciar la ejecución).
   Tiempo de suspensión de retroceso (número de segundos de suspensión antes de reintentar) Tiempo de espera de inactividad (número de segundos para esperar datos de transacciones web antes de reiniciar la ejecución)

8. Ahora se ha iniciado la ejecución, pero está en modo interactivo, por lo que no se puede detener el shell. Para ejecutarlo como un proceso en segundo plano, detenga la ejecución actual presionando Ctrl+C y, a continuación, use el comando : "sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions".

9. Detener el contenedor de Docker

10. Use el comando "sudo docker container ps" para enumerar los contenedores de Docker en ejecución. Anote el identificador de contenedor.

11. Ahora detenga el contenedor con el comando "sudo docker stop <container-id>".

---

Grupos de seguridad de red

Compatible con:Microsoft Corporation

Azure grupos de seguridad de red (NSG) permiten filtrar el tráfico de red hacia y desde Azure recursos en una red virtual Azure. Un grupo de seguridad de red incluye reglas que permiten o deniegan el tráfico a una subred de red virtual, una interfaz de red o ambas.

Al habilitar el registro para un grupo de seguridad de red, puede recopilar los siguientes tipos de información de registro de recursos:

• Evento: Las entradas se registran para las que se aplican reglas de NSG a las máquinas virtuales, en función de la dirección MAC.
• Contador de reglas: Contiene entradas para cuántas veces se aplica cada regla de grupo de seguridad de red para denegar o permitir el tráfico. El estado de estas reglas se recopila cada 300 segundos.

Este conector le permite transmitir los registros de diagnóstico del grupo de seguridad de red a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
AzureDiagnostics	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

NordPass

Compatible con:NordPass

La integración de NordPass con Microsoft Sentinel SIEM a través de la API le permitirá transferir automáticamente los datos del registro de actividad de NordPass a Microsoft Sentinel y obtener información en tiempo real, como la actividad del elemento, todos los intentos de inicio de sesión y las notificaciones de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
NordPassEventLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Asegúrese de que el grupo de recursos y el área de trabajo de Log Analytics se crean y se encuentran en la misma región para que pueda implementar el Azure Functions.
• Agregue Microsoft Sentinel al área de trabajo de Log Analytics creada.
• Genere una dirección URL y un token de API de Microsoft Sentinel en el Panel de Administración de NordPass para finalizar la integración de Azure Functions. Tenga en cuenta que necesitará la cuenta NordPass Enterprise para ello.
• Importante: Este conector usa Azure Functions para recuperar registros de actividad de NordPass en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Para obtener más información, consulte la página de precios de Azure Functions.

Instrucciones de instalación:

Para continuar con la configuración de Microsoft Sentinel

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Tenga en cuenta que después de la implementación correcta, el sistema extrae los datos del registro de actividad cada 1 minuto de forma predeterminada.

---

Obsidian Datasharing Connector

Compatible con:Obsidian Security

El conector de datasharing de Obsidian proporciona la capacidad de leer datos de eventos sin procesar de Obsidian Datasharing en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ObsidianActivity_CL	No	No
ObsidianThreat_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Este conector lee los datos de las tablas que Obsidian Datasharing usa en un área de trabajo de Microsoft Analytics, si la opción de reenvío de datos está habilitada en Obsidian Datasharing, los datos de eventos sin procesar se envían a la API de ingesta de Microsoft Sentinel.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Insertar los registros en el área de trabajo

Use los parámetros siguientes para configurar la máquina para enviar los registros al área de trabajo.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Nombre de Stream de actividad: <valor de variable proporcionado en tiempo de instalación>
• Nombre de Stream de amenazas: <valor de variable proporcionado en el momento de la instalación>

---

Okta Single Sign-On (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Okta Single Sign-On (SSO) proporciona la capacidad de ingerir registros de eventos y auditorías desde la API de registro de Okta Sysem en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel marco de conector sin código y usa la API de registro del sistema Okta para capturar los eventos. El conector admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de eventos de seguridad recibidos en columnas personalizadas para que las consultas no necesiten analizarlos de nuevo, lo que da lugar a un mejor rendimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OktaSSO	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Token de la API de Okta: un token de API de Okta. Siga las instrucciones siguientes para crear un consulte la documentación para obtener más información sobre Okta System Log API.

Instrucciones de instalación:

Para habilitar okta single Sign-On para Microsoft Sentinel, proporcione la información necesaria a continuación y haga clic en Conectar.

• Data Connectors Grid (configurar en el portal)

---

Onapsis Defender: integración de la detección de amenazas de SAP no coincidente & Intel con Microsoft Sentinel

Compatible con:Onapsis

Capacite a los equipos de seguridad con una visibilidad profunda de la actividad de explotación única, de día cero y de actor de amenazas; comportamiento sospechoso de usuario o insider; descargas de datos confidenciales; infracciones del control de seguridad; y mucho más: todo enriquecido por los expertos de SAP en Onapsis.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Onapsis_Defend_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en las reglas de recopilación de datos. Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario.

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Crearemos recursos de regla de recopilación de datos (DCR) y punto de conexión de recopilación de datos (DCE). También crearemos un registro de aplicación Microsoft Entra y le asignaremos los permisos necesarios.

La implementación automatizada de Azure recursos Al hacer clic en "Implementar recursos del conector de inserción", se desencadenará la creación de recursos DCR y DCE. A continuación, creará un registro de aplicación Microsoft Entra con el secreto de cliente y concederá permisos en dcr. Esta configuración permite que los datos se envíen de forma segura al DCR mediante las credenciales de cliente de OAuth v2.

2. Mantener los detalles del punto de conexión de recopilación de datos y la información de autenticación en Onapsis Defender Integration

Comparta la dirección URL del punto de conexión de recopilación de datos y la información de autenticación con el administrador de la integración de Onapsis Defender para configurar la integración de Onapsis Defender para enviar datos al punto de conexión de recopilación de datos.

• Identificador de inquilino | Use este valor para configurar como identificador de inquilino: <valor de variable proporcionado en tiempo de instalación>
• Entra id. de aplicación | Use este valor para el identificador de cliente: <valor de variable proporcionado en tiempo de instalación>
• Entra secreto de aplicación | Use este valor para el valor de variable Token: <proporcionado en el momento de la instalación.>
• LogIngestionURL | Use este valor para el parámetro URL: <valor de variable proporcionado en tiempo de instalación.>
• Id. inmutable de DCR | Use este valor para el parámetro DCR_ID: <valor de variable proporcionado en tiempo de instalación.>

---

OneLogin IAM Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de OneLogin proporciona la capacidad de ingerir eventos comunes de la plataforma iam de OneLogin en Microsoft Sentinel a través de la API REST mediante la API de eventos de OneLogin y la API de usuarios de OneLogin. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OneLoginEventsV2_CL	Sí	Sí
OneLoginUsersV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Credenciales de API de IAM de OneLogin: para crear credenciales de API, siga el vínculo de documento que se proporciona aquí, Haga clic aquí. Asegúrese de tener un tipo de cuenta de propietario o administrador de la cuenta para crear las credenciales de API. Una vez creadas las credenciales de API, obtendrá el identificador de cliente y el secreto de cliente.

Instrucciones de instalación:

Conexión de OneLogin IAM Platform a Microsoft Sentinel

Para ingerir datos de OneLogin IAM en Microsoft Sentinel, tiene que hacer clic en el botón Agregar dominio que aparece a continuación y, a continuación, obtener un elemento emergente para rellenar los detalles, proporcionar la información necesaria y hacer clic en Conectar. Puede ver los puntos de conexión de dominio conectados en la cuadrícula.

• Data Connectors Grid (configurar en el portal)

---

OneTrust

Compatible con:OneTrust, LLC

El conector de OneTrust para Microsoft Sentinel proporciona la capacidad de tener visibilidad casi en tiempo real sobre dónde se han localizado o corregido datos confidenciales en Google Cloud y otros orígenes de datos compatibles con OneTrust.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OneTrustMetadataV3_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Este conector lee los datos de las tablas que OneTrust usa en un área de trabajo de Microsoft Analytics. Si la opción de reenvío de datos de OneTrust está habilitada, los datos de eventos sin procesar se pueden enviar a la API de ingesta de Microsoft Sentinel.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Insertar los registros en el área de trabajo

Use los parámetros siguientes para configurar la máquina para enviar los registros al área de trabajo.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Nombre Stream de metadatos de OneTrust: <valor de variable proporcionado en tiempo de instalación>

---

Open Systems Data Connector

Compatible con:Open Systems

Open Systems Logs API Microsoft Sentinel Connector proporciona la capacidad de ingerir registros de Open Systems en Microsoft Sentinel mediante Open Systems Logs API.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OpenSystemsZtnaLogs_CL	Sí	Sí
OpenSystemsFirewallLogs_CL	No	No
OpenSystemsAuthenticationLogs_CL	No	No
OpenSystemsProxyLogs_CL	No	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Container Apps, DCR y DCE: se requieren permisos para implementar aplicaciones de contenedor de Azure, entornos administrados, reglas de recopilación de datos (DCR) y puntos de conexión de recopilación de datos (DCE). Normalmente, esto se cubre con el rol "Colaborador" en la suscripción o el grupo de recursos.
• Permisos de asignación de roles: se requieren permisos para crear asignaciones de roles (específicamente "Publicador de métricas de supervisión" en DCR) para el usuario o la entidad de servicio de implementación.
• Credenciales necesarias para la plantilla de ARM: durante la implementación, tendrá que proporcionar: Punto de conexión de api de registros de sistemas abiertos y cadena de conexión y credenciales de entidad de servicio (id. de cliente, secreto de cliente, objeto o identificador de entidad de seguridad).
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Requisitos previos personalizados si es necesario; en caso contrario, elimine esta etiqueta de aduana: Descripción de los requisitos previos personalizados

Instrucciones de instalación:

PASO 1: Requisitos previos

Asegúrese de que tiene la siguiente información y permisos antes de continuar:

1. Abra el punto de conexión de la API de registros de sistemas y la cadena de conexión.
2. Credenciales de entidad de servicio (id. de cliente, secreto de cliente, objeto o identificador de entidad de seguridad).
3. Permisos para implementar Azure Container Apps, entornos administrados, reglas de recopilación de datos (DCR), puntos de conexión de recopilación de datos (DCE) y crear asignaciones de roles (normalmente rol "Colaborador" en la suscripción o grupo de recursos).

PASO 2: Implementación del conector

Implemente la plantilla de ARM para configurar los recursos de procesamiento de datos, incluida la regla de recopilación de datos y los componentes asociados.

1. Haga clic en el botón Implementar en Azure siguiente. Esto te llevará al Azure Portal.

   aka.ms

2. En el Azure Portal, seleccione la suscripción, el grupo de recursos y la región que desee.

3. Proporcione los parámetros necesarios, incluidos los recopilados en el paso de requisitos previos (detalles de la API De registros de sistemas abiertos, credenciales de entidad de servicio, etc.), cuando lo solicite el asistente para la implementación.

4. Revise los términos y haga clic en Revisar y crear y, después, en Crear para iniciar la implementación.

PASO 3: Comprobación posterior a la implementación

Después de una implementación correcta:

1. Compruebe que la aplicación de contenedor de Azure que ejecuta el procesador está en un estado "En ejecución".
2. Compruebe las OpenSystemsZtnaLogs_CLtablas , OpenSystemsFirewallLogs_CL, OpenSystemsAuthenticationLogs_CLy OpenSystemsProxyLogs_CL del área de trabajo de Log Analytics para ver si hay datos entrantes. Los registros pueden tardar algún tiempo en aparecer después de la configuración inicial.
3. Use las consultas de ejemplo proporcionadas en la pestaña "Pasos siguientes" de esta página del conector de datos para ver y analizar los registros.

---

OpenAI (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de OpenAI le permite ingerir registros de auditoría, datos de finalización de chat o ambos desde la organización de OpenAI en Microsoft Sentinel a través de la API de OpenAI. Cada tipo de datos usa un sondeo de API REST independiente y requiere un tipo de clave de API diferente: los registros de auditoría (acciones de usuario, administración de claves de API, cambios de organización, eventos de seguridad) requieren una clave de API de administración de nivel de organización, mientras que las finalizaciones de chat (uso del modelo, consumo de tokens, métricas de rendimiento) requieren una clave de API de nivel de proyecto. Puede configurar uno o ambos tipos de datos de forma independiente. Los registros de auditoría se recopilan en la tabla de OpenAIAuditLogs_CL personalizada (con el alias del analizador OpenAIAuditLogs). Las finalizaciones de chat se normalizan en la tabla ASIM estándar de ASimAgentEventLogs (con el alias del analizador OpenAIChatCompletions) para la supervisión de seguridad, el análisis de cumplimiento y la supervisión de uso. Consulte la documentación de la API de OpenAI para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OpenAIAuditLogs	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Acceso a la API de OpenAI: cada tipo de datos requiere un tipo de clave de API diferente. Se requiere una clave de API de administrador de nivel de organización para los registros de auditoría; se pueden crear en la configuración de la organización de OpenAI. Se requiere una clave de API de nivel de proyecto para las finalizaciones de chat: se pueden crear en un proyecto específico en el panel de OpenAI. Puede configurar los registros de auditoría, las finalizaciones de chat o ambas de forma independiente.

Instrucciones de instalación:

Información de conexión

Detalles sobre las conexiones usadas para recopilar datos de la API de OpenAI.

• Registros de auditoría (OpenAIAuditLogs):
• Use claves de API de administración de nivel de organización.
• El registro de auditoría debe estar habilitado en la configuración de la organización de OpenAI. Los propietarios de la organización pueden ir a OpenAI para Organization settings>>Data controlsData retention habilitar el registro de auditoría.
• Una vez habilitado el registro de auditoría de OpenAI, no se puede deshabilitar sin ponerse en contacto con el soporte técnico de OpenAI.
• Finalizaciones de chat (ASimAgentEventLogs):
• Use claves de API de nivel de proyecto.
• Solo se recopilarán las finalizaciones de chat creadas con el store parámetro establecido en true .
• Las finalizaciones de chat se normalizan en la tabla estándar ASimAgentEventLogs ASIM.
• La eliminación de finalizaciones de chat almacenadas mientras este conector está activo puede requerir que se desconecte y vuelva a conectar para restablecer el estado de recopilación de datos.

Agregar conexión de registros de auditoría de OpenAI

Escriba las credenciales de la API de OpenAI para recopilar datos de registros de auditoría de la API de OpenAI.

Agregar conexión de finalización de chat de OpenAI

Escriba las credenciales de la API de OpenAI para recopilar datos de finalización de chat de la API de OpenAI.

• Data Connectors Grid (configurar en el portal)

---

Oracle Cloud Infrastructure (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Oracle Cloud Infrastructure (OCI) proporciona la capacidad de ingerir registros de OCI de OCI Stream en Microsoft Sentinel mediante la API REST de streaming de OCI.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OCI_LogsV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API de streaming de OCI: se requiere acceso a la API de streaming de OCI mediante claves de firma de API.

Instrucciones de instalación:

Conéctese a OCI Streaming API para empezar a recopilar registros de eventos en Microsoft Sentinel

1. Inicie sesión en la consola de OCI y acceda al menú de navegación.
2. En el menú de navegación, vaya a "Analytics & AI" -> "Streaming".
3. Haga clic en "Crear Stream".
4. Seleccione un "grupo de Stream" existente o cree uno nuevo.
5. Escriba los detalles siguientes:
   • "nombre Stream"
   • "Retención"
   • "Número de particiones"
   • "Tasa de escritura total"
   • "Tasa de lectura total" (en función del volumen de datos)
6. En el menú de navegación, vaya a "Registro" -> "Conectores de servicio".
7. Haga clic en "Crear conector de servicio".
8. Escriba los detalles siguientes:
   • "Nombre del conector"
   • "Descripción"
   • "Compartimiento de recursos"
9. Seleccione "Origen": "Registro".
10. Seleccione "Target": "Streaming".
11. (Opcional) Configure "Grupo de registros", "Filtros" o use una "consulta de búsqueda personalizada" para transmitir solo los registros necesarios.
12. Configure el "Destino" seleccionando la secuencia creada anteriormente.
13. Haga clic en "Crear".
14. Siga la documentación para crear un archivo de configuración de clave privada y clave de API. Guarde el archivo Pem, la frase de paso (opcional, no se establece al usar la consola de OCI para generar el par de claves de firma de API) y la huella digital en un lugar seguro para su uso al conectarse.

• Data Connectors Grid (configurar en el portal)

---

Alertas de seguridad de Orca

Compatible con:Orca Security

El conector de alertas de seguridad de Orca permite exportar fácilmente los registros de alertas a Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
OrcaAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Siga las instrucciones para integrar los registros de alertas de seguridad de Orca con Microsoft Sentinel.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Palo Alto Cortex XDR

Compatible con:Microsoft Corporation

El conector de datos XDR de Palo Alto Cortex permite ingerir registros de la API XDR de Palo Alto Cortex en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel marco de conector sin código. Usa la API XDR de Palo Alto Cortex para capturar registros y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada para que las consultas no tengan que volver a analizarlos, lo que da lugar a un mejor rendimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
PaloAltoCortexXDR_Incidents_CL	Sí	Sí
PaloAltoCortexXDR_Endpoints_CL	Sí	Sí
PaloAltoCortexXDR_Audit_Management_CL	Sí	Sí
PaloAltoCortexXDR_Audit_Agent_CL	Sí	Sí
PaloAltoCortexXDR_Alerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Pasos de configuración para la API XDR de Palo Alto Cortex Siga las instrucciones para obtener las credenciales. también puede seguir esta guía para generar la clave de API.

1. Recupere la dirección URL de API 1.1. Inicie sesión en Palo Alto Cortex XDR [Consola de administración] con Administración credenciales de usuario 1.2. En la [Consola de administración], haga clic en [Configuración] -> [Configuraciones] 1.3. En [Integraciones] haga clic en [Claves de API]. 1.4. En la página [Configuración], haga clic en [Copiar dirección URL de API] en la esquina superior derecha.

2. Recupere el token de API 2.1. Inicie sesión en Palo Alto Cortex XDR [Consola de administración] con Administración credenciales de usuario 2.2. En [Consola de administración], haga clic en [Configuración] -> [Configuraciones] 2.3. En [Integraciones] haga clic en [Claves de API]. 2.4. En la página [Configuración] haga clic en [Nueva clave] en la esquina superior derecha. 2.5. Elija el nivel de seguridad, el rol, elija Standard y haga clic en [Generar] 2.6. Copie el token de API, una vez que haya generado el [Identificador de token de API], puede encontrarse en la columna Id.

• Dirección URL de la API base: (https://api-example.xdr.au.paloaltonetworks.com)
• Identificador de clave de API: (identificador de API)
• Token de API: (token de API)
• Habilitar o deshabilitar la conexión

---

Palo Alto Cortex Xpanse (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Palo Alto Cortex Xpanse ingiere datos de alertas en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CortexXpanseAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión de Palo Alto Xpanse a Microsoft Sentinel

Para ingerir datos de Palo Alto Cortex Xpanse para Microsoft Sentinel, haga clic en Agregar dominio. Rellene los detalles necesarios en el elemento emergente y haga clic en Conectar. Verá los puntos de conexión de dominio conectados en la cuadrícula siguiente. Para obtener el identificador de autenticación y la clave de API, vaya a Configuración → Configuración → Integraciones → claves de API en el portal de Cortex Xpanse y genere nuevas credenciales.

• Data Connectors Grid (configurar en el portal)

---

CSPM de Palo Alto Prisma Cloud (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos DE CSPM de Palo Alto Prisma Cloud le permite conectarse a la instancia de CSPM de Palo Alto Prisma Cloud e ingerir alertas (https://pan.dev/prisma-cloud/api/cspm/alerts/) & Audit Logs(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
PaloAltoPrismaCloudAlertV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión de eventos de CSPM en la nube de Palo Alto Prisma a Microsoft Sentinel

Para obtener más información sobre cómo obtener la clave de acceso a la nube de Prisma, la clave secreta y la dirección URL base, consulte eltutorial del conector, proporcione la información necesaria a continuación y haga clic en Conectar.

• Clave de acceso a la nube de Prisma: (escriba la clave de acceso)
• Clave secreta de Prisma Cloud: (Escriba la clave secreta)
• Dirección URL base de Prisma Cloud: (https://api2.eu.prismacloud.io)
• Habilitar o deshabilitar la conexión
• Data Connectors Grid (configurar en el portal)

---

Palo Alto Prisma Cloud CWPP (mediante la API REST)

Compatible con:Microsoft Corporation

El conector de datos CWPP de Palo Alto Prisma Cloud le permite conectarse a la instancia de CWPP de Palo Alto Prisma Cloud e ingerir alertas en Microsoft Sentinel. El conector de datos se basa en el marco de conector sin código de Microsoft Sentinel y usa Prisma Cloud API para capturar eventos de seguridad y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de eventos de seguridad recibidos en columnas personalizadas para que las consultas no necesiten volver a analizarlos, lo que da lugar a un mejor rendimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
PrismaCloudCompute_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Clave de API PrismaCloudCompute: se requiere un nombre de usuario y una contraseña de la API de CWPP Monitor de Palo Alto Prisma Cloud. Para obtener más información, consulte PrismaCloudCompute SIEM API.

Instrucciones de instalación:

Conexión de eventos de seguridad cwpp en la nube de Palo Alto Prisma a Microsoft Sentinel

Para habilitar los eventos de seguridad de CWPP en la nube de Palo Alto Prisma para Microsoft Sentinel, proporcione la información necesaria a continuación y haga clic en Conectar.

• Ruta de acceso a la consola: (europe-west3.cloud.twistlock.com/{sasid})
• Prisma Access Key (API): (Prisma Access Key (API))
• Secreto: (Secreto)
• Habilitar o deshabilitar la conexión

---

Pathlock Inc.: Detección y respuesta de amenazas para SAP

Compatible con:Pathlock Inc.

La integración de pathlock Threat Detection and Response (TD&R) con Microsoft Sentinel Solution for SAP ofrece visibilidad unificada en tiempo real de los eventos de seguridad de SAP, lo que permite a las organizaciones detectar y actuar sobre amenazas en todos los paisajes de SAP. Esta integración integrada permite a los Centros de operaciones de seguridad (SOC) correlacionar alertas específicas de SAP con telemetría de toda la empresa, creando inteligencia procesable que conecta la seguridad de TI con los procesos empresariales.

El conector de Pathlock está diseñado específicamente para SAP y reenvía solo eventos relevantes para la seguridad de forma predeterminada, lo que minimiza el volumen de datos y el ruido, al tiempo que mantiene la flexibilidad de reenviar todos los orígenes de registro cuando sea necesario. Cada evento se enriquece con el contexto del proceso de negocio, lo que permite a Microsoft Sentinel Solution for SAP Analytics distinguir patrones operativos de amenazas reales y priorizar lo que realmente importa.

Este enfoque basado en precisión ayuda a los equipos de seguridad a reducir drásticamente los falsos positivos, centrar las investigaciones y acelerar el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR). La biblioteca de Pathlock consta de más de 1500 firmas de detección específicas de SAP en más de 70 orígenes de registro, la solución detecta comportamientos de ataque complejos, debilidades de configuración y anomalías de acceso.

Mediante la combinación de inteligencia de contexto empresarial con análisis avanzados, Pathlock permite a las empresas reforzar la precisión de la detección, optimizar las acciones de respuesta y mantener el control continuo en sus entornos de SAP, sin agregar capas de supervisión redundantes ni complejas.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ABAPAuditLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en las reglas de recopilación de datos. Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario.

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Crearemos recursos de regla de recopilación de datos (DCR) y punto de conexión de recopilación de datos (DCE). También crearemos un registro de aplicación Microsoft Entra y le asignaremos los permisos necesarios.

La implementación automatizada de Azure recursos Al hacer clic en "Implementar recursos del conector de inserción", se desencadenará la creación de recursos DCR y DCE. A continuación, creará un registro de aplicación Microsoft Entra con el secreto de cliente y concederá permisos en dcr. Esta configuración permite que los datos se envíen de forma segura al DCR mediante las credenciales de cliente de OAuth v2.

2. Mantenga los detalles del punto de conexión de recopilación de datos y la información de autenticación en la instancia central de Los controles de aplicación de ciberseguridad de Pathlock: Detección y respuesta de amenazas

Comparta la dirección URL del punto de conexión de recopilación de datos y la información de autenticación con el administrador de Pathlock para configurar el reenvío de plug and play en Detección y respuesta de amenazas para enviar datos al punto de conexión de recopilación de datos. Si necesita soporte técnico, no dude en ponerse en contacto con Pathlock.

• Use este valor para configurar como identificador de inquilino en la credencial logingestionAPI. Valor <de variable proporcionado en el momento de la instalación>
• Entra Id. de aplicación: <valor de variable proporcionado en tiempo de instalación>
• Entra secreto de aplicación: <valor de variable proporcionado en tiempo de instalación>
• Use este valor para configurar el parámetro LogsIngestionURL al implementar el valor de variable IFlow.: <proporcionado en el momento de la instalación.>
• Identificador inmutable de DCR: <valor de variable proporcionado en el momento de la instalación>

---

Registros de actividad de Perimeter 81

Compatible con:Perimeter 81

El conector de registros de actividad de Perimeter 81 permite conectar fácilmente los registros de actividad de Perimeter 81 con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Perimeter81_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Tenga en cuenta los valores siguientes y siga las instrucciones aquí para conectar los registros de actividad de Perimeter 81 con Microsoft Sentinel.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Dispositivos de fósforo

Compatible con:Phosphorus Inc.

El conector de dispositivos de Fósforo proporciona la capacidad de que Fósforo ingiere los registros de datos del dispositivo en Microsoft Sentinel a través de la API REST de Fósforo. El conector proporciona visibilidad sobre los dispositivos inscritos en Phosphorus. Este conector de datos extrae la información de los dispositivos junto con sus alertas correspondientes.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Phosphorus_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Credenciales o permisos de API REST: se requiere la clave de API de Fósforo . Asegúrese de que la clave de API asociada al usuario tenga habilitados los permisos Administrar configuración.

Siga estas instrucciones para habilitar los permisos Administrar configuración.

1. Iniciar sesión en la aplicación Phosphorus
2. Vaya a "Configuración":> "Grupos".
3. Seleccione el grupo del que forma parte el usuario de integración.
4. Vaya a "Acciones del producto":> active el permiso "Administrar configuración".

Instrucciones de instalación:

PASO 1: Pasos de configuración de La API de Fósforo

Siga estas instrucciones para crear una clave de la API de Fósforo.

1. Inicie sesión en la instancia de Phosphorus.
2. Vaya a Configuración:> API
3. Si aún no se ha creado la clave de API, presione el botón Agregar para crear la clave de API.
4. La clave de API ahora se puede copiar y usar durante la configuración del conector del dispositivo de Fósforo.

Conexión de la aplicación Phosphorus con Microsoft Sentinel

PASO 2: Rellene los detalles siguientes.

IMPORTANTE: Antes de implementar el conector de datos del dispositivo de Fósforo, tenga el nombre de dominio de la instancia de Fósforo disponible y las claves de la API de Fósforo.

---

Ping One (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector ingiere registros de actividad de auditoría de la plataforma PingOne Identity en Microsoft Sentinel mediante un marco de conector sin código.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
PingOne_AuditActivitiesV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión del conector Ping One a Microsoft Sentinel

Antes de conectarse a PingOne, asegúrese de que se completan los siguientes requisitos previos. Consulte el documento para obtener instrucciones de configuración detalladas, incluido cómo obtener las credenciales de cliente y el identificador de entorno.

1. Credenciales de cliente Necesitará credenciales de cliente, incluido el identificador de cliente y el secreto de cliente.

2. Id. de entorno
   Para generar token y recopilar registros del punto de conexión de actividades de auditoría

• Data Connectors Grid (configurar en el portal)

---

Conector de datos prancer

Compatible con:Prancer PenSuiteAI Integration

Prancer Data Connector proporciona la capacidad de ingerir datos prancer (CSPM)[https://docs.prancer.io/web/CSPM/] y PAC para procesarlos a través de Microsoft Sentinel. Consulte la documentación de Prancer para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
prancer_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Incluir requisitos previos personalizados si la conectividad requiere: elimine las aduanas: descripción de los requisitos previos personalizados

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API REST de Prancer para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

PASO 1: Siga la documentación del sitio de documentación de Prancer para configurar un examen con un conector en la nube de Azure.

PASO 2: Una vez creado el examen, vaya al menú "Integraciones de terceros" para el examen y seleccione Sentinel.

PASO 3: Crear siga el asistente de configuración para seleccionar a dónde Azure se deben enviar los resultados.

PASO 4: Los datos deben empezar a introducirse en Microsoft Sentinel para su procesamiento.

---

Premium Inteligencia contra amenazas de Microsoft Defender

Compatible con:Microsoft Corporation

Microsoft Sentinel proporciona la capacidad de importar inteligencia sobre amenazas generada por Microsoft para habilitar la supervisión, las alertas y la búsqueda. Use este conector de datos para importar indicadores de peligro (IOC) de Premium Inteligencia contra amenazas de Microsoft Defender (MDTI) en Microsoft Sentinel. Los indicadores de amenazas pueden incluir direcciones IP, dominios, direcciones URL y hash de archivos, etc. Nota: Se trata de un conector de pago. Para usar e ingerir datos de ellos, compre la SKU "MDTI API Access" en el Centro de partners.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Proofpoint On Demand Email Security (a través de Codeless Connector Framework)

Compatible con:Proofpoint, Inc.

El conector de datos Proofpoint On Demand Email Security proporciona la capacidad de obtener datos de Proofpoint on Demand Email Protection, permite a los usuarios comprobar la trazabilidad de los mensajes, la supervisión de la actividad del correo electrónico, las amenazas y la filtración de datos por parte de atacantes y usuarios internos malintencionados. El conector proporciona la capacidad de revisar eventos en la organización de forma acelerada y obtener archivos de registro de eventos en incrementos por hora para la actividad reciente.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ProofpointPODMailLog_CL	Sí	Sí
ProofpointPODMessage_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Credenciales o permisos de api de Websocket: se requieren ProofpointClusterID y ProofpointToken . Para obtener más información, consulte API.

Instrucciones de instalación:

Pasos de configuración para proofpoint POD Websocket API

La API de registro de PoD no permite el uso del mismo token para más de una sesión al mismo tiempo, por lo que debe asegurarse de que el token no se usa en ningún lugar.

El servicio api de Websocket de Proofpoint requiere una licencia de reenvío de Syslog remoto. Consulte la documentación sobre cómo habilitar y comprobar PoD Log API. Debe proporcionar el identificador de clúster y el token de seguridad.

1. Recupere el identificador de clúster 1.1. Inicie sesión en el punto de prueba [Consola de administración] con Administración credenciales de usuario.

   1.2. En la consola de administración, el identificador de clúster se muestra en la esquina superior derecha.

2. Recupere el token de API 2.1. Inicie sesión en el punto de prueba [Consola de administración] con Administración credenciales de usuario.

2.2. En la consola de administración, haga clic en Configuración:> API Key Management.

2.3. En API Key Management, haga clic en la pestaña Registro de poD .

2.4. Obtenga o cree una nueva clave de API.

• Id. de clúster: (cluster_id)
• Clave de API: (clave de API)
• Habilitar o deshabilitar la conexión

---

Proofpoint On Demand Email Security (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos Proofpoint On Demand Email Security proporciona la capacidad de obtener datos de Proofpoint on Demand Email Protection, permite a los usuarios comprobar la trazabilidad de los mensajes, la supervisión de la actividad del correo electrónico, las amenazas y la filtración de datos por parte de atacantes y usuarios internos malintencionados. El conector proporciona la capacidad de revisar eventos en la organización de forma acelerada y obtener archivos de registro de eventos en incrementos por hora para la actividad reciente.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ProofpointPODMailLog_CL	Sí	Sí
ProofpointPODMessage_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Credenciales o permisos de api de Websocket: se requieren ProofpointClusterID y ProofpointToken . Para obtener más información, consulte API.

Instrucciones de instalación:

Pasos de configuración para proofpoint POD Websocket API

La API de registro de PoD no permite el uso del mismo token para más de una sesión al mismo tiempo, por lo que debe asegurarse de que el token no se usa en ningún lugar.

El servicio api de Websocket de Proofpoint requiere una licencia de reenvío de Syslog remoto. Consulte la documentación sobre cómo habilitar y comprobar PoD Log API. Debe proporcionar el identificador de clúster y el token de seguridad.

1. Recupere el identificador de clúster 1.1. Inicie sesión en el punto de prueba [Consola de administración] con Administración credenciales de usuario.

   1.2. En la consola de administración, el identificador de clúster se muestra en la esquina superior derecha.

2. Recupere el token de API 2.1. Inicie sesión en el punto de prueba [Consola de administración] con Administración credenciales de usuario.

2.2. En la consola de administración, haga clic en Configuración:> API Key Management.

2.3. En API Key Management, haga clic en la pestaña Registro de poD .

2.4. Obtenga o cree una nueva clave de API.

• Id. de clúster: (cluster_id)
• Clave de API: (clave de API)
• Habilitar o deshabilitar la conexión

---

Proofpoint TAP (a través de Codeless Connector Framework)

Compatible con:Proofpoint, Inc.

El conector de Protección contra ataques dirigidos (TAP) de Proofpoint proporciona la capacidad de ingerir registros y eventos de TAP de Proofpoint en Microsoft Sentinel. El conector proporciona visibilidad sobre los eventos Message y Click en Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las capacidades de supervisión e investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ProofPointTAPMessagesDeliveredV2_CL	Sí	Sí
ProofPointTAPMessagesBlockedV2_CL	Sí	Sí
ProofPointTAPClicksPermittedV2_CL	Sí	Sí
ProofPointTAPClicksBlockedV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Clave de API de TAP de Proofpoint: se requiere una entidad de servicio y un secreto de API de TAP de Proofpoint para acceder a la API SIEM de Proofpoint. Para obtener más información, consulte API SIEM de Proofpoint.

Instrucciones de instalación:

Pasos de configuración para proofpoint TAP API

1. Inicio de sesión en el panel de Tap de Proofpoint
2. Vaya a Configuración y vaya a la pestaña Aplicaciones conectadas .
3. Haga clic en Crear nueva credencial.
4. Proporcione un nombre y haga clic en Generar.
5. Copia de valores de entidad de servicio y secreto

NOTA: Este conector depende de un analizador basado en la función Kusto para que funcione como se esperaba ProofpointTAPEvent, que se implementa con la solución Microsoft Sentinel.

• Entidad de servicio: (123456)
• Secreto: (123456)
• Habilitar o deshabilitar la conexión

---

Proofpoint TAP (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de Protección contra ataques dirigidos (TAP) de Proofpoint proporciona la capacidad de ingerir registros y eventos de TAP de Proofpoint en Microsoft Sentinel. El conector proporciona visibilidad sobre los eventos Message y Click en Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las capacidades de supervisión e investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ProofPointTAPMessagesDeliveredV2_CL	Sí	Sí
ProofPointTAPMessagesBlockedV2_CL	Sí	Sí
ProofPointTAPClicksPermittedV2_CL	Sí	Sí
ProofPointTAPClicksBlockedV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Clave de API de TAP de Proofpoint: se requiere una entidad de servicio y un secreto de API de TAP de Proofpoint para acceder a la API SIEM de Proofpoint. Para obtener más información, consulte API SIEM de Proofpoint.

Instrucciones de instalación:

Pasos de configuración para proofpoint TAP API

1. Inicio de sesión en el panel de Tap de Proofpoint
2. Vaya a Configuración y vaya a la pestaña Aplicaciones conectadas .
3. Haga clic en Crear nueva credencial.
4. Proporcione un nombre y haga clic en Generar.
5. Copia de valores de entidad de servicio y secreto

NOTA: Este conector depende de un analizador basado en la función Kusto para que funcione como se esperaba ProofpointTAPEvent, que se implementa con la solución Microsoft Sentinel.

• Entidad de servicio: (123456)
• Secreto: (123456)
• Habilitar o deshabilitar la conexión

---

QscoutAppEventsConnector (a través de Codeless Connector Framework)

Compatible con:Quokka

Ingerir eventos de aplicación de Qscout en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
QscoutAppEvents_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Id. de organización de Qscout: la API requiere el identificador de la organización en Qscout.
• Clave de LA API de la organización de Qscout: la API requiere la clave de API de la organización en Qscout.

Instrucciones de instalación:

NOTA: Este conector usa Codeless Connector Framework (CCF) para conectarse a la fuente de eventos de la aplicación Qscout e ingerir datos en Microsoft Sentinel

Proporcione los valores necesarios a continuación:

• Id. de organización de Qscout: (123456)
• Clave de la API de la organización de Qscout: (abcdxyz)
• Habilitar o deshabilitar la conexión

---

Qualys Knowledge Base (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Ingerir datos de vulnerabilidad de Qualys Knowledge Base en Microsoft Sentinel mediante la versión 4.0 de qualys API.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
QualysKnowledgeBase	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API de Qualys: requiere una cuenta de usuario de Qualys con acceso de lectura a los puntos de conexión de Knowledge Base.

Instrucciones de instalación:

Paso 1: Establecer credenciales Proporcione las credenciales de la API de Qualys para habilitar la ingesta de datos desde la base de conocimiento de Qualys.

Para recopilar datos de la máquina virtual de Qualys, debe proporcionar los siguientes recursos:

• Credenciales de API: nombre de usuario y contraseña de una cuenta con acceso de lectura a Knowledge Base API. Puede encontrar los permisos exactos necesarios en la documentación de la API de Qualys.

• Dirección URL del servidor de API: la dirección URL del servidor de API de Qualys específica de la región. Puede encontrar la dirección URL exacta del servidor de API para su región aquí.

• DIRECCIÓN URL del servidor de API: (Escriba la dirección URL del servidor de API)

• Nombre de usuario: (Escriba el nombre de usuario de Qualys)

• Contraseña: (Escriba su contraseña o token de Qualys) Paso 2: Establecer los filtros opcionales

Configure filtros opcionales para personalizar qué vulnerabilidades se ingieren. Obtenga más información sobre los filtros disponibles en la documentación de la API de Qualys.

2a. Filtrar por estado de revisión Elija mostrar solo las vulnerabilidades que se pueden aplicar o que no se pueden aplicar revisiones.

2b. Filtrar por método de detección y tipos de autenticación Elija solo recibir vulnerabilidades asignadas a un método de detección determinado o tener tipos de autenticación específicos.

• Tipos de autenticación de detección: (por ejemplo, Windows, Oracle, Unix, SNMP (separados por comas)) Paso 3: Revisar y habilitar Revisar la configuración y permitir que el conector empiece a ingerir datos de Qualys Knowledge Base en Microsoft Sentinel.

• Habilitar o deshabilitar la conexión

---

Qualys VM KnowledgeBase (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector KnowledgeBase (KB) de Qualys Vulnerability Management (VM) proporciona la capacidad de ingerir los datos de vulnerabilidad más recientes de qualys KB en Microsoft Sentinel.

Estos datos se pueden usar para correlacionar y enriquecer las detecciones de vulnerabilidades que encuentra el conector de datos de Qualys Vulnerability Management (VM ).

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
QualysKB_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Clave de API de Qualys: se requiere un nombre de usuario y una contraseña de la API de máquina virtual de Qualys. Para obtener más información, consulte Qualys VM API.

Instrucciones de instalación:

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado, que se implementa como parte de la solución. Para ver el código de la función en Log Analytics, abra la hoja Log Analytics/Microsoft Sentinel Logs, haga clic en Funciones y busque el alias QualysVM Knowledgebase y cargue el código de función o haga clic aquí, en la segunda línea de la consulta, escriba los nombres de host de los dispositivos de Knowledgebase qualysVM y cualquier otro identificador único para la secuencia de registros. La función normalmente tarda entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado. Siga los pasos para usar el alias de función Kusto, QualysKB.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración de qualys API

1. Inicie sesión en la consola de Administración de vulnerabilidades de Qualys con una cuenta de administrador, seleccione la pestaña Usuarios y la subtabla Usuarios.
2. Haga clic en el menú desplegable Nuevo y seleccione Usuarios.
3. Cree un nombre de usuario y una contraseña para la cuenta de API.
4. En la pestaña Roles de usuario, asegúrese de que el rol de cuenta está establecido en Administrador y que se permite el acceso a la GUI y la API.
5. Cierre la sesión de la cuenta de administrador e inicie sesión en la consola con las nuevas credenciales de API para la validación y, a continuación, cierre la sesión de la cuenta de API.
6. Vuelva a iniciar sesión en la consola con una cuenta de administrador y modifique los roles de usuario de las cuentas de API, lo que elimina el acceso a la GUI.
7. Guarde todos los cambios.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de Qualys KB, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como el nombre de usuario y la contraseña de la API de Qualys, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de Qualys KB mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, el nombre de usuario de la API, la contraseña de la API, actualice el URI y los parámetros de filtro uri adicionales (este valor debe incluir un símbolo "&" entre cada parámetro y no debe incluir espacios).

• Escriba el URI que corresponde a su región. Puede encontrar la lista completa de direcciones URL del servidor de API aquí.
• Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.
5. Haga clic en Comprar para implementar.

• Nota: Si se produjo un error en la implementación debido al nombre de la cuenta de almacenamiento que se está tomando, cambie el nombre de la función a un valor único y vuelva a implementarlo.

Opción 2: Implementación manual de Azure Functions

Este método proporciona las instrucciones paso a paso para implementar manualmente el conector de Qualys KB con Azure Function.

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las siguientes siete (7) configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): apiUsername apiPassword workspaceID workspaceKey uri filterParameters logAnalyticsUri (opcional)

• Escriba el URI que corresponde a su región. Puede encontrar la lista completa de direcciones URL del servidor de API aquí. El uri valor debe seguir el esquema siguiente: https://<API Server>/api/2.0
• Agregue los parámetros de filtro adicionales, para la filterParameters variable, que deban anexarse al URI. El filterParameter valor debe incluir un símbolo "&" entre cada parámetro y no debe incluir espacios.
• Nota: Si usa Azure Key Vault, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.
• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube delegada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Administración de vulnerabilidades de Qualys (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Qualys Vulnerability Management (VM) proporciona la capacidad de ingerir datos de detección de host de vulnerabilidades en Microsoft Sentinel a través de la API de Qualys. El conector proporciona visibilidad sobre los datos de detección de host de los exámenes de vulerabilidad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
QualysHostDetectionV3_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso y roles de API: asegúrese de que el usuario de la máquina virtual de Qualys tiene un rol de Lector o superior. Si el rol es Lector, asegúrese de que el acceso a la API está habilitado para la cuenta. No se admite el rol auditor para acceder a la API. Para obtener más información, consulte el documento Comparación de roles de usuario y api de detección de host de máquina virtual de Qualys.

Instrucciones de instalación:

Conexión de Qualys Vulnerability Management a Microsoft Sentinel

NOTA: Para recopilar datos para detecciones basadas en host, expanda la columna DetectionList de la tabla.

Para recopilar datos de la máquina virtual de Qualys, debe proporcionar los siguientes recursos.

1. Credenciales de API Para recopilar datos de la máquina virtual de Qualys, necesitará las credenciales de la API de Qualys, incluidos el nombre de usuario y la contraseña.

2. DIRECCIÓN URL del servidor de API Para recopilar datos de la máquina virtual de Qualys, necesitará la dirección URL del servidor de API de Qualys específica de su región. Puede encontrar la dirección URL exacta del servidor de API para su región aquí.

• Nombre de usuario de qualys API: (escriba UserName)
• Contraseña de la API de Qualys: (Escriba la contraseña)
• Dirección URL del servidor de API de Qualys: (Escriba la dirección URL del servidor de API)

3. Límite de truncamiento Configure el número máximo de registros de host que se van a recuperar por llamada API (intervalo de 20 a 5000). Los valores más altos pueden mejorar el rendimiento, pero podrían afectar a los tiempos de respuesta de la API.

• Habilitar o deshabilitar la conexión

---

ISID de radiflow a través de AMA

Compatible con:Radiflow

iSID permite la supervisión no disruptiva de redes ICS distribuidas para los cambios en la topología y el comportamiento, mediante el uso de varios paquetes de seguridad, cada uno de los cuales ofrece una funcionalidad única perteneciente a un tipo específico de actividad de red.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
RadiflowEvent	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo esperado [RadiflowEvent] que se implementa con la solución Microsoft Sentinel.

1. Siga los pasos para configurar el conector de datos.

Paso A. Configuración del formato de evento común (CEF) mediante el conector de datos AMA

Nota:- Los registros CEF solo se recopilan de los agentes de Linux

1. Vaya a Microsoft Sentinel área de trabajo ---> configuración ---> hoja Conector de datos.

2. Busque el conector de datos "Common Event Format (CEF) via AMA" y ábralo.

3. Compruebe si no hay ninguna DCR existente configurada para recopilar la instalación necesaria de registros, Cree una nueva DCR (regla de recopilación de datos).

   Nota:- Se recomienda instalar la versión mínima 1.27 del agente ama Más información y asegurarse de que no hay ningún DCR duplicado, ya que puede causar duplicación del registro.

4. Ejecute el comando proporcionado en la página cef via AMA data connector (Cef via AMA data connector) para configurar el recopilador de CEF en la máquina.

Paso B. Configuración de iSID para enviar registros mediante CEF

Configuración del reenvío de registros mediante CEF:

1. Vaya a la sección Notificaciones del sistema del menú Configuración.

2. En Syslog, seleccione +Agregar.

3. En el cuadro de diálogo Nuevo servidor de Syslog, especifique el nombre, la dirección IP del servidor remoto, el puerto, el transporte y seleccione Formato - CEF.

4. Presione Aplicar para salir del cuadro de diálogo Agregar Syslog.

Paso C. Validación de la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben mediante el esquema CommonSecurityLog.

La conexión puede tardar unos 20 minutos en transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python --version

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para validar la conectividad:: <valor de variable proporcionado en tiempo de instalación.>

**2. Protección de la máquina **

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Aprende más >

---

Informes de administración de vulnerabilidades de Rapid7 Insight Platform (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos de informe de máquina virtual de Rapid7 Insight proporciona la capacidad de ingerir informes de examen y datos de vulnerabilidades en Microsoft Sentinel a través de la API REST desde la plataforma Rapid7 Insight (administrada en la nube). Consulte la documentación de la API para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
NexposeInsightVMCloud_assets_CL	No	No
NexposeInsightVMCloud_vulnerabilities_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de LA API REST: InsightVMAPIKey es necesario para la API REST. Para obtener más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a insight VM API para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione como se esperaba InsightVMAssets y InsightVMVulnerabilities que se implementa con la solución Microsoft Sentinel.

PASO 1: Pasos de configuración de Insight VM Cloud

Siga las instrucciones para obtener las credenciales.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos del área de trabajo, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos del informe de administración de vulnerabilidades de Rapid7 Insight mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba InsightVMAPIKey, elija InsightVMCloudRegion e implemente. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos del informe de administración de vulnerabilidades de Rapid7 Insight manualmente con Azure Functions (Implementación mediante Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
3. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.
4. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas):
   InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

3. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Informes de administración de vulnerabilidades de Rapid7 Insight Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de informe de máquina virtual de Rapid7 Insight proporciona la capacidad de ingerir informes de examen y datos de vulnerabilidades en Microsoft Sentinel a través de la API REST desde la plataforma Rapid7 Insight (administrada en la nube). Consulte la documentación de la API para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Rapid7InsightVMCloudAssets	Sí	Sí
Rapid7InsightVMCloudVulnerabilities	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Credenciales de LA API REST: InsightVMAPIKey es necesario para la API REST. Para obtener más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Instrucciones de instalación:

Siga las instrucciones para configurar el conector Rapid7 InsightVM.

Nota: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione como se esperaba InsightVMAssets y InsightVMVulnerabilities, que se implementa con la solución Microsoft Sentinel.

1. Pasos de configuración para la nube de vm de Rapid7 Insight

Siga las instrucciones para obtener las credenciales.

1. En Rapid7 InsightVM, genere una clave de API.
2. Tenga en cuenta la región y la clave de API.

• Región: (nosotros, eu, etc.)
• Clave de API: (clave de API)

2. Conectar

Habilite el conector de máquina virtual de Rapid7 Insight.

• Habilitar o deshabilitar la conexión

---

Eventos de red Sift (inserción de CCF)

Compatible con:Red Sift

El conector Red Sift proporciona la capacidad de ingerir eventos forenses de correo electrónico y autenticación de Red Sift en Microsoft Sentinel mediante el modelo de inserción de CCF con DCE + DCR.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
RedSiftAuth_CL	No	No
RedSiftEmailForensics_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario.

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Implemente el DCE, DCR, la tabla personalizada y el registro de la aplicación Entra que se usa para las credenciales de cliente de OAuth.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Configuración del webhook red Sift

Use los parámetros siguientes para configurar Red Sift para enviar eventos a Microsoft Sentinel. Use el nombre de secuencia adecuado para cada tipo de evento.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Auth Events Stream Name: <valor de variable proporcionado en tiempo de instalación>
• Email Forensics Events Stream Name: <valor de variable proporcionado en el momento de la instalación>

---

Rsa ID Plus Administración Logs Connector

Compatible con el equipode soporte técnico de RSA

Rsa ID Plus AdminLogs Connector proporciona la capacidad de ingerir eventos de auditoría de consola de Administración en la nube en Microsoft Sentinel mediante las API de Administración en la nube.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
RSAIDPlus_AdminLogs_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Autenticación de API rsa id. plus: para acceder a las API de Administración, se requiere un token JWT codificado en Base64URL válido, firmado con la clave de API de administración heredada del cliente.

Instrucciones de instalación:

NOTA: Este conector usa Codeless Connector Framework (CCF) para conectarse a las API de Administración rsa ID Plus Cloud para extraer registros en Microsoft Sentinel.

PASO 1: Creación de un cliente de API de Administración heredado en cloud Administración Console.

Siga los pasos mencionados en esta página.

PASO 2 : Generar el token JWT codificado en Base64URL.

Siga los pasos mencionados en esta página bajo el encabezado "API de administración heredada".

PASO 3: Configuración de cloud Administración API para empezar a ingerir Administración registros de eventos en Microsoft Sentinel.

Proporcione los valores necesarios a continuación:

• DIRECCIÓN URL de la API de Administración: (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs>)
• Token JWT: (Escriba el token JWT)

PASO 4 : Hacer clic en Conectar

Compruebe que todos los campos anteriores se rellenaron correctamente. Presione Conectar para iniciar el conector.

• Habilitar o deshabilitar la conexión

---

Conector de datos de Rubrik Security Cloud (mediante Azure Functions)

Compatible con:Rubrik

El conector de datos de Rubrik Security Cloud permite a los equipos de operaciones de seguridad integrar información de los servicios de observación de datos de Rubrik en Microsoft Sentinel. La información incluye la identificación del comportamiento anómalo del sistema de archivos asociado a ransomware y eliminación masiva, evaluar el radio de explosión de un ataque de ransomware y operadores de datos confidenciales para priorizar e investigar más rápidamente posibles incidentes.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Rubrik_Anomaly_Data_CL	Sí	Sí
Rubrik_Ransomware_Data_CL	Sí	Sí
Rubrik_ThreatHunt_Data_CL	Sí	Sí
Rubrik_Events_Data_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse al webhook Rubrik, que inserta sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos rubrik Microsoft Sentinel, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente) fácilmente disponibles.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector Rubrik.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la información siguiente: Nombre de función Id. de área de trabajo Clave del área de trabajo AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos Rubrik Microsoft Sentinel manualmente con Azure Functions (Implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, RubrikXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.8 o superior.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores (distinguen mayúsculas de minúsculas): WorkspaceID WorkspaceKey AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://< CustomerId.ods.opinsights.azure.us>.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

Pasos posteriores a la implementación

1) Obtener el punto de conexión de la aplicación de funciones

1. Vaya a Azure página de información general de la función y haga clic en la pestaña "Funciones".
2. Haga clic en la función denominada "RubrikHttpStarter".
3. Vaya a "GetFunctionurl" y copie la dirección URL de la función.

2) Agregue un webhook en RubrikSecurityCloud para enviar datos a Microsoft Sentinel.

Siga las instrucciones de la Guía del usuario de Rubrik para agregar un webhook para empezar a recibir información de eventos.

1. Seleccione el Microsoft Sentinel como proveedor de webhooks.
2. Escriba el nombre de webhook deseado.
3. Escriba el elemento url de function-url copiado como punto de conexión de dirección URL del webhook y reemplace {functionname} por "RubrikAnomalyOrchestrator", para la solución rubrik Microsoft Sentinel
4. Seleccione EventType como Anomaly
5. Seleccione los siguientes niveles de gravedad: Crítico, Advertencia, Informativo
6. Elija varios tipos de registro, si lo desea, al ejecutar "RubrikEventsOrchestrator"
7. Repita los mismos pasos para agregar webhooks para análisis de detección de anomalías, búsqueda de amenazas y otros eventos.

NOTA: al agregar webhooks para análisis de detección de anomalías, búsqueda de amenazas y otros eventos, reemplace {functionname} por "RubrikRansomwareOrchestrator", "RubrikThreatHuntOrchestrator" y "RubrikEventsOrchestrator" respectivamente en function-url copiado.

Ahora hemos terminado con la configuración del webhook rubrik. Una vez desencadenados los eventos de webhook, debería poder ver los eventos Anomaly, Anomaly Detection Analysis, Threat Hunt y Other Events de Rubrik en la tabla de área de trabajo de LogAnalytics correspondiente denominada "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL" y "Rubrik_Events_Data_CL".

---

Seguridad de SaaS

Compatible con:Valence Security

Conecta la plataforma de seguridad SaaS de Valence Azure Log Analytics a través de la interfaz de la API rest

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ValenceAlert_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Paso 1: Leer la documentación detallada

El proceso de instalación se documenta con gran detalle en el knowledge base de Valence Security. El usuario debe consultar esta documentación para comprender la instalación y depuración de la integración.

Paso 2: Recuperar las credenciales de acceso al área de trabajo

El primer paso de instalación es recuperar el identificador de área de trabajo y la clave principal de la plataforma de Microsoft Sentinel. Copie los valores que se muestran a continuación y guárdelos para la configuración de la integración del reenviador de registros de API.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Paso 3: Configuración de la integración de Sentinel en la plataforma de seguridad de Valence

Como administrador de Valence Security Platform, vaya a la pantalla de configuración, haga clic en Conectar en la tarjeta de integración siem y elija Microsoft Sentinel. Pegue los valores del paso anterior y haga clic en Conectar. Valence probará la conexión para que, cuando se notifique el éxito, la conexión funcionara.

---

Registros de auditoría de Salesforce (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos De registros de auditoría de Salesforce proporciona la capacidad de ingerir cambios administrativos y modificaciones de configuración de la organización de Salesforce en Microsoft Sentinel a través de la API REST. El conector proporciona la capacidad de ingerir eventos de historial de inicio de sesión y seguimiento de auditoría de instalación en Microsoft Sentinel que realizan un seguimiento de los cambios realizados en la configuración de la organización, lo que le ayuda a mantener la seguridad y la visibilidad del cumplimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SalesforceAuditTrail	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API de Salesforce Service Cloud: se requiere acceso a Salesforce Service Cloud API a través de una aplicación conectada.

Instrucciones de instalación:

Conexión de Salesforce a Microsoft Sentinel

Siga Creación de una aplicación conectada en Salesforce para OAuth y Configuración de una aplicación conectada para el flujo de credenciales de cliente de OAuth 2.0 para crear una aplicación conectada con acceso a Salesforce Service Cloud API. A través de estas instrucciones, debe obtener la clave de consumidor y el secreto de consumidor. En Nombre de dominio de Salesforce, vaya a Configuración, escriba Mi dominio en el cuadro Búsqueda rápida y seleccione Mi dominio para ver los detalles del dominio. Asegúrese de escribir el nombre de dominio sin una barra diagonal final (por ejemplo, https://your-domain.my.salesforce.com). Rellene el formulario siguiente con esa información.

• Data Connectors Grid (configurar en el portal)

---

SalesForce Real-Time Event Monitoring Connector (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de Supervisión de eventos de Salesforce Real-Time (RTEM) proporciona la capacidad de ingerir información sobre los eventos en tiempo real de Salesforce mediante Object for Event Storage en Microsoft Sentinel a través de la API REST. El conector proporciona la capacidad de revisar los eventos de la organización de forma acelerada y obtener datos de eventos en tiempo real para la actividad reciente.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SalesForceRealTimeEventMonitoring_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Acceso a la API de supervisión de eventos de Salesforce: se requiere acceso a la API de supervisión de eventos de Salesforce a través de una aplicación conectada.

Instrucciones de instalación:

Conéctese a La supervisión de eventos de Salesforce para empezar a recopilar registros de supervisión de eventos en tiempo real en Microsoft Sentinel

Siga Creación de una aplicación conectada en Salesforce para OAuth y Configuración de una aplicación conectada para el flujo de credenciales de cliente de OAuth 2.0 para crear una aplicación conectada con acceso a la API de supervisión de eventos de Salesforce. A través de estas instrucciones, debe obtener la clave de consumidor y el secreto de consumidor. En Nombre de dominio de Salesforce, vaya a Configuración, escriba Mi dominio en el cuadro Búsqueda rápida y seleccione Mi dominio para ver los detalles del dominio. Asegúrese de escribir el nombre de dominio sin una barra diagonal final (por ejemplo, https://your-domain.my.salesforce.com). Rellene el formulario siguiente con esa información.

Nota: Suscripción de complemento necesaria: Su cuenta de Salesforce debe incluir suscripciones de complemento salesforce shield o salesforce event monitoring para que este conector funcione.

• Data Connectors Grid (configurar en el portal)

---

Salesforce Service Cloud (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Salesforce Service Cloud proporciona la capacidad de ingerir información sobre los eventos operativos de Salesforce en Microsoft Sentinel a través de la API REST. El conector proporciona la capacidad de revisar eventos en la organización de forma acelerada y obtener archivos de registro de eventos en incrementos por hora para la actividad reciente.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SalesforceServiceCloudV3_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Acceso a la API de Salesforce Service Cloud: se requiere acceso a Salesforce Service Cloud API a través de una aplicación conectada.

Instrucciones de instalación:

Conéctese a Salesforce Service Cloud API para empezar a recopilar registros de eventos en Microsoft Sentinel

Siga Creación de una aplicación conectada en Salesforce para OAuth y Configuración de una aplicación conectada para el flujo de credenciales de cliente de OAuth 2.0 para crear una aplicación conectada con acceso a Salesforce Service Cloud API. A través de estas instrucciones, debe obtener la clave de consumidor y el secreto de consumidor. En Nombre de dominio de Salesforce, vaya a Configuración, escriba Mi dominio en el cuadro Búsqueda rápida y seleccione Mi dominio para ver los detalles del dominio. Asegúrese de escribir el nombre de dominio sin una barra diagonal final (por ejemplo, https://your-domain.my.salesforce.com). Rellene el formulario siguiente con esa información.

Nota: Aviso: La versión de la solución 3.2.0 y versiones posteriores usa la tabla SalesforceServiceCloudV3_CL. El analizador se ha actualizado en consecuencia.

• Data Connectors Grid (configurar en el portal)

---

Samsung Knox Asset Intelligence

Compatible con:Samsung Electronics Co., Ltd.

Samsung Knox Asset Intelligence Data Connector le permite centralizar los eventos y registros de seguridad móviles con el fin de ver información personalizada mediante la plantilla Libro e identificar incidentes basados en plantillas de reglas de análisis.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Samsung_Knox_Audit_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Entra aplicación: una aplicación de Entra debe registrarse y aprovisionarse con el rol "Publicador de métricas de Microsoft" y configurarse con certificado o secreto de cliente como credenciales para la transferencia de datos segura. Consulte el tutorial de ingesta de registros para obtener más información sobre la creación de Entra aplicación, el registro y la configuración de credenciales.

Instrucciones de instalación:

Este conector de datos usa la API de ingesta de registros de Microsoft para insertar eventos de seguridad en Microsoft Sentinel de la solución Samsung Knox Asset Intelligence (KAI).

PASO 1: Creación y registro de una aplicación Entra

Nota: Este conector de datos puede admitir la autenticación basada en certificados o en secreto de cliente. Para la autenticación basada en certificados, puede descargar el certificado firmado por ca de Samsung (clave pública) desde el portal de documentación de KAI. Para la autenticación basada en secreto de cliente, puede crear el secreto durante el registro de la aplicación Entra. Asegúrese de copiar el valor de Secreto de cliente en cuanto se genere.

IMPORTANTE: Guarde los valores de Id. de inquilino (directorio) e Id. de cliente (aplicación). Si la autenticación basada en secreto de cliente está habilitada, guarde el secreto de cliente (valor secreto) asociado a la aplicación de Entra.

PASO 2: Automatización de la implementación de este conector de datos mediante la siguiente plantilla de Azure Resource Manager (ARM)

IMPORTANTE: Antes de implementar Data Connector, copie el siguiente nombre del área de trabajo asociado a la instancia de Microsoft Sentinel (también Log Analytics).

• Nombre del área de trabajo: <valor variable proporcionado en tiempo de instalación>

1. Haga clic en el botón siguiente para instalar Samsung Knox Intelligence Solution.

   aka.ms\n2. Proporcione los siguientes campos obligatorios: Nombre del área de trabajo de Log Analytics, Ubicación del área de trabajo de Log Analytics, Suscripción al área de trabajo de Log Analytics (ID) y Grupo de recursos del área de trabajo de Log Analytics.

PASO 3: Obtener Microsoft Sentinel detalles de la recopilación de datos

Una vez implementada la plantilla de ARM, vaya a Reglas https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionrulesde recopilación de datos y guarde los valores asociados con el identificador inmutable (DCR) y el punto de conexión de recopilación de datos (DCE).

IMPORTANTE: Para habilitar la integración de un extremo a otro, se requiere información relacionada con Microsoft Sentinel DCE y DCR para la configuración en el portal de Samsung Knox Asset Intelligence (PASO 4).

Asegúrese de que la aplicación Entra creada en el PASO 1 tenga permisos para usar el DCR creado para enviar datos al DCE. Consulte /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-the-dcr para asignar permisos en consecuencia.

PASO 4: Conexión a la solución Samsung Knox Asset Intelligence para configurar Microsoft Sentinel para insertar seleccione Knox Security Events as Alerts (Eventos de seguridad de Knox como alertas).

1. Inicie sesión en el portal de administración de Knox Asset Intelligence y vaya a Configuración del panel; está disponible en la esquina superior derecha del portal.

Nota: Asegúrese de que el usuario de inicio de sesión tiene acceso a los permisos "Seguridad" y "Administrar la vista del panel y la recopilación de datos".

2. Haga clic en la pestaña Seguridad para ver la configuración de los registros de seguridad de integración y knox de Microsoft Sentinel.

3. En la página Integración de operaciones de seguridad, active "Habilitar Microsoft Sentinel integración" y escriba los valores adecuados en los campos necesarios.

a. En función del método de autenticación usado, consulte la información guardada en el PASO 1 al registrar la aplicación Entra.

b. Para Microsoft Sentinel DCE y DCR, consulte la información guardada del PASO 3.

4. Haga clic en "Probar conexión" y asegúrese de que la conexión se ha realizado correctamente.

5. Para poder guardar, configure los registros de seguridad de Knox; para ello, seleccione Configuración esencial o avanzada (valor predeterminado: Essential).

6. Para completar la integración de Microsoft Sentinel, haga clic en "Guardar".

---

SAP BTP

Compatible con:Microsoft Corporation

SAP Business Technology Platform (SAP BTP) reúne la administración de datos, el análisis, la inteligencia artificial, el desarrollo de aplicaciones, la automatización y la integración en un entorno unificado.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SAPBTPAuditLog_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Id. de cliente y secreto de cliente para auditar la API de recuperación: habilite el acceso a la API en BTP.

Instrucciones de instalación:

Paso 1: Pasos de configuración para la API de recuperación de auditoría de SAP BTP

Siga los pasos proporcionados por SAP , consulte Audit Log Retrieval API for Global Accounts in the Cloud Foundry Environment (Audit Log Retrieval API for Global Accounts in the Cloud Foundry Environment). Tome nota de la dirección URL (dirección URL de la API de recuperación de auditoría), uaa.url (dirección URL del servidor de autenticación y cuenta de usuario) y el uaa.clientid asociado.

NOTA: Puede incorporar en masa subcuentas BTP mediante las herramientas proporcionadas.

Conexión de eventos de SAP BTP a Microsoft Sentinel

Conexión con credenciales de cliente de OAuth

Subcuentas

Cada fila representa una subcuenta conectada

• Data Connectors Grid (configurar en el portal)

---

Sap Enterprise Threat Detection, edición en la nube

Compatible con:SAP

El conector de datos SAP Enterprise Threat Detection, cloud edition (ETD) permite la ingesta de alertas de seguridad de ETD en Microsoft Sentinel, lo que admite la correlación cruzada, las alertas y la búsqueda de amenazas.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SAPETDAlerts_CL	Sí	Sí
SAPETDInvestigations_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Id. de cliente y secreto de cliente para ETD Retrieval API: habilite el acceso a la API en ETD.

Instrucciones de instalación:

Paso 1: Pasos de configuración para la API de recuperación de auditoría de ETD de SAP

Siga los pasos proporcionados por SAP para ver los documentos de ETD. Tome nota de la dirección URL (dirección URL de la API de recuperación de auditoría), uaa.url (dirección URL del servidor de autenticación y cuenta de usuario) y el uaa.clientid asociado.

NOTA: Puede incorporar una o varias subcuentas ETD siguiendo los pasos proporcionados por SAP para ver los documentos etd. Agregue una conexión para cada subcuenta.

PROPINA: Use la serie de blogs compartidos para obtener información adicional.

Conexión de eventos de ETD de SAP a Microsoft Sentinel

Conexión con credenciales de cliente de OAuth

Cuentas ETD

Cada fila representa una cuenta ETD conectada

• Data Connectors Grid (configurar en el portal)

---

SAP LogServ (RISE), edición privada de S/4HANA Cloud

Compatible con:SAP

SAP LogServ es un servicio de SAP Enterprise Cloud Services (ECS) destinado a la recopilación, el almacenamiento, el reenvío y el acceso a los registros. LogServ centraliza los registros de todos los sistemas, aplicaciones y servicios ECS usados por un cliente registrado.
Las características principales incluyen:
Recopilación de registros casi en tiempo real: con la capacidad de integrarse en Microsoft Sentinel como solución SIEM.
LogServ complementa las detecciones y supervisión de amenazas de nivel de aplicación de SAP existentes en Microsoft Sentinel con los tipos de registro propiedad de SAP ECS como proveedor del sistema. Esto incluye registros como: Registro de auditoría de seguridad de SAP (AS ABAP), base de datos de HANA, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, sistema operativo, puerta de enlace de SAP, base de datos de terceros, red, DNS, proxy, firewall

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SAPLogServ_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en las reglas de recopilación de datos. Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario.

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Crearemos recursos de regla de recopilación de datos (DCR) y punto de conexión de recopilación de datos (DCE). También crearemos un registro de aplicación Microsoft Entra y le asignaremos los permisos necesarios.

La implementación automatizada de Azure recursos Al hacer clic en "Implementar recursos del conector de inserción", se desencadenará la creación de recursos DCR y DCE. A continuación, creará un registro de aplicación Microsoft Entra con el secreto de cliente y concederá permisos en dcr. Esta configuración permite que los datos se envíen de forma segura al DCR mediante las credenciales de cliente de OAuth v2.

2. Mantener los detalles del punto de conexión de recopilación de datos y la información de autenticación en SAP LogServ

Comparta la dirección URL del punto de conexión de recopilación de datos y la información de autenticación con el administrador de SAP LogServ para configurar SAP LogServ para enviar datos al punto de conexión de recopilación de datos.

Obtenga más información en esta serie de blogs.

• Use este valor para configurar como identificador de inquilino en la credencial logingestionAPI. Valor <de variable proporcionado en el momento de la instalación>
• Entra Id. de aplicación: <valor de variable proporcionado en tiempo de instalación>
• Entra secreto de aplicación: <valor de variable proporcionado en tiempo de instalación>
• Use este valor para configurar el parámetro LogsIngestionURL al implementar el valor de variable IFlow.: <proporcionado en el momento de la instalación.>
• Identificador inmutable de DCR: <valor de variable proporcionado en el momento de la instalación>

---

SAP S/4HANA Cloud Public Edition

Compatible con:SAP

El conector de datos SAP S/4HANA Cloud Public Edition (GROW with SAP) permite la ingesta del registro de auditoría de seguridad de SAP en la solución Microsoft Sentinel para SAP, lo que admite la correlación cruzada, las alertas y la búsqueda de amenazas. ¿Busca mecanismos de autenticación alternativos? Vea aquí.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ABAPAuditLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Id. de cliente y secreto de cliente para auditar la API de recuperación: habilite el acceso a la API en BTP.
• Microsoft Sentinel para el paquete de contenido de SAP (más de 60 reglas de análisis, libros, analizadores, etc.): implemente desde Microsoft Sentinel centro de contenido.

Instrucciones de instalación:

Paso 1: Pasos de configuración para SAP S/4HANA Cloud Public Edition

Para conectarse a SAP S/4HANA Cloud Public Edition, necesitará:

1. Configuración de una disposición de comunicación para el escenario de comunicación SAP_COM_0750

2. DIRECCIÓN URL de la API de inquilino de SAP S/4HANA Cloud Public Edition

3. Usuario de comunicación válido (nombre de usuario y contraseña) para el sistema SAP S/4HANA Cloud

4. Autorizaciones adecuadas para acceder a los datos de registro de auditoría a través de servicios de OData

NOTA: Este conector admite la autenticación básica. ¿Busca mecanismos de autenticación alternativos? Vea aquí.

Conexión de eventos de SAP S/4HANA Cloud Public Edition a Microsoft Sentinel Solución para SAP

Conexión mediante la autenticación básica

Conexiones de S/4HANA Cloud Public Edition

Cada fila representa un sistema S/4HANA Cloud Public Edition conectado

• Data Connectors Grid (configurar en el portal)

---

Solución SecurityBridge para SAP

Compatible con:SecurityBridge

SecurityBridge mejora la seguridad de SAP al integrarse sin problemas con Microsoft Sentinel, lo que permite la supervisión en tiempo real y la detección de amenazas en todos los entornos de SAP. Esta integración permite a los Centros de operaciones de seguridad (SOC) consolidar los eventos de seguridad de SAP con otros datos de la organización, lo que proporciona una vista unificada del panorama de amenazas. Al aprovechar el análisis con tecnología de inteligencia artificial y los Security Copilot de Microsoft, SecurityBridge identifica patrones de ataque sofisticados y vulnerabilidades dentro de las aplicaciones sap, incluidos el análisis de código ABAP y las evaluaciones de configuración. La solución admite implementaciones escalables en entornos sap complejos, ya sean locales, en la nube o en entornos híbridos. Al reducir la brecha entre los equipos de seguridad de TI y SAP, SecurityBridge permite a las organizaciones detectar, investigar y responder a amenazas de forma proactiva, lo que mejora la posición de seguridad general.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ABAPAuditLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en las reglas de recopilación de datos. Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario.

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Crearemos recursos de regla de recopilación de datos (DCR) y punto de conexión de recopilación de datos (DCE). También crearemos un registro de aplicación Microsoft Entra y le asignaremos los permisos necesarios.

La implementación automatizada de Azure recursos Al hacer clic en "Implementar recursos del conector de inserción", se desencadenará la creación de recursos DCR y DCE. A continuación, creará un registro de aplicación Microsoft Entra con el secreto de cliente y concederá permisos en dcr. Esta configuración permite que los datos se envíen de forma segura al DCR mediante las credenciales de cliente de OAuth v2.

2. Mantener los detalles del punto de conexión de recopilación de datos y la información de autenticación en SecurityBridge

Comparta la dirección URL del punto de conexión de recopilación de datos y la información de autenticación con el administrador de SecurityBridge para configurar Securitybridge para enviar datos al punto de conexión de recopilación de datos.

Más información en nuestra página kb https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface

• Use este valor para configurar como identificador de inquilino en la credencial logingestionAPI. Valor <de variable proporcionado en el momento de la instalación>
• Entra Id. de aplicación: <valor de variable proporcionado en tiempo de instalación>
• Entra secreto de aplicación: <valor de variable proporcionado en tiempo de instalación>
• Use este valor para configurar el parámetro LogsIngestionURL al implementar el valor de variable IFlow.: <proporcionado en el momento de la instalación.>
• Identificador inmutable de DCR: <valor de variable proporcionado en el momento de la instalación>
• Sentinel para el identificador de Stream de SAP: <valor de variable proporcionado en tiempo de instalación>
• identificador de SecurityBridge_CL Stream: <valor de variable proporcionado en el momento de la instalación>

---

Registros lightning de Semperis

Compatible con:Semperis

El conector Semperis Lightning usa Azure Functions para ingerir datos de seguridad de identidad de Semperis Lightning en Microsoft Sentinel. El conector implementa una función Azure y recopila datos en tablas personalizadas de Log Analytics para la investigación y la búsqueda de amenazas.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
LightningTier0Nodes_CL	No	No
LightningAttackPaths_CL	No	No
LightningIOEResults_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de Semperis Lightning API: se requiere una clave de Api Lightning de Semperis y una zona seleccionada (na o eu) para autenticar el conector en Semperis Lightning.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a Semperis Lightning y extraer datos en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

Asegúrese de que el área de trabajo se agrega a Microsoft Sentinel antes de implementar el conector.

PASO 1: Configuración del acceso para Semperis Lightning

1. Inicie sesión en el inquilino de Semperis Lightning.
2. Cree o recupere una clave de API de Semperis válida para el acceso al conector.
3. Confirme el valor de Semperis Zone (na para Norteamérica o eu para Europa) para usarlo durante la implementación.

PASO 2: Implementación del conector "Semperis Lightning Logs" y la función de Azure asociada

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

PASO 3: Establecimiento de los parámetros del conector

1. Seleccione la suscripción preferida y un grupo de recursos existente.
2. Escriba un identificador de recurso del área de trabajo de Log Analytics existente que pertenezca al grupo de recursos.
3. Haga clic en Siguiente.
4. Escriba la clave de API de Semperis y seleccione la zona de Semperis.
5. Opcionalmente, ajuste la programación del conector (valor predeterminado: cada 1 hora).
6. Revise la configuración y haga clic en Crear.

---

SentinelOne (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos SentinelOne permite ingerir registros de la API SentinelOne en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel marco de conector sin código. Usa la API SentinelOne para capturar registros y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada para que las consultas no tengan que volver a analizarlos, lo que da lugar a un mejor rendimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SentinelOneActivities_CL	Sí	Sí
SentinelOneAgents_CL	Sí	Sí
SentinelOneGroups_CL	Sí	Sí
SentinelOneThreats_CL	Sí	Sí
SentinelOneAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Pasos de configuración para la API SentinelOne Siga las instrucciones para obtener las credenciales. También puede seguir la guía para generar la clave de API.

1. Recupere la dirección URL de administración de SentinelOne 1.1. Inicie sesión en SentinelOne [Consola de administración] con Administración credenciales de usuario 1.2. En la [Consola de administración] copie el vínculo URL anterior sin la ruta de acceso de la dirección URL.

2. Recupere el token de API 2.1. Inicie sesión en SentinelOne [Consola de administración] con Administración credenciales de usuario 2.2. En [Consola de administración], haga clic en [Configuración] 2.3. En la vista [Configuración], haga clic en [USUARIOS]. 2.4. En la página [USERS], haga clic en [Service Users] -> [Actions] -> [Create new service user]. 2.5. Elija [Fecha de expiración] y [ámbito] (por sitio) y haga clic en [Crear usuario]. 2.6. Una vez creado el [Usuario de servicio], copie el [Token de API] de la página y presione [Guardar]

• Dirección URL de administración de SentinelOne: (https://example.sentinelone.net/)
• Token de API: (token de API)
• Habilitar o deshabilitar la conexión

---

Seguridad web seraphic

Compatible con:Seraphic Security

El conector de datos Seraphic Web Security proporciona la capacidad de ingerir eventos y alertas de Seguridad web serapfica en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SeraphicWebSecurity_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Clave de API seraphic: clave de API para Microsoft Sentinel conectado al inquilino de Seraphic Web Security. Para obtener esta clave de API para el inquilino, visite la página Integraciones de la consola de Seraphic.

Instrucciones de instalación:

Conexión de seguridad web de Seraphic

Inserte el nombre de la integración, la dirección URL de integración de Seraphic y el nombre del área de trabajo para Microsoft Sentinel:

---

Silverfort Administración Console

Compatible con:Silverfort

La solución conector de la consola de Administración ITDR de Silverfort permite la ingesta de eventos de Silverfort y el inicio de sesión en Microsoft Sentinel. Silverfort proporciona eventos y registros basados en Syslog mediante el formato de evento común (CEF). Si reenvía los datos de SILVERFORT ITDR Administración Console CEF a Microsoft Sentinel, puede aprovechar las ventajas de la búsqueda de Sentinels & correlación, alertas y enriquecimiento de inteligencia sobre amenazas en los datos de Silverfort. Póngase en contacto con Silverfort o consulte la documentación de Silverfort para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommonSecurityLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

1. configuración del agente de Syslog Linux

Instale y configure el agente de Linux para recopilar los mensajes de Syslog de Common Event Format (CEF) y reenviarlos a Microsoft Sentinel.

Observe que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

1.1 Seleccione o cree una máquina Linux

Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel esta máquina puede estar en el entorno local, Azure u otras nubes.

1.2 Instale el recopilador cef en la máquina Linux

Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto 514 TCP.

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python -version.

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para instalar y aplicar el valor de variable cef collector:: <proporcionado en el momento de la instalación.>

2. Reenviar registros de formato de evento común (CEF) al agente de Syslog

Establezca la solución de seguridad para enviar mensajes de Syslog en formato CEF a la máquina proxy. Asegúrese de enviar los registros al puerto 514 TCP en la dirección IP del equipo.

3. Validar la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben mediante el esquema CommonSecurityLog.

La conexión puede tardar unos 20 minutos en transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python -version

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para validar la conectividad:: <valor de variable proporcionado en tiempo de instalación.>

**4. Protección de la máquina **

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Aprende más >

---

SlackAudit (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos SlackAudit proporciona la capacidad de ingerir registros de Slack Audit en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SlackAuditV2_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• UserName, SlackAudit API Key & Action Type: para generar el token de acceso, cree una nueva aplicación en Slack y, a continuación, agregue los ámbitos necesarios y configure la dirección URL de redireccionamiento. Para obtener instrucciones detalladas sobre cómo generar el token de acceso, el nombre de usuario y el límite de nombres de acción, consulte el vínculo.

Instrucciones de instalación:

**Conecte SlackAudit a Microsoft Sentinel

**

Para ingerir datos de SlackAudit a Microsoft Sentinel, tiene que hacer clic en el botón Agregar dominio que aparece a continuación y, a continuación, obtener un elemento emergente para rellenar los detalles, proporcionar la información necesaria y hacer clic en Conectar. Puede ver los nombres de usuario, las acciones conectadas en la cuadrícula.

• Data Connectors Grid (configurar en el portal)

---

Snowflake (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Snowflake proporciona la capacidad de ingerir registros del historial de inicio de sesión de Snowflake, registros del historial de consultas, registros de concesión de usuarios, registros de concesión de roles, registros de historial de carga, registros de historial de actualización de vista materializada, registros de roles, registros de tablas, registros de métricas de table storage, registros de usuarios en Microsoft Sentinel mediante la API de SQL de Snowflake. Consulte la documentación de LA API de SQL de Snowflake para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SnowflakeLogin_CL	Sí	Sí
SnowflakeQuery_CL	Sí	Sí
SnowflakeUserGrant_CL	Sí	Sí
SnowflakeRoleGrant_CL	Sí	Sí
SnowflakeLoad_CL	Sí	Sí
SnowflakeMaterializedView_CL	Sí	Sí
SnowflakeRoles_CL	Sí	Sí
SnowflakeTables_CL	Sí	Sí
SnowflakeTableStorageMetrics_CL	Sí	Sí
SnowflakeUsers_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión de Snowflake a Microsoft Sentinel

NOTA: Para asegurarse de que los datos se presentan en columnas independientes para cada campo, ejecute el analizador mediante la función Snowflake()

Para recopilar datos de Snowflake, debe proporcionar los siguientes recursos.

1. Identificador de cuenta Para recopilar datos de Snowflake, necesitará el identificador de cuenta de Snowflake.

2. Token de acceso mediante programación Para recopilar datos de Snowflake, necesitará el token de acceso mediante programación de Snowflake.

Para obtener instrucciones detalladas sobre cómo recuperar el identificador de cuenta y el token de acceso mediante programación, consulte el Tutorial del conector.

• Data Connectors Grid (configurar en el portal)

---

Conector de datos de registros de auditoría de la plataforma SOC Prime

Compatible con:SOC Prime

El conector de datos de registros de auditoría de SOC Prime permite ingerir registros de soc prime platform API en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel marco de conector sin código. Usa soc prime platform API para capturar los registros de auditoría de la plataforma SOC Prime y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada, lo que da lugar a un mejor rendimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SOCPrimeAuditLogs_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Pasos de configuración para soc prime platform API Siga las instrucciones para obtener las credenciales. también puede seguir esta guía para generar una clave de API personal.

Recuperación de la clave de API

1. Inicie sesión en la plataforma SOC Prime
2. Haga clic en el icono [Cuenta] -> [Configuración de la plataforma] -> [API]
3. Haga clic en [Agregar nueva clave]
4. En el modal que aparece, asigne a la clave un nombre significativo, establezca la fecha de expiración y las API de producto a las que la clave proporciona acceso.
5. Haga clic en [Generar]
6. Copie la clave y guárdela en un lugar seguro. No podrá volver a verlo una vez que cierre este modal.

• Clave de API de SOC Prime: (clave de API)
• Habilitar o deshabilitar la conexión

---

Conector de datos de Sonrai

Compatible con:N/A

Use este conector de datos para integrarlo con Sonrai Security y obtener los vales de Sonrai enviados directamente a Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Sonrai_Tickets_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Conector de datos de seguridad de Sonrai

1. Vaya al panel de Seguridad de Sonrai.
2. En el panel inferior izquierdo, haga clic en integraciones.
3. Seleccione Microsoft Sentinel en la lista de integraciones disponibles.
4. Rellene el formulario con la información que se proporciona a continuación.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Sophos Endpoint Protection (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Sophos Endpoint Protection proporciona la capacidad de ingerir eventos de Sophos y alertas de Sophos en Microsoft Sentinel. Consulte la documentación de Sophos Central Administración para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SophosEPEvents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API de Sophos Endpoint Protection: se requiere acceso a la API de Sophos Endpoint Protection a través de una entidad de servicio.

Instrucciones de instalación:

Conéctese a sophos Endpoint Protection API para empezar a recopilar registros de eventos y alertas en Microsoft Sentinel

Siga las instrucciones de Sophos para crear una entidad de servicio con acceso a sophos API. Necesitará el rol ReadOnly de la entidad de servicio. Mediante estas instrucciones, debe obtener el identificador de cliente, el secreto de cliente, el identificador de inquilino y la región de datos. Rellene el formulario que aparece a continuación con esa información.

• Id. de inquilino de Sophos: (Id. de inquilino de Sophos)
• Región de datos de inquilinos de Sophos: (eu01, eu02, us01, us02 o us03)
• Data Connectors Grid (configurar en el portal)

---

Intercambio de ciberdefensa integrado de Symantec

Compatible con:Microsoft Corporation

Symantec ICDx Connector le permite conectar fácilmente los registros de soluciones de seguridad de Symantec con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le proporciona más información sobre la red de su organización y mejora las funcionalidades de las operaciones de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SymantecICDx_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Configuración y conexión de Symantec ICDx

1. En la barra de navegación ICDx, haga clic en Configuración.
2. En la parte superior de la pantalla Configuración, haga clic en Reenviadores y, junto a Microsoft Sentinel (Log Analytics), haga clic en Agregar.
3. En la ventana Microsoft Sentinel (Log Analytics) que se abre, haga clic en Mostrar avanzadas. Consulte la documentación para establecer características avanzadas.
4. Asegúrese de establecer un nombre para el reenviador y, en Azure Destino, establezca estos campos obligatorios:

• Identificador del área de trabajo: pegue el identificador del área de trabajo en la página del conector del portal de Microsoft Sentinel.
• Clave principal: pegue la clave principal en la página del conector del portal de Microsoft Sentinel.
• Nombre de registro personalizado: escriba el nombre del registro personalizado en el área de trabajo de Microsoft Azure Portal Log Analytics a la que va a reenviar eventos. El valor predeterminado es SymantecICDx.

5. Haga clic en Guardar y, para iniciar el reenviador, vaya a Opciones > más y haga clic en Iniciar.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Conector de integración de Synqly

Compatible con:Synqly

El conector de Synqly proporciona la capacidad de insertar eventos de seguridad de integraciones de Synqly en Microsoft Sentinel mediante la API de ingesta de registros de Azure. Los eventos se normalizan automáticamente en tablas de ASIM (modelo de información de seguridad avanzada) para su uso con Microsoft Sentinel análisis, libros y consultas de búsqueda.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra ID: Rol de desarrollador de aplicaciones (o superior) para crear registros de aplicaciones.
• Microsoft Azure: rol propietario o administrador de acceso de usuario en el grupo de recursos para implementar DCR y asignar el rol publicador de métricas de supervisión.

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Este conector permite la ingesta basada en inserción de eventos de seguridad de integraciones de Synqly en Microsoft Sentinel. Los eventos se normalizan automáticamente en tablas de ASIM (modelo de información de seguridad avanzada).

Implementar recursos del conector Al hacer clic en "Implementar", se crea una regla de recopilación de datos (DCR), un punto de conexión de recopilación de datos (DCE) y Entra aplicación con los permisos necesarios para enviar datos de forma segura a Microsoft Sentinel.

2. Conceder permisos adicionales (en función del caso de uso)

Es posible que se necesiten roles adicionales en función de cómo planee usar Synqly con Microsoft Sentinel.

Conector de receptor (solo escritura): no se necesitan permisos adicionales. Conector siem (lectura y escritura): asignar Microsoft Sentinel colaborador rol en la aplicación Entra a través de la interfaz de usuario de Azure en el área de trabajo de Log Analytics.

Consulte la documentación de Synqly para obtener guías de configuración detalladas.

3. Insertar los registros en el área de trabajo

Proporcione estos parámetros a la integración de Synqly. El servicio Synqly controlará automáticamente los detalles técnicos de la ingesta de datos, incluidos los eventos de formato a uno de los 10 esquemas ASIM admitidos (Authentication, AuditEvent, Dhcp, Dns, FileEvent, NetworkSession, ProcessEvent, RegistryEvent, UserManagement, WebSession).

Importante: los eventos con tipos de esquema no admitidos se quitan silenciosamente por Azure. Si no aparecen los datos esperados, compruebe con el proveedor de integración de Synqly que los eventos se envían con uno de los tipos de esquema admitidos enumerados anteriormente.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Stream Nombre: <valor de variable proporcionado en el momento de la instalación>

---

Syslog a través de AMA

Compatible con:Microsoft Corporation

Syslog es un protocolo de registro de eventos que es común a Linux. Las aplicaciones enviarán mensajes que pueden almacenarse en el equipo local o entregarse a un recopilador de Syslog. Cuando se instala el Agente para Linux, configura el demonio de Syslog local para reenviar mensajes al agente. A continuación, el agente envía el mensaje al área de trabajo.

Aprende más >

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Syslog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Credenciales en peligro tácitas

Compatible con:Data443 Risk Mitigation, Inc.

Ingiera resultados de credenciales en peligro de TacitRed mediante Common Connector Framework (CCF).

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
TacitRed_Findings_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Clave de API tacitRed: clave de API almacenada en Azure Key Vault o proporcionada en el momento de la implementación.

Instrucciones de instalación:

Conectar credenciales en peligro de TacitRed

Para habilitar el conector TacitRed, proporcione la clave de API a continuación y haga clic en Conectar.

Para mejorar la seguridad, puede habilitar Key Vault integración para almacenar y recuperar la clave de API.

• Clave de API de TacitRed: (Escriba la clave de API de TacitRed)
• Habilitar o deshabilitar la conexión

---

Conclusiones de Talon

Compatible con:Talon Security

El conector de registros de seguridad de Talon permite conectar fácilmente los eventos de Talon y los registros de auditoría con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Talon_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Tenga en cuenta los valores siguientes y siga las instrucciones aquí para conectar los eventos de seguridad de Talon y los registros de auditoría con Microsoft Sentinel.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Conector de inserción CCF de Tanium

Compatible con:Tanium Inc.

Esta fuente de distribución de datos Microsoft Sentinel libros y cuadernos de estrategias para que los analistas puedan enriquecer incidentes, visualizar el riesgo y el estado de los puntos de conexión y automatizar los flujos de trabajo de investigación y respuesta. Para obtener más información sobre Tanium, vaya a https://www.tanium.com/contact-us/

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
TaniumComplyCompliance_CL	No	No
TaniumComplyVulnerabilities_CL	No	No
TaniumDefenderHealth_CL	No	No
TaniumDiscoverUnmanagedAssets_CL	No	No
TaniumHighUptime_CL	No	No
TaniumPatchCoverageStatus_CL	No	No
TaniumPatchListApplicability_CL	No	No
TaniumPatchListCompliance_CL	No	No
TaniumSCCMClientHealth_CL	No	No
TaniumThreatResponse_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR).

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Este conector permite que el servidor de Tanium inserte datos de Inventario básico directamente en Microsoft Sentinel a través de la API de ingesta de monitor de Azure.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de una tabla de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos de Tanium se envíen de forma segura al DCR mediante un token de Entra.

2. Configurar conexiones de Tanium

Use los parámetros siguientes para configurar las conexiones de Tanium para insertar datos en el área de trabajo.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Registros de resultados de cumplimiento Stream nombre: <valor de variable proporcionado en tiempo de instalación>
• Registros de vulnerabilidades de cumplimiento Stream nombre: <valor de variable proporcionado en el momento de la instalación>
• Registros de mantenimiento de Defender Stream Nombre: <valor de variable proporcionado en el momento de la instalación>
• Detectar registros de mantenimiento de recursos no administrados Stream Nombre: <valor de variable proporcionado en el momento de la instalación>
• High Uptime Logs Stream Name: <valor de variable proporcionado en tiempo de instalación>
• Registros de estado de cobertura de revisiones Stream nombre: <valor de variable proporcionado en tiempo de instalación>
• Registros de aplicabilidad de lista de revisiones Stream nombre: <valor de variable proporcionado en el momento de la instalación>
• Registros de cumplimiento de lista de revisiones Stream Nombre: <valor de variable proporcionado en tiempo de instalación>
• SCCM registros de estado de cliente Stream Nombre: <valor de variable proporcionado en el momento de la instalación>
• Registros de alertas de respuesta a amenazas Stream nombre: <valor de variable proporcionado en tiempo de instalación>

3. Crear la conexión en Tanium

Después de implementar correctamente el conector de datos en Azure, cree la conexión necesaria en el servidor de Tanium en el módulo Connect. Para obtener más información sobre el módulo Connect, consulte la Ayuda de Tanium.

1. Descargue el archivo de importación de conexión.
2. Reemplace los marcadores de posición por los parámetros mostrados anteriormente.
3. En el servidor de Tanium, abra el módulo Connect.
4. Use la funcionalidad de importación para importar nuevas conexiones.

---

Conector de datos de Team Cymru Scout (con Azure Functions)

Compatible con:Team Cymru

El conector de datos TeamCymruScout permite a los usuarios traer datos de uso de ip, dominio y cuenta de Team Cymru Scout en Microsoft Sentinel para el enriquecimiento.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Cymru_Scout_Domain_Data_CL	No	No
Cymru_Scout_IP_Data_Foundation_CL	No	No
Cymru_Scout_IP_Data_Details_CL	No	No
Cymru_Scout_IP_Data_Communications_CL	No	No
Cymru_Scout_IP_Data_PDNS_CL	No	No
Cymru_Scout_IP_Data_Fingerprints_CL	No	No
Cymru_Scout_IP_Data_OpenPorts_CL	No	No
Cymru_Scout_IP_Data_x509_CL	No	No
Cymru_Scout_IP_Data_Summary_Details_CL	No	No
Cymru_Scout_IP_Data_Summary_PDNS_CL	No	No
Cymru_Scout_IP_Data_Summary_OpenPorts_CL	No	No
Cymru_Scout_IP_Data_Summary_Certs_CL	No	No
Cymru_Scout_IP_Data_Summary_Fingerprints_CL	No	No
Cymru_Scout_Account_Usage_Data_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Permiso para asignar un rol a la aplicación registrada: se requiere permiso para asignar un rol a la aplicación registrada en Microsoft Entra ID.
• Credenciales/permisos de Team Cymru Scout: se requieren credenciales de cuenta de Team Cymru Scout (nombre de usuario, contraseña).

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a team cymru Scout API para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos para crear una clave de API de Team Cymru Scout

Siga estas instrucciones para crear una clave de API de Team Cymru Scout.

1. Consulte el documento Claves de API para generar una clave de API que se usará como forma alternativa de autorización.

PASO 2: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de TeamCymruScout Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 3: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de TeamCymruScout Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de TeamCymruScout Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 4: Obtención del identificador de objeto de la aplicación en Microsoft Entra ID

Después de crear el registro de la aplicación, siga los pasos de esta sección para obtener el identificador de objeto:

1. Ve a Microsoft Entra ID.
2. Seleccione Aplicaciones empresariales en el menú de la izquierda.
3. Busque la aplicación recién creada en la lista (puede buscar por el nombre que proporcionó).
4. Haga clic en la aplicación.
5. En la página de información general, copie el identificador de objeto. Este es el valor de AzureEntraObjectId necesario para la asignación de roles de plantilla de ARM.

PASO 5: Asignar el rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

1. En el Azure Portal, vaya al grupo de recursos y seleccione el grupo de recursos.
2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
3. Haga clic en Agregar y, a continuación, seleccione Agregar asignación de roles.
4. Seleccione Colaborador como rol y haga clic en Siguiente.
5. En Asignar acceso a, seleccione User, group, or service principal.
6. Haga clic en Agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia:/azure/role-based-access-control/role-assignments-portal

PASO 6: Carga de csv con indictaors en la lista de reproducción

Siga los pasos de esta sección para cargar csv que contiene indicadores en la lista de reproducción:

1. En el Azure Portal, vaya a Microsoft Sentinel y seleccione el área de trabajo.
2. Vaya a Lista de reproducción en la sección Configuración del panel izquierdo.
3. Haga clic en TeamCymruScoutDomainData y, a continuación, seleccione Actualización masiva en la lista de reproducción Actualizar.
4. Cargue los archivos CSV con indicadores de dominio en Cargar entrada de archivo y haga clic en Siguiente: Revisar+Crear.
5. Una vez que la validación se realiza correctamente, haga clic en Actualizar.
6. Siga los mismos pasos para actualizar la lista de reproducción TeamCymruScoutIPData para los indicadores ip.

Vínculo de referencia:Actualización masiva de una lista de reproducción

PASO 7: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos TeamCymruScout, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente) fácilmente disponibles.., así como las credenciales de TeamCymruScout.

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos TeamCymruScout.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la información siguiente: Nombre de la función Location WorkspaceName TeamCymruScoutBaseURL AuthenticationType Username Password APIKey IPValues DomainValues APIType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos TeamCymruScout manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, CymruScoutXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.12 o superior.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores (distinguen mayúsculas de minúsculas): CymruScoutBaseURL AuthenticationType TeamCymruScoutUsername TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_TABLES

12. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Exposición de identidades tenables

Compatible con:Tenable

El conector tenable Identity Exposure permite ingerir indicadores de exposición, indicadores de ataque y registros de flujo de ruta en Microsoft Sentinel. Los diferentes libros de trabajo y analizadores de datos le permiten manipular más fácilmente los registros y supervisar el entorno de Active Directory. Las plantillas analíticas permiten automatizar las respuestas relacionadas con diferentes eventos, exposiciones y ataques.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Tenable_IE_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la configuración de TenableIE: permisos para configurar el motor de alertas de Syslog

Instrucciones de instalación:

Este conector de datos depende de afad_parser en función de una función de Kusto para que funcione según lo esperado, que se implementa con la solución Microsoft Sentinel.

1. Configuración del servidor de Syslog

Primero necesitará un servidor Syslog de Linux al que TenableIE enviará registros. Normalmente, puede ejecutar rsyslog en Ubuntu. A continuación, puede configurar este servidor como desee, pero se recomienda poder generar registros tenableIE en un archivo independiente.

Configure rsyslog para aceptar registros de la dirección IP de TenableIE. Seleccione una de las opciones siguientes:

Opción 1: Usar la directiva AllowedSender

Esta configuración restringe qué hosts pueden enviar registros al servidor syslog en el nivel de red. Es más seguro, ya que rechaza las conexiones no autorizadas antes de procesarlas.

1. Descargue el archivo de configuración: 80-tenable-allowedsender.conf
2. Ejecutar en modo sudo: sudo -i
3. Establezca la dirección IP de TenableIE: export TENABLE_IE_IP={Enter your IP address}
4. Ejecución de los comandos desde el archivo de configuración descargado
5. Reinicie rsyslog: systemctl restart rsyslog

Opción 2: Filtrar registros por ip de origen (para entornos con varios orígenes de Syslog)

Esta configuración acepta todos los registros entrantes, pero solo los procesa desde la dirección IP de TenableIE especificada. Es especialmente útil cuando tiene varios servidores de Syslog o aplicaciones que envían registros al mismo servidor de Syslog, y desea procesar de forma selectiva solo los registros tenableIE.

1. Descargue el archivo de configuración: 80-tenable-filter.conf
2. Ejecutar en modo sudo: sudo -i
3. Establezca la dirección IP de TenableIE: export TENABLE_IE_IP={Enter your IP address}
4. Ejecución de los comandos desde el archivo de configuración descargado
5. Reinicie rsyslog: systemctl restart rsyslog

2. Instale e incorpore el agente de Microsoft para Linux

El agente de OMS recibirá los eventos de Syslog de TenableIE y lo publicará en Microsoft Sentinel :

Elija dónde instalar el agente:

Instalación del agente en Azure Linux máquina virtual

Seleccione la máquina en la que instalar el agente y, a continuación, haga clic en Conectar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Instalación del agente en una máquina que no es Azure Linux

Descargue el agente en el equipo correspondiente y siga las instrucciones.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

3. Comprobación de los registros del agente en el servidor de Syslog

tail -f /var/opt/microsoft/omsagent/log/omsagent.log

4. Configurar TenableIE para enviar registros al servidor de Syslog

En el portal de TenableIE , vaya a Sistema, Configuración y , a continuación, Syslog. Desde allí, puede crear una nueva alerta de Syslog para el servidor de Syslog.

Una vez hecho esto, compruebe que los registros se recopilan correctamente en el servidor en un archivo independiente (para ello, puede usar el botón Probar la configuración en la configuración de alertas de Syslog en TenableIE). Si usó la plantilla inicio rápido, el servidor de Syslog escuchará de forma predeterminada en el puerto 514 en UDP y 1514 en TCP, sin TLS.

Nota: Ambas opciones de configuración del paso 1 configuran el servidor syslog para escuchar en el puerto 514 para las conexiones UDP y TCP.

5. Configurar los registros personalizados

Configure el agente para recopilar los registros.

1. En Microsoft Sentinel, vaya a Configuración -> Configuración -> Configuración del área de trabajo -> Registros personalizados.
2. Haga clic en Agregar registro personalizado.
3. Cargue un archivo de Syslog de ejemplo TenableIE.log desde el equipo de Linux que ejecuta el servidor syslog y haga clic en Siguiente.
4. Establezca el delimitador de registros en Nueva línea si aún no es el caso y haga clic en Siguiente.
5. Seleccione Linux y escriba la ruta de acceso del archivo de Syslog, haga clic en + y luego en Siguiente. La ubicación predeterminada del archivo es /var/log/TenableIE.log si tiene una versión <3.1.0 de Tenable, también debe agregar esta ubicación /var/log/AlsidForAD.logde archivo linux.
6. Establezca el nombre en Tenable_IE_CL (Azure agrega automáticamente _CL al final del nombre, solo debe haber uno, asegúrese de que el nombre no está Tenable_IE_CL_CL).
7. Haga clic en Siguiente, verá una reanudación y, a continuación, haga clic en Crear.

6. Disfrutar !

Ahora debería poder recibir registros en la tabla Tenable_IE_CL , los datos de los registros se pueden analizar mediante la función afad_parser(), que usan todos los ejemplos de consulta, libros y plantillas de análisis.

---

Administración de vulnerabilidades tenable (mediante Azure Functions)

Compatible con:Tenable

El conector de datos de TVM proporciona la capacidad de ingerir datos de recursos, vulnerabilidades, cumplimiento, recursos WAS y vulnerabilidades was en Microsoft Sentinel mediante las API REST de TVM. Consulte la documentación de la API para obtener más información. El conector proporciona la capacidad de obtener datos que ayudan a examinar posibles riesgos de seguridad, obtener información sobre los recursos informáticos, diagnosticar problemas de configuración y mucho más.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Tenable_VM_Asset_CL	Sí	Sí
Tenable_VM_Vuln_CL	Sí	Sí
Tenable_VM_Compliance_CL	Sí	Sí
Tenable_WAS_Asset_CL	Sí	Sí
Tenable_WAS_Vuln_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se necesitan tenableAccessKey y tenableSecretKey para acceder a la API REST de Tenable. Para obtener más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Instrucciones de instalación:

NOTA: Este conector usa Azure Durable Functions para conectarse a tenableVM API para extraer recursos, vulnerabilidades y cumplimiento (si se selecciona) en un intervalo normal en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador de TenableVM para detectar vulnerabilidades y de un analizador tenableVM para que los recursos basados en una función kusto funcionen según lo previsto, lo que se implementa con la solución Microsoft Sentinel.

PASO 1: Pasos de configuración para TenableVM

Siga las instrucciones para obtener las credenciales de API necesarias.

PASO 2: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de TenableVM Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 3: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de TenableVM Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de TenableVM Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 4: Obtención del identificador de objeto de la aplicación en Microsoft Entra ID

Después de crear el registro de la aplicación, siga los pasos de esta sección para obtener el identificador de objeto:

1. Ve a Microsoft Entra ID.
2. Seleccione Aplicaciones empresariales en el menú de la izquierda.
3. Busque la aplicación recién creada en la lista (puede buscar por el nombre que proporcionó).
4. Haga clic en la aplicación.
5. En la página de información general, copie el identificador de objeto. Este es el valor de AzureEntraObjectId necesario para la asignación de roles de plantilla de ARM.

PASO 5: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la Azure Function App asociada.

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos del informe de administración de vulnerabilidades de TenableVM mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos, el nombre de FunctionApp y la ubicación preferidos.

3. Escriba la información siguiente:

   a. WorkspaceName : escriba el nombre del área de trabajo del área de trabajo de Log Analytics.

   b. TenableAccessKey : escriba la clave de acceso para usar tenable API.

   c. TenableSecretKey : escriba la clave secreta tenable para la autenticación.

   d. AzureClientID: escriba Azure id. de cliente.

   e. AzureClientSecret: escriba Azure secreto de cliente.

   f. TenantID : escriba el identificador de inquilino obtenido de los pasos anteriores.

   g. AzureEntraObjectId: escriba Azure id. de objeto obtenido de los pasos anteriores.

   h. LowestSeveritytoStore : gravedad de vulnerabilidad más baja que almacenar. Valores permitidos: Info, Low, Medium, High, Critical. El valor predeterminado es Info.

   i. ComplianceDataIngestion : seleccione true si desea habilitar la ingesta de datos de cumplimiento desde una máquina virtual tenable. El valor predeterminado es false.

   j. WASAssetDataIngestion : seleccione true si desea habilitar la ingesta de datos de recursos WAS desde una máquina virtual tenable. El valor predeterminado es false.

   k. WASVulnerabilityDataIngestion : seleccione true si desea habilitar la ingesta de datos de vulnerabilidad de WAS desde una máquina virtual tenable. El valor predeterminado es false.

   l. LowestSeveritytoStoreWAS : la gravedad de vulnerabilidad más baja que se almacenará para WAS. Valores permitidos: Info, Low, Medium, High, Critical. El valor predeterminado es Info.

   m. TenableExportScheduleInMinutes : programar en minutos para crear un nuevo trabajo de exportación desde una máquina virtual tenable. El valor predeterminado es 1440.

   n. AssetTableName : escriba el nombre de la tabla utilizada para almacenar los registros de datos de activos.

   o. VulnTableName : escriba el nombre de la tabla utilizada para almacenar los registros de datos de vulnerabilidad.

   p. ComplianceTableName : escriba el nombre de la tabla utilizada para almacenar los registros de datos de cumplimiento.

   q. WASAssetTableName : escriba el nombre de la tabla utilizada para almacenar los registros de datos de activos WAS.

   r. WASVulnTableName : escriba el nombre de la tabla usada para almacenar los registros de datos de vulnerabilidad de WAS.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos del informe de administración de vulnerabilidades de TenableVM manualmente con Azure Functions (Implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, TenableVMXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.12.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas):

    a. WorkspaceName : escriba el nombre del área de trabajo del área de trabajo de Log Analytics.

    b. TenableAccessKey : escriba la clave de acceso para usar tenable API.

    c. TenableSecretKey : escriba la clave secreta tenable para la autenticación.

    d. AzureClientID: escriba Azure id. de cliente.

    e. AzureClientSecret: escriba Azure secreto de cliente.

    f. TenantID : escriba el identificador de inquilino obtenido de los pasos anteriores.

    g. AzureEntraObjectId: escriba Azure id. de objeto obtenido de los pasos anteriores.

    h. LowestSeveritytoStore : gravedad de vulnerabilidad más baja que almacenar. Valores permitidos: Info, Low, Medium, High, Critical. El valor predeterminado es Info.

    i. ComplianceDataIngestion : seleccione true si desea habilitar la ingesta de datos de cumplimiento desde una máquina virtual tenable. El valor predeterminado es false.

    j. WASAssetDataIngestion : seleccione true si desea habilitar la ingesta de datos de recursos WAS desde una máquina virtual tenable. El valor predeterminado es false.

    k. WASVulnerabilityDataIngestion : seleccione true si desea habilitar la ingesta de datos de vulnerabilidad de WAS desde una máquina virtual tenable. El valor predeterminado es false.

    l. LowestSeveritytoStoreWAS : la gravedad de vulnerabilidad más baja que se almacenará para WAS. Valores permitidos: Info, Low, Medium, High, Critical. El valor predeterminado es Info.

    m. TenableExportScheduleInMinutes : programar en minutos para crear un nuevo trabajo de exportación desde una máquina virtual tenable. El valor predeterminado es 1440.

    n. AssetTableName : escriba el nombre de la tabla utilizada para almacenar los registros de datos de activos.

    o. VulnTableName : escriba el nombre de la tabla utilizada para almacenar los registros de datos de vulnerabilidad.

    p. ComplianceTableName : escriba el nombre de la tabla utilizada para almacenar los registros de datos de cumplimiento.

    q. WASAssetTableName : escriba el nombre de la tabla utilizada para almacenar los registros de datos de activos WAS.

    r. WASVulnTableName : escriba el nombre de la tabla usada para almacenar los registros de datos de vulnerabilidad de WAS.

    s. PyTenableUAVendor: el valor debe establecerse en Microsoft.

    t. PyTenableUAProduct: el valor debe establecerse en Microsoft Sentinel.

    u. PyTenableUABuild: el valor debe establecerse en 3.1.0.

12. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Microsoft Defender basadas en inquilinos para la nube

Compatible con:Microsoft Corporation

Microsoft Defender para la nube es una herramienta de administración de seguridad que le permite detectar y responder rápidamente a amenazas en cargas de trabajo Azure, híbridas y multin cloud. Este conector le permite transmitir las alertas de seguridad de MDC de Microsoft 365 Defender a Microsoft Sentinel, de modo que pueda aprovechar las ventajas de las correlaciones XDR que conectan los puntos entre los recursos, dispositivos e identidades de la nube y ver los datos en libros, consultas e investigar y responder a incidentes. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityAlert	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Conexión de Microsoft Defender basadas en inquilinos para la nube a Microsoft Sentinel

Después de conectar este conector, todas las alertas de las suscripciones de Microsoft Defender para la nube se enviarán a esta Microsoft Sentinel área de trabajo.

Las alertas de Microsoft Defender para la nube están conectadas para transmitir a través de Microsoft 365 Defender. Para beneficiarse de la agrupación automatizada de las alertas en incidentes, conecte el conector de incidentes de Microsoft 365 Defender. Los incidentes se pueden ver en la cola de incidentes.

---

TheHive (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos TheHive proporciona la capacidad de ingerir datos de la plataforma de respuesta a incidentes de seguridad de TheHive en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API para obtener más información. El conector proporciona la capacidad de obtener casos, tareas y alertas de TheHive y visualizarlos en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
TheHiveData	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Acceso a la API de TheHive: el acceso a la API de TheHive versión 4 y posteriores es necesario para la API de TheHive.

Instrucciones de instalación:

1. Configuración

Siga las instrucciones para configurar el conector TheHive.

• La dirección URL base de TheHive: (La dirección URL base de la instancia de TheHive (por ejemplo, https://thehive.example.com)) Obtenga la clave de API de la configuración del perfil de usuario de TheHive. (o un usuario dedicado creado para este propósito)

• Clave de API: (clave de API para TheHive API)

2. Conectar

Habilite el conector TheHive.

• Habilitar o deshabilitar la conexión

---

Teom

Compatible con:Theom

Theom Data Connector permite a las organizaciones conectar su entorno de Theom a Microsoft Sentinel. Esta solución permite a los usuarios recibir alertas sobre riesgos de seguridad de datos, crear y enriquecer incidentes, comprobar estadísticas y desencadenar cuadernos de estrategias soar en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
TheomAlerts_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

1. En la consola de la interfaz de usuario de Theom, haga clic en Administrar -> Alertas en la barra lateral.
2. Seleccione Sentinel pestaña.
3. Haga clic en el botón Activo para habilitar la configuración.
4. Escriba Primary la clave como Authorization Token
5. Escriba Endpoint URL como https://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01
6. Haga clic en SAVE SETTINGS

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Inteligencia sobre amenazas: TAXII

Compatible con:Microsoft Corporation

Microsoft Sentinel se integra con orígenes de datos TAXII 2.0 y 2.1 para habilitar la supervisión, las alertas y la búsqueda mediante la inteligencia sobre amenazas. Use este conector para enviar los tipos de objeto STIX admitidos desde servidores TAXII a Microsoft Sentinel. Los indicadores de amenazas pueden incluir direcciones IP, dominios, direcciones URL y hashes de archivo. Para obtener más información, consulte la documentación >de Microsoft Sentinel .

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Plataformas de inteligencia sobre amenazas

Compatible con:Microsoft Corporation

Microsoft Sentinel se integra con los orígenes de datos de Microsoft Graph API para seguridad para habilitar la supervisión, las alertas y la búsqueda mediante la inteligencia sobre amenazas. Use este conector para enviar indicadores de amenazas a Microsoft Sentinel desde la Plataforma de inteligencia sobre amenazas (TIP), como Threat Connect, Palo Alto Networks MindMeld, MISP u otras aplicaciones integradas. Los indicadores de amenazas pueden incluir direcciones IP, dominios, direcciones URL y hashes de archivo. Para obtener más información, consulte la documentación >de Microsoft Sentinel .

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

API de carga de Threat Intelligence (versión preliminar)

Compatible con:Microsoft Corporation

Microsoft Sentinel ofrece una API de plano de datos para incorporar inteligencia sobre amenazas desde la Plataforma de inteligencia sobre amenazas (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP u otras aplicaciones integradas. Los indicadores de amenazas pueden incluir direcciones IP, dominios, direcciones URL, hash de archivos y direcciones de correo electrónico. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

**Puede conectar los orígenes de datos de inteligencia sobre amenazas a Microsoft Sentinel mediante: **

Usar una plataforma integrada de inteligencia sobre amenazas (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP y otros.

Llamar a la API del plano de datos Microsoft Sentinel directamente desde otra aplicación.

• Nota: El "Estado" del conector no aparecerá como "Conectado" aquí, porque los datos se ingieren mediante una llamada API.

**Siga estos pasos para conectarse a su inteligencia sobre amenazas: **

1. Obtener Microsoft Entra ID token de acceso

Para enviar una solicitud a las API, debe adquirir Microsoft Entra ID token de acceso. Puede seguir las instrucciones de esta página: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

• Aviso: Solicite Microsoft Entra ID token de acceso con el valor de ámbito: [variables('managementUri')]

2. Enviar objetos STIX a Sentinel

Puede enviar los tipos de objeto STIX admitidos llamando a nuestra API de carga. Para obtener más información sobre la API, haga clic aquí.

Método HTTP: POST

Punto de conexión: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01-preview

WorkspaceID: el área de trabajo en la que se cargan los objetos STIX.

Valor de encabezado 1: "Authorization" = "Bearer [Microsoft Entra ID Access Token from step 1]"

Valor de encabezado 2: "Content-Type" = "application/json"

Cuerpo: el cuerpo es un objeto JSON que contiene una matriz de objetos STIX.

---

Conector de seguridad de transmisión (mediante Azure Functions)

Compatible con:Transmit Security

El conector de datos [Transmit Security] proporciona la capacidad de ingerir eventos comunes de Transmisión API para seguridad en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
TransmitSecurityActivity_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Identificador de cliente de LA API REST: se requiere TransmitSecurityClientID . Consulte la documentación para obtener más información sobre la https://developer.transmitsecurity.com/API en .
• Secreto de cliente de API REST: se requiere TransmitSecurityClientSecret . Consulte la documentación para obtener más información sobre la https://developer.transmitsecurity.com/API en .

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse al API para seguridad Transmitir para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración para transmitir API para seguridad

Siga las instrucciones para obtener las credenciales.

1. Inicie sesión en el Portal de seguridad de transmisión.
2. Configurar una aplicación de administración. Asigne a la aplicación un nombre adecuado, por ejemplo, MyAzureSentinelCollector.
3. Guarde las credenciales del nuevo usuario para usarlas en el conector de datos.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos Transmit Security, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se puede copiar de la siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos transmit security mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos.

3. Escriba TransmitSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityPullEndpoint, TransmitSecurityTokenEndpoint e implemente.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Transmit Security manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar VS Code para el desarrollo de funciones Azure.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones.

   Si aún no ha iniciado sesión, elija el icono de Azure en la barra Actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure.

   Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas).

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions.

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. Seleccione Variables de entorno.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas):

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityPullEndpoint
    • TransmitSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para una nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Aplicar.

---

Trellix Endpoint Security (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Trellix Endpoint Security permite ingerir eventos de seguridad de Trellix ePO (ePolicy Orchestrator) en Microsoft Sentinel. Este conector usa la autenticación de credenciales de cliente de OAuth2 y controla automáticamente la paginación para recopilar datos completos de seguridad de puntos de conexión, incluidas las detecciones de amenazas, la información del analizador, los detalles del sistema de origen y de destino y las acciones de respuesta a amenazas.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
TrellixEvents	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

1. Configuración de API

Configure la conexión de la API de EPO de Trellix.

• DIRECCIÓN URL base de API: (https://api.manage.trellix.com) Autenticación

Proporcione la clave de API para la autenticación. Se enviará en el encabezado x-api-key.

• Clave de API: (Escriba la clave de API)

Nota: La clave de API se almacenará y usará de forma segura para la autenticación con la API de EPO de Trellix.

2. Configuración de autenticación

Configure las credenciales de autenticación de OAuth2.

• Punto de conexión de token: (https://iam.cloud.trellix.com/iam/v1.0/token) Configuración de OAuth2 Configure las credenciales de cliente de OAuth2 para el acceso a la API. Obtenga información sobre el modelo de autorización de la API de Trellix en https://developer.manage.trellix.com/public/mvision/docs/umam

• Id. de cliente: (Su identificador de cliente)

• Secreto de cliente: (Secreto de cliente)

Nota: La autenticación de OAuth2 proporciona acceso seguro a los puntos de conexión de API.

3. Habilitar conector

Activación del conector de Trellix Endpoint Security

Activación del conector

Revise la configuración y habilite el conector para empezar a recopilar eventos de seguridad.

• Habilitar o deshabilitar la conexión posterior a la conexión

Después de conectarse, supervise el estado del conector en la página Conectores de datos . Los datos deben empezar a aparecer en un plazo de entre 5 y 10 minutos.

---

Trend Vision One (con Azure Functions)

Compatible con:Trend Micro

El conector de Trend Vision One permite conectar fácilmente los datos de alertas de Workbench con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las funcionalidades de supervisión e investigación. Esto le proporciona más información sobre las redes o sistemas de su organización y mejora las capacidades de operación de seguridad.

El conector Trend Vision One se admite en Microsoft Sentinel en las siguientes regiones: Este de Australia, Sudeste de Australia, Sur de Brasil, Centro de Canadá, Este de Canadá, Centro de la India, Centro de EE. UU., Este de Asia, Este de EE. UU., Este de EE. UU. 2, Centro de Francia, Este de Japón, Centro de Corea del Norte de EE. UU., Norte de Europa, Este de Noruega, Norte de Sudáfrica, Centro-sur de EE. UU., Sudeste de Asia, Centro de Suecia, Norte de Suiza, Norte de Emiratos Árabes Unidos, Sur de Reino Unido, Oeste de Reino Unido, Oeste de Europa, Oeste de EE. UU., Oeste de EE. UU. 2, Oeste de EE. UU. 3.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
TrendMicro_XDR_WORKBENCH_CL	No	No
TrendMicro_XDR_RCA_Task_CL	No	No
TrendMicro_XDR_RCA_Result_CL	No	No
TrendMicro_XDR_OAT_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de Trend Vision One: se requiere un token de API de Trend Vision One. Consulte la documentación para obtener más información sobre Trend Vision One API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a Trend Vision One API para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración para Trend Vision One API

Siga estas instrucciones para crear una cuenta y un token de autenticación de API.

PASO 2: Use la siguiente opción de implementación para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de Trend Vision One, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como el token de autorización de la API de Trend Vision One, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Implementación de plantillas de Azure Resource Manager (ARM)

Este método proporciona una implementación automatizada del conector trend vision one mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba un nombre de función único, un identificador de área de trabajo, una clave de área de trabajo, un token de API y un código de región.

• Nota: Proporcione el código de región adecuado en función de dónde se implemente la instancia de Trend Vision One: us, eu, au, in, sg, jp
• Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.
5. Haga clic en Comprar para implementar.

---

Seguridad de Tropico: alertas

Compatible con:TROPICO Security

Ingerir alertas de seguridad de Tropico Security Platform en formato de búsqueda de seguridad OCSF.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
{{graphQueriesTableName}}	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Conectar la plataforma de seguridad de Tropico

Escriba la clave de API de solo lectura en Configuración de Tropico.

• Clave de API: (trop_xxxx...)
• Habilitar o deshabilitar la conexión

---

Seguridad de Tropico: eventos

Compatible con:TROPICO Security

Ingerir eventos de seguridad de Tropico Security Platform en formato de búsqueda de seguridad de OCSF.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
{{graphQueriesTableName}}	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Conectar la plataforma de seguridad de Tropico

Escriba la clave de API de solo lectura en Configuración de Tropico.

• Clave de API: (trop_xxxx...)
• Habilitar o deshabilitar la conexión

---

Seguridad de Tropico: incidentes

Compatible con:TROPICO Security

Ingerir incidentes de sesión de atacantes desde tropico Security Platform.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
{{graphQueriesTableName}}	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Conectar la plataforma de seguridad de Tropico

Escriba la clave de API de solo lectura en Configuración de Tropico.

• Clave de API: (trop_xxxx...)
• Habilitar o deshabilitar la conexión

---

Cargador de registros de Upwind (API de ingesta)

Compatible con:Upwind

El conector de datos Del cargador de registros de Upwind ingiere recursos de plataforma de proceso de la plataforma de seguridad en la nube de Upwind en una tabla personalizada de Microsoft Sentinel mediante una función de Azure y la API de ingesta de monitor de Azure (DCE/DCR).

Upwind proporciona seguridad en la nube con tecnología de tiempo de ejecución, correlacionando la posición de la nube con el contexto de carga de trabajo en vivo. Este conector expone el inventario de Upwind (recursos de plataforma de proceso en AWS, GCP y Azure) directamente en Microsoft Sentinel para la correlación, la búsqueda y el enriquecimiento con incidentes.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
UpwindLogsAssets_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de LA API de Upwind: se requiere un identificador de cliente de LA API de Upwind y un secreto de cliente. Obtenga estos datos de la plataforma upwind en Configuración → claves de API. Las credenciales de cliente se usan para autenticarse en https://auth.upwind.io/oauth/token para obtener un token de portador.
• Id. de organización de Upwind: se requiere el identificador de organización de Upwind. Búscalo en la plataforma Upwind, en Configuración → organización.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions y la API de ingesta de monitor de Azure (DCE/DCR) para insertar los registros de Upwind en Microsoft Sentinel. La plantilla de ARM crea automáticamente el punto de conexión de recopilación de datos, la tabla de registro personalizada (UpwindLogsAssets_CL), la regla de recopilación de datos y la asignación de roles. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions y Azure Página de precios de Monitor para obtener más información.

(Opcional) Durante la implementación, elija Key Vault como método de autenticación para almacenar de forma segura el secreto de cliente de Upwind. Puede proporcionar un nombre de Key Vault existente o permitir que la plantilla cree uno nuevo. Una identidad administrada asignada por el usuario se configura automáticamente con las directivas de acceso Key Vault necesarias.

PASO 1: Obtención de credenciales de UPWIND API

1. Inicie sesión en la plataforma Upwind.
2. Vaya a Configuración → claves de API.
3. Cree una nueva clave de API y anote el identificador de cliente y el secreto de cliente.
4. Vaya a Configuración → organización y anote el identificador de la organización.

PASO 2: Implementación de la aplicación de funciones Azure

Haga clic en Implementar para Azure y rellene los parámetros. La plantilla crea automáticamente DCE, UpwindLogs_CL tabla, DCR, asignación de roles y function app.

aka.ms

Parámetros que se van a rellenar:

Parámetro	Descripción
WorkspaceName	Nombre del área de trabajo de Log Analytics/Microsoft Sentinel
UpwindOrgId	Id. de organización de Upwind del paso 1
UpwindClientId	Id. de cliente de UPWIND API del paso 1
UpwindClientSecret	Secreto de cliente de UPWIND API del paso 1
AppInsightsWorkspaceResourceID	Identificador de recurso completo del área de trabajo de Log Analytics (desde el área de trabajo de Log Analytics → propiedades)

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>

---

Señales de comportamiento del agente de IA de Vaikora

Compatible con:Data443 Risk Mitigation, Inc.

Ingerir señales de comportamiento del agente de inteligencia artificial desde la API de Vaikora en Microsoft Sentinel mediante Codeless Connector Framework (CCF). Supervise las acciones del agente, las decisiones de directivas, las puntuaciones de anomalías y los niveles de riesgo para detectar actividad de inteligencia artificial sospechosa en su entorno.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Vaikora_AgentSignals_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Clave de API de Vaikora: una clave de API de Vaikora (vk_xxxxx) con acceso de lectura al punto de conexión de acciones. Obtenga esta información en el panel de Vaikora en Claves de API de configuración > .

Instrucciones de instalación:

Conexión de señales de comportamiento del agente de inteligencia artificial de Vaikora

Para habilitar el conector de Vaikora, escriba la clave de API de Vaikora a continuación y haga clic en Conectar. El identificador del agente es opcional; úselo para limitar la ingesta a un solo agente o déjelo en blanco para ingerir acciones de todos los agentes que la clave puede ver.

La clave de API está disponible en el panel de Vaikora, en Claves de API de configuración>. El identificador de agente es el UUID que se muestra en la página de detalles de cada agente.

• Clave de API de Vaikora: (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
• Id. de agente de Vaikora (opcional): (Deje en blanco para supervisar todos los agentes)
• Habilitar o deshabilitar la conexión

---

Valimail Exigir eventos de configuración

Compatible con:Valimail

El conector de datos Valimail Configuration Events permite ingerir eventos de configuración del dominio de correo electrónico desde la API de informes de Valimail en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel marco de conector sin código.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ValimailEnforceEvents_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Pasos de configuración para la API de eventos de Valimail Siga las instrucciones de la guía para generar un conjunto de credenciales de La API de informes. Almacene el identificador de cliente creado y las claves de id. de aplicación.

• Slug de cuenta de cliente: (Slug de cuenta)
• Identificador de cliente de API: (credencial de id. de cliente)
• Id. de aplicación de API: (Credencial de id. de aplicación)
• Habilitar o deshabilitar la conexión

---

Conector de inserción de Varonis Purview

Compatible con:Varonis

El conector Varonis Purview proporciona la capacidad de sincronizar recursos de Varonis con Microsoft Purview.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
VaronisResources_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario

Instrucciones de instalación:

1. Ejecute esta opción para configurar la ingesta de recursos de Varonis.

Esto creará las tablas de Log Analytics necesarias, la regla de recopilación de datos (DCR) y una aplicación de Entra para enviar datos de forma segura al DCR.

La configuración automatizada y la ingesta segura de datos con Entra aplicación Al hacer clic en "Implementar", se desencadenará la creación de tablas de Log Analytics y una regla de recopilación de datos (DCR). A continuación, creará una aplicación Entra, vinculará la DCR a ella y establecerá el secreto especificado en la aplicación. Esta configuración permite que los datos se envíen de forma segura al DCR mediante un token de Entra.

2. Insertar los registros en el área de trabajo

Use los parámetros siguientes para configurar el conector Varonis Purview en el panel de integraciones de Varonis.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra identificador de aplicación de registro de aplicaciones: <valor de variable proporcionado en el momento de la instalación>
• Entra secreto de registro de aplicaciones: <valor de variable proporcionado en tiempo de instalación>
• Uri del punto de conexión de recopilación de datos: <valor de variable proporcionado en el momento de la instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Recursos Stream Nombre: <valor de variable proporcionado en tiempo de instalación>

---

Varonis SaaS

Compatible con:Varonis

Varonis SaaS proporciona la capacidad de ingerir alertas de Varonis en Microsoft Sentinel.

Varonis prioriza la visibilidad profunda de los datos, las funcionalidades de clasificación y la corrección automatizada para el acceso a los datos. Varonis crea una única vista priorizada del riesgo de los datos, para que pueda eliminar de forma proactiva y sistemática el riesgo de amenazas internas y ciberataques.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
VaronisAlerts_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse al servicio Varonis DatAlert para extraer alertas en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

Para Azure función y servicios relacionados, use:

portal.azure.com

PASO 1: Obtener las credenciales de varonis DatAlert Endpoint API.

Para generar el identificador de cliente y la clave de API:

1. Inicie la interfaz web varonis.
2. Vaya a Configuración:> claves de API. Se muestra la página Claves de API.
3. Haga clic en Crear clave de API. La configuración Agregar nueva clave de API se muestra a la derecha.
4. Rellene el nombre y la descripción.
5. Haga clic en el botón Generar clave.
6. Copie el secreto de clave de API y guárdelo en una ubicación práctica. No podrá copiarlo de nuevo.

Para obtener más información, consulte: Documentación de Varonis.

PASO 2: Implemente el conector y la función de Azure asociada.

• Nombre del área de trabajo: <valor variable proporcionado en tiempo de instalación>

Use este método para la implementación automatizada del conector de datos mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure.

   portal.azure.com

2. Seleccione la suscripción preferida, grupo de recursos, región, tipo de cuenta de almacenamiento.

3. Escriba el nombre del área de trabajo de Log Analytics, el FQDN de Varonis y la clave de API de SaaS de Varonis.

4. Haga clic en Revisar y crear, crear.

---

Vectra XDR (con Azure Functions)

Compatible con:Vectra Support

El conector Vectra XDR ofrece la capacidad de ingerir datos de detecciones, auditorías, puntuación de entidades, bloqueo, estado y entidades de Vectra en Microsoft Sentinel a través de la API REST de Vectra. Consulte la documentación de la API: https://support.vectra.ai/s/article/KB-VS-1666 para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Detections_Data_CL	Sí	Sí
Audits_Data_CL	Sí	Sí
Entity_Scoring_Data_CL	Sí	Sí
Lockdown_Data_CL	Sí	Sí
Health_Data_CL	Sí	Sí
Entities_Data_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requiere el identificador de cliente de Vectra y el secreto de cliente para la recopilación de datos Health, Entity Scoring, Entities, Detections, Lockdown y Audit. Consulte la documentación para obtener más información sobre la https://support.vectra.ai/s/article/KB-VS-1666API en .

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API de Vectra para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado. Siga estos pasos para el analizador de detecciones, el analizador de auditorías, el analizador de puntuación de entidades, el analizador de bloqueo y el analizador de estado para crear el alias de funciones de Kusto, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown y VectraHealth.

PASO 1: Pasos de configuración para las credenciales de la API de Vectra

Siga estas instrucciones para crear un identificador de cliente y un secreto de cliente de Vectra.

1. Inicie sesión en el portal de Vectra.
2. Vaya a Administrar:> clientes de API
3. En la página Clientes de API, seleccione "Agregar cliente de API" para crear un nuevo cliente.
4. Agregue el nombre de cliente, seleccione Rol y haga clic en Generar credenciales para obtener las credenciales de cliente.
5. Asegúrese de registrar el identificador de cliente y la clave secreta para su mantenimiento seguro. Necesitará estos dos fragmentos de información para obtener un token de acceso de la API de Vectra. Se requiere un token de acceso para realizar solicitudes a todos los puntos de conexión de la API de Vectra.

PASO 2: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en el Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

1. Inicie sesión en el portal de Azure.
2. Busque y seleccione Microsoft Entra ID.
3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
4. Escriba un nombre para mostrar para la aplicación.
5. Seleccione Registrar para completar el registro inicial de la aplicación.
6. Cuando finaliza el registro, el Azure Portal muestra el panel Información general del registro de la aplicación. Verá el identificador de aplicación (cliente) y el identificador de inquilino. El identificador de cliente y el identificador de inquilino son parámetros de configuración para la ejecución de Vectra Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 3: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de Vectra Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

1. En el Azure Portal, en Registros de aplicaciones, seleccione la aplicación.
2. Seleccione Certificados & secretos Secretos >> de cliente Nuevo secreto de cliente.
3. Agregue una descripción para el secreto de cliente.
4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
5. Seleccione Agregar.
6. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto nunca se vuelve a mostrar después de salir de esta página. El valor de secreto es necesario como parámetro de configuración para la ejecución de Vectra Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 4: Obtención del identificador de objeto de la aplicación en Microsoft Entra ID

Después de crear el registro de la aplicación, siga los pasos de esta sección para obtener el identificador de objeto:

1. Ve a Microsoft Entra ID.
2. Seleccione Aplicaciones empresariales en el menú de la izquierda.
3. Busque la aplicación recién creada en la lista (puede buscar por el nombre que proporcionó).
4. Haga clic en la aplicación.
5. En la página de información general, copie el identificador de objeto. Este es el valor de AzureEntraObjectId necesario para la asignación de roles de plantilla de ARM.

PASO 5: Asignar el rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

1. En el Azure Portal, vaya al grupo de recursos y seleccione el grupo de recursos.
2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
3. Haga clic en Agregar y, a continuación, seleccione Agregar asignación de roles.
4. Seleccione Colaborador como rol y haga clic en Siguiente.
5. En Asignar acceso a, seleccione User, group, or service principal.
6. Haga clic en Agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia:/azure/role-based-access-control/role-assignments-portal

PASO 6: Creación de un almacén de claves

Siga estas instrucciones para crear una nueva instancia de Keyvault.

1. En el Azure Portal, vaya a Almacenes de claves y haga clic en Crear.
2. Seleccione Subsciption( Subsciption), Resource Group (Grupo de recursos) y proporcione el nombre único de keyvault.

PASO 7: Creación de una directiva de acceso en Keyvault

Siga estas instrucciones para crear una directiva de acceso en Keyvault.

1. Vaya a keyvaults, seleccione el almacén de claves, vaya a Directivas de acceso en el panel izquierdo y haga clic en Crear.
2. Seleccione todas las claves & permisos de secretos. Haga clic en Siguiente.
3. En la sección principal, busque por nombre de aplicación que se generó en STEP - 2. Haga clic en Siguiente.

Nota: Asegúrese de que el modelo de permisos de la configuración de acceso de Key Vault está establecido en "Directiva de acceso del almacén".

PASO 8: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos de Vectra, tenga las credenciales de autorización de la API de Vectra disponibles.

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector vectra.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba la información siguiente: Nombre de la función Nombre del área de trabajo Dirección URL base de Vectra (https://< vectra-portal-url>) Id. de cliente de Vectra - Clave secreta de cliente de Health Vectra - Id. de cliente de Health Vectra - Entity Scoring Vectra Client Secret - Entity Scoring Vectra Client Id - Detections Vec Secreto de cliente de vectra: identificador de cliente de Vectra de detecciones: audita el secreto de cliente de Vectra- id. de cliente de Vectra de bloqueo - id. de cliente de Vectra de bloqueo - Host-Entity secreto de cliente de Vectra - Host-Entity id. de cliente de Vectra - Account-Entity Secreto de cliente de Vectra: nombre de Account-Entity Key Vault Azure id. de cliente Azure id. de inquilino del secreto de cliente Azure Entra ObjectID StartTime (en formato MM/DD/AAAA HH:MM:SS) Incluir puntuación Disminuir auditorías Nombre de tabla Detecciones Nombre de tabla Nombre de tabla Puntuación de la tabla Bloqueo Nombre de tabla Nombre de la tabla Excluir detalles del grupo del nivel de registro de detecciones (valor predeterminado: INFO) Programación de bloqueo Programa de detecciones de mantenimiento Programación Auditorías Programar programación de entidades Programación de entidades Programación de entidades Programación

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos vectra manualmente con Azure Functions (Implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, VECTRAXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.8 o superior.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores (distinguen mayúsculas de minúsculas): Id. de área de trabajo Clave de área de trabajo Dirección URL base de Vectra (https://< vectra-portal-url>) Id. de cliente de Vectra : Clave secreta de cliente de Health Vectra - Id. de cliente de Health Vectra - Entity Scoring Vectra Secreto de cliente: id. de cliente de Vectra de puntuación de entidades: detecciones Secreto de cliente de Vectra: identificador de cliente de Vectra de detecciones: audita el secreto de cliente de Vectra: audita el identificador de cliente de Vectra: secreto de cliente de Vectra de bloqueo Id. de cliente de Vectra- Host-Entity secreto de cliente de Vectra - Host-Entity id. de cliente de Vectra - Account-Entity secreto de cliente de Vectra - Account-Entity Key Vault nombre Azure id. de cliente Azure id. de inquilino del secreto de cliente StartTime (en formato MM/DD/AAAA HH:MM:SS) Incluir puntuación reduce las auditorías Detecciones de nombre de tabla Nombre de tabla Nombre de tabla Puntuación Nombre de tabla Detección de nombres de tabla Nombre de tabla de puntuación Nombre de tabla Nivel de registro de tabla (valor predeterminado: INFO) Lockdown Schedule Health Schedule Detections Schedule Audits Schedule Entity Scoring Schedule Entities Schedule logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Veeam Data Connector (con Azure Functions)

Compatible con:Veeam Software

Veeam Data Connector le permite ingerir datos de telemetría de Veeam de varias tablas personalizadas en Microsoft Sentinel.

El conector admite la integración con las plataformas Veeam Backup & Replication, Veeam ONE y Coveware para proporcionar análisis de seguridad y supervisión completos. Los datos se recopilan a través de Azure Functions y se almacenan en tablas de Log Analytics personalizadas con reglas de recopilación de datos (DCR) y puntos de conexión de recopilación de datos (DCE) dedicados.

Tablas personalizadas incluidas:

• VeeamMalwareEvents_CL: Eventos de detección de malware de Veeam Backup & Replication
• VeeamSecurityComplianceAnalyzer_CL: Resultados de Security & Compliance Analyzer recopilados de componentes de infraestructura de copia de seguridad de Veeam
• VeeamAuthorizationEvents_CL: eventos de autorización y autenticación
• VeeamOneTriggeredAlarms_CL: Alarmas desencadenadas desde servidores Veeam ONE
• VeeamCovewareFindings_CL: Conclusiones de seguridad de la solución Coveware
• VeeamSessions_CL: sesiones de Veeam

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
VeeamMalwareEvents_CL	Sí	Sí
VeeamSecurityComplianceAnalyzer_CL	Sí	Sí
VeeamOneTriggeredAlarms_CL	Sí	Sí
VeeamAuthorizationEvents_CL	Sí	Sí
VeeamCovewareFindings_CL	Sí	Sí
VeeamSessions_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Acceso a la infraestructura de Veeam: se requiere acceso a la API REST de replicación de Veeam Backup & y a la plataforma de supervisión Veeam ONE. Esto incluye las credenciales de autenticación adecuadas y la conectividad de red.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a las API de Veeam y extraer datos en Microsoft Sentinel tablas personalizadas. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

PASO 1: Seleccione la opción de implementación para Veeam Data Connector y los Azure Functions asociados

IMPORTANTE: Antes de implementar Veeam Data Connector, prepare el nombre del área de trabajo (se puede copiar de lo siguiente).

• Nombre del área de trabajo: <valor variable proporcionado en tiempo de instalación>

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos veeam mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   portal.azure.com

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el nombre del área de trabajo Microsoft Sentinel.

4. Haga clic en Revisar y crear, crear.

---

VersasecCms

Compatible con:Versasec Support

El conector de datos VersasecCms permite ingerir registros en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
VersasecCmsSysLogs_CL	No	No
VersasecCmsErrorLogs_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Configuración

Escriba las credenciales de VersasecCms.

• Dirección URL de administración:
• Ruta de acceso base de API:
• Token de API:
• Intervalo de sondeo (minutos):
• Habilitar o deshabilitar la conexión

---

VirtualMetric DataStream para Microsoft Sentinel

Compatible con:VirtualMetric

El conector VirtualMetric DataStream implementa reglas de recopilación de datos para ingerir telemetría de seguridad en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommonSecurityLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Registro de aplicaciones o Azure identidad administrada: VirtualMetric DataStream requiere una identidad de identificador de Entra para autenticar y enviar registros a Microsoft Sentinel. Puede elegir entre crear un registro de aplicación con el identificador de cliente y el secreto de cliente, o usar Azure identidad administrada para mejorar la seguridad sin la administración de credenciales.
• Asignación de roles de grupo de recursos: la identidad elegida (Registro de aplicaciones o Identidad administrada) debe asignarse al grupo de recursos que contiene el punto de conexión de recopilación de datos con los siguientes roles: Publicador de métricas de supervisión (para la ingesta de registros) y Lector de supervisión (para leer la configuración del flujo).

Instrucciones de instalación:

Configuración de VirtualMetric DataStream para Microsoft Sentinel

Configure VirtualMetric DataStream para que Microsoft Sentinel envíe datos.

Registrar aplicación en Microsoft Entra ID (opcional)

Elegir el método de autenticación: Opción A: Usar Azure identidad administrada (recomendado)

• Omita este paso si tiene previsto usar Azure identidad administrada para la autenticación.
• Azure Identidad administrada proporciona un método de autenticación más seguro sin administrar las credenciales.

Opción B: Registrar una aplicación de entidad de servicio

1. Abra la página Microsoft Entra ID:

   • Haga clic en el vínculo proporcionado para abrir la página de registro de Microsoft Entra ID en una nueva pestaña.
   • Asegúrese de que ha iniciado sesión con una cuenta que tiene permisos de administrador de aplicaciones o administrador global .

2. Crear una nueva aplicación:

   • En el portal de Microsoft Entra ID, seleccione Registros de aplicaciones en el panel de navegación izquierdo.
   • Haga clic en + Nuevo registro.
   • Rellene los campos siguientes:

• Nombre: escriba un nombre descriptivo para la aplicación (por ejemplo, "Conector ASIM VirtualMetric").
• Tipos de cuenta admitidos: elija Solo cuentas en este directorio organizativo (inquilino único).
• URI de redirección: deje esto en blanco.
  • Haga clic en Registrar para crear la aplicación.

3. Copie los identificadores de aplicación e inquilino:

   • Una vez registrada la aplicación, anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino) en la página Información general . Los necesitará para la configuración de VirtualMetric DataStream.

4. Crear un secreto de cliente:

   • En la sección Certificados & secretos, haga clic en + Nuevo secreto de cliente.
   • Agregue una descripción (por ejemplo, "Secreto ASIM de VirtualMetric") y establezca un período de expiración adecuado.
   • Haga clic en Agregar.
   • Copie el valor del secreto de cliente inmediatamente, ya que no se volverá a mostrar. Almacéne esto de forma segura para la configuración de VirtualMetric DataStream.

Asignar permisos necesarios

Asigne los roles necesarios al método de autenticación elegido (entidad de servicio o identidad administrada) en el grupo de recursos.

Para la entidad de servicio (si ha completado el paso 1):

1. Vaya al grupo de recursos:

   • Abra el portal de Azure y vaya al grupo de recursos que contiene el área de trabajo de Log Analytics y donde se implementarán las reglas de recopilación de datos (DCR).

2. Asigne el rol publicador de métricas de supervisión:

   • En el grupo de recursos, haga clic en Control de acceso (IAM) en el menú de la izquierda.
   • Haga clic en + Agregar y seleccione Agregar asignación de roles.
   • En la pestaña Rol, busque y seleccione Publicador de métricas de supervisión.
   • Haga clic en Siguiente para ir a la pestaña Miembros .
   • En Asignar acceso a, seleccione Usuario, grupo o entidad de servicio.
   • Haga clic en + Seleccionar miembros y busque la aplicación registrada por nombre o identificador de cliente.
   • Seleccione la aplicación y haga clic en Seleccionar.
   • Haga clic en Revisar y asignar dos veces para completar la asignación.

3. Asigne el rol de lector de supervisión:

   • Repita el mismo proceso para asignar el rol Lector de supervisión :
   • Haga clic en + Agregar y seleccione Agregar asignación de roles.
   • En la pestaña Rol, busque y seleccione Lector de supervisión.
   • Siga el mismo proceso de selección de miembros que el anterior.
   • Haga clic en Revisar y asignar dos veces para completar la asignación. Para Azure identidad administrada:

4. Creación o identificación de la identidad administrada:

   • Si usa la identidad administrada asignada por el sistema: habilite esta opción en el recurso de Azure (máquina virtual, App Service, etc.).
   • Si usa identidad administrada asignada por el usuario: cree una en el grupo de recursos si no existe.

5. Asigne el rol publicador de métricas de supervisión:

   • Siga los mismos pasos que antes, pero en la pestaña Miembros :
   • En Asignar acceso a, seleccione Identidad administrada.
   • Haga clic en + Seleccionar miembros , elija el tipo de identidad administrada adecuado y seleccione su identidad.
   • Haga clic en Seleccionar y, a continuación, en Revisar y asignar dos veces para completar.

6. Asigne el rol de lector de supervisión:

   • Repita el proceso para asignar el rol Lector de supervisión a la misma identidad administrada. Resumen de permisos necesarios: los roles asignados proporcionan las siguientes funcionalidades:

• Publicador de métricas de supervisión: escritura de datos en puntos de conexión de recopilación de datos (DCE) y envío de telemetría a través de reglas de recopilación de datos (DCR)
• Lector de supervisión: lectura de la configuración de secuencias y acceso al área de trabajo de Log Analytics para la ingesta de tablas de ASIM

Implementación de Azure Infrastructure

Implemente el punto de conexión de recopilación de datos (DCE) y las reglas de recopilación de datos (DCR) necesarios para Microsoft Sentinel tablas mediante nuestra plantilla de ARM.

1. Implementación en Azure:

   • Haga clic en el botón Implementar para Azure siguiente para implementar automáticamente la infraestructura necesaria:
   • portal.azure.com
   • Esto le llevará directamente a la Azure Portal para iniciar la implementación.

2. Configurar parámetros de implementación:

   • En la página de implementación personalizada, configure los siguientes valores:

   Detalles del proyecto:

   • Suscripción: seleccione la suscripción de Azure en la lista desplegable.
   • Grupo de recursos: seleccione un grupo de recursos existente o haga clic en Crear nuevo para crear un nuevo detalle de instancia:
   • Región: seleccione la región Azure donde se encuentra el área de trabajo de Log Analytics (por ejemplo, Oeste de Europa)
   • Área de trabajo: escriba el nombre del área de trabajo de Log Analytics
   • Nombre de DCE: proporcione un nombre para el punto de conexión de recopilación de datos (por ejemplo, "vmetric-dce")
   • Prefijo de nombre de DCR: proporcione un prefijo para las reglas de recopilación de datos (por ejemplo, "vmetric-dcr")

3. Complete la implementación:

   • Haga clic en Revisar y crear para validar la plantilla.
   • Revise los parámetros y haga clic en Crear para implementar los recursos.
   • Espere a que se complete la implementación (normalmente tarda entre 2 y 5 minutos).

4. Comprobar los recursos implementados:

   • Después de la implementación, compruebe que se crearon los siguientes recursos:

• Punto de conexión de recopilación de datos (DCE): compruebe Azure portal > supervisar > puntos de conexión de recopilación de datos
• Reglas de recopilación de datos (DCR): compruebe las reglas de recopilación de datos de Supervisión > de Azure Portal >
  • Copie el URI de ingesta de registros de DCE desde la página Información general de DCE (formato: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • Copie el identificador de recurso de DCE de la página Información general de DCE (formato: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Para cada DCR, tenga en cuenta el identificador inmutable de la página Información general ; los necesitará para la configuración de VirtualMetric DataStream.

Configuración de la integración de VirtualMetric DataStream

Configure VirtualMetric DataStream para enviar telemetría de seguridad a Microsoft Sentinel tablas.

1. Acceso a la configuración de VirtualMetric DataStream:

   • Inicie sesión en la consola de administración de VirtualMetric DataStream .
   • Vaya a la sección Objetivos de administración de > flotas .
   • Haga clic en el botón Agregar nuevo destino .
   • Seleccione Microsoft Sentinel destino.

2. Configuración general:

   • Nombre: escriba un nombre para el destino (por ejemplo, "cus01-ms-sentinel")
   • Descripción: opcionalmente, proporcione una descripción para la configuración de destino.

3. Configurar la autenticación de Azure (elija en función del paso 1): Para la autenticación de entidad de servicio:

   • Identidad administrada para Azure: mantener deshabilitada
   • Id. de inquilino: escriba el identificador de directorio (inquilino) del paso 1.
   • Id. de cliente: escriba el identificador de aplicación (cliente) del paso 1.
   • Secreto de cliente: escriba el valor del secreto de cliente del paso 1 para Azure identidad administrada:
   • Identidad administrada para Azure: establecer en Habilitado

4. Configurar propiedades de Stream:

   • Punto de conexión: elija el método de configuración:

• Para la configuración de secuencia manual: escriba el URI de ingesta de registros DCE (formato: https://<dce-name>.<region>.ingest.monitor.azure.com)
• Para la detección automática de secuencias: escriba el identificador de recurso de DCE (formato: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Secuencias: seleccione Auto para la detección automática de secuencias o configure secuencias específicas si es necesario.

5. Compruebe la ingesta de datos en Microsoft Sentinel:
   • Volver al área de trabajo de Log Analytics
   • Ejecute consultas de ejemplo en las tablas de ASIM para confirmar que se reciben datos:

     ASimNetworkSessionLogs
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Compruebe el panel de información general de Microsoft Sentinel para ver nuevos orígenes de datos y recuentos de eventos.

---

VirtualMetric DataStream para Microsoft Sentinel lago de datos

Compatible con:VirtualMetric

El conector VirtualMetric DataStream implementa reglas de recopilación de datos para ingerir telemetría de seguridad en Microsoft Sentinel lago de datos.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommonSecurityLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Registro de aplicaciones o Azure identidad administrada: VirtualMetric DataStream requiere una identidad de identificador de Entra para autenticar y enviar registros a Microsoft Sentinel lago de datos. Puede elegir entre crear un registro de aplicación con el identificador de cliente y el secreto de cliente, o usar Azure identidad administrada para mejorar la seguridad sin la administración de credenciales.
• Asignación de roles de grupo de recursos: la identidad elegida (Registro de aplicaciones o Identidad administrada) debe asignarse al grupo de recursos que contiene el punto de conexión de recopilación de datos con los siguientes roles: Publicador de métricas de supervisión (para la ingesta de registros) y Lector de supervisión (para leer la configuración del flujo).

Instrucciones de instalación:

Configuración de VirtualMetric DataStream para Microsoft Sentinel lago de datos

Configure VirtualMetric DataStream para Microsoft Sentinel lago de datos para enviar datos.

Registrar aplicación en Microsoft Entra ID (opcional)

Elegir el método de autenticación: Opción A: Usar Azure identidad administrada (recomendado)

• Omita este paso si tiene previsto usar Azure identidad administrada para la autenticación.
• Azure Identidad administrada proporciona un método de autenticación más seguro sin administrar las credenciales.

Opción B: Registrar una aplicación de entidad de servicio

1. Abra la página Microsoft Entra ID:

   • Haga clic en el vínculo proporcionado para abrir la página de registro de Microsoft Entra ID en una nueva pestaña.
   • Asegúrese de que ha iniciado sesión con una cuenta que tiene permisos de administrador de aplicaciones o administrador global .

2. Crear una nueva aplicación:

   • En el portal de Microsoft Entra ID, seleccione Registros de aplicaciones en el panel de navegación izquierdo.
   • Haga clic en + Nuevo registro.
   • Rellene los campos siguientes:

• Nombre: escriba un nombre descriptivo para la aplicación (por ejemplo, "Conector ASIM VirtualMetric").
• Tipos de cuenta admitidos: elija Solo cuentas en este directorio organizativo (inquilino único).
• URI de redirección: deje esto en blanco.
  • Haga clic en Registrar para crear la aplicación.

3. Copie los identificadores de aplicación e inquilino:

   • Una vez registrada la aplicación, anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino) en la página Información general . Los necesitará para la configuración de VirtualMetric DataStream.

4. Crear un secreto de cliente:

   • En la sección Certificados & secretos, haga clic en + Nuevo secreto de cliente.
   • Agregue una descripción (por ejemplo, "Secreto ASIM de VirtualMetric") y establezca un período de expiración adecuado.
   • Haga clic en Agregar.
   • Copie el valor del secreto de cliente inmediatamente, ya que no se volverá a mostrar. Almacéne esto de forma segura para la configuración de VirtualMetric DataStream.

Asignar permisos necesarios

Asigne los roles necesarios al método de autenticación elegido (entidad de servicio o identidad administrada) en el grupo de recursos.

Para la entidad de servicio (si ha completado el paso 1):

1. Vaya al grupo de recursos:

   • Abra el portal de Azure y vaya al grupo de recursos que contiene el área de trabajo de Log Analytics y donde se implementarán las reglas de recopilación de datos (DCR).

2. Asigne el rol publicador de métricas de supervisión:

   • En el grupo de recursos, haga clic en Control de acceso (IAM) en el menú de la izquierda.
   • Haga clic en + Agregar y seleccione Agregar asignación de roles.
   • En la pestaña Rol, busque y seleccione Publicador de métricas de supervisión.
   • Haga clic en Siguiente para ir a la pestaña Miembros .
   • En Asignar acceso a, seleccione Usuario, grupo o entidad de servicio.
   • Haga clic en + Seleccionar miembros y busque la aplicación registrada por nombre o identificador de cliente.
   • Seleccione la aplicación y haga clic en Seleccionar.
   • Haga clic en Revisar y asignar dos veces para completar la asignación.

3. Asigne el rol de lector de supervisión:

   • Repita el mismo proceso para asignar el rol Lector de supervisión :
   • Haga clic en + Agregar y seleccione Agregar asignación de roles.
   • En la pestaña Rol, busque y seleccione Lector de supervisión.
   • Siga el mismo proceso de selección de miembros que el anterior.
   • Haga clic en Revisar y asignar dos veces para completar la asignación. Para Azure identidad administrada:

4. Creación o identificación de la identidad administrada:

   • Si usa la identidad administrada asignada por el sistema: habilite esta opción en el recurso de Azure (máquina virtual, App Service, etc.).
   • Si usa identidad administrada asignada por el usuario: cree una en el grupo de recursos si no existe.

5. Asigne el rol publicador de métricas de supervisión:

   • Siga los mismos pasos que antes, pero en la pestaña Miembros :
   • En Asignar acceso a, seleccione Identidad administrada.
   • Haga clic en + Seleccionar miembros , elija el tipo de identidad administrada adecuado y seleccione su identidad.
   • Haga clic en Seleccionar y, a continuación, en Revisar y asignar dos veces para completar.

6. Asigne el rol de lector de supervisión:

   • Repita el proceso para asignar el rol Lector de supervisión a la misma identidad administrada. Resumen de permisos necesarios: los roles asignados proporcionan las siguientes funcionalidades:

• Publicador de métricas de supervisión: escritura de datos en puntos de conexión de recopilación de datos (DCE) y envío de telemetría a través de reglas de recopilación de datos (DCR)
• Lector de supervisión: lectura de la configuración de secuencias y acceso al área de trabajo de Log Analytics para la ingesta de tablas de ASIM

Implementación de Azure Infrastructure

Implemente el punto de conexión de recopilación de datos (DCE) y las reglas de recopilación de datos (DCR) necesarios para Microsoft Sentinel tablas de Data Lake mediante nuestra plantilla de ARM.

1. Implementación en Azure:

   • Haga clic en el botón Implementar para Azure siguiente para implementar automáticamente la infraestructura necesaria:
   • portal.azure.com
   • Esto le llevará directamente a la Azure Portal para iniciar la implementación.

2. Configurar parámetros de implementación:

   • En la página de implementación personalizada, configure los siguientes valores:

   Detalles del proyecto:

   • Suscripción: seleccione la suscripción de Azure en la lista desplegable.
   • Grupo de recursos: seleccione un grupo de recursos existente o haga clic en Crear nuevo para crear un nuevo detalle de instancia:
   • Región: seleccione la región Azure donde se encuentra el área de trabajo de Log Analytics (por ejemplo, Oeste de Europa)
   • Área de trabajo: escriba el nombre del área de trabajo de Log Analytics
   • Nombre de DCE: proporcione un nombre para el punto de conexión de recopilación de datos (por ejemplo, "vmetric-dce")
   • Prefijo de nombre de DCR: proporcione un prefijo para las reglas de recopilación de datos (por ejemplo, "vmetric-dcr")

3. Complete la implementación:

   • Haga clic en Revisar y crear para validar la plantilla.
   • Revise los parámetros y haga clic en Crear para implementar los recursos.
   • Espere a que se complete la implementación (normalmente tarda entre 2 y 5 minutos).

4. Comprobar los recursos implementados:

   • Después de la implementación, compruebe que se crearon los siguientes recursos:

• Punto de conexión de recopilación de datos (DCE): compruebe Azure portal > supervisar > puntos de conexión de recopilación de datos
• Reglas de recopilación de datos (DCR): compruebe las reglas de recopilación de datos de Supervisión > de Azure Portal >
  • Copie el URI de ingesta de registros de DCE desde la página Información general de DCE (formato: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • Copie el identificador de recurso de DCE de la página Información general de DCE (formato: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Para cada DCR, tenga en cuenta el identificador inmutable de la página Información general ; los necesitará para la configuración de VirtualMetric DataStream.

Configuración de la integración de VirtualMetric DataStream

Configure VirtualMetric DataStream para enviar telemetría de seguridad a Microsoft Sentinel tablas de Data Lake.

1. Acceso a la configuración de VirtualMetric DataStream:

   • Inicie sesión en la consola de administración de VirtualMetric DataStream .
   • Vaya a la sección Objetivos de administración de > flotas .
   • Haga clic en el botón Agregar nuevo destino .
   • Seleccione Microsoft Sentinel destino.

2. Configuración general:

   • Nombre: escriba un nombre para el destino (por ejemplo, "cus01-ms-sentinel")
   • Descripción: opcionalmente, proporcione una descripción para la configuración de destino.

3. Configurar la autenticación de Azure (elija en función del paso 1): Para la autenticación de entidad de servicio:

   • Identidad administrada para Azure: mantener deshabilitada
   • Id. de inquilino: escriba el identificador de directorio (inquilino) del paso 1.
   • Id. de cliente: escriba el identificador de aplicación (cliente) del paso 1.
   • Secreto de cliente: escriba el valor del secreto de cliente del paso 1 para Azure identidad administrada:
   • Identidad administrada para Azure: establecer en Habilitado

4. Configurar propiedades de Stream:

   • Punto de conexión: elija el método de configuración:

• Para la configuración de secuencia manual: escriba el URI de ingesta de registros DCE (formato: https://<dce-name>.<region>.ingest.monitor.azure.com)
• Para la detección automática de secuencias: escriba el identificador de recurso de DCE (formato: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Secuencias: seleccione Auto para la detección automática de secuencias o configure secuencias específicas si es necesario.

5. Compruebe la ingesta de datos en Microsoft Sentinel lago de datos:
   • Volver al área de trabajo de Log Analytics
   • Ejecute consultas de ejemplo en las tablas de ASIM para confirmar que se reciben datos:

     ASimNetworkSessionLogs
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Compruebe el panel de información general de Microsoft Sentinel para ver nuevos orígenes de datos y recuentos de eventos.

---

VirtualMetric Director Proxy

Compatible con:VirtualMetric

VirtualMetric Director Proxy implementa una aplicación de función de Azure para enlazar de forma segura VirtualMetric DataStream con servicios de Azure, incluidos Microsoft Sentinel, Azure Data Explorer y Azure Storage.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommonSecurityLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Function App: se debe implementar una aplicación de funciones de Azure para hospedar el proxy de director. Requiere permisos de lectura, escritura y eliminación en los recursos Microsoft.Web/sites del grupo de recursos para crear y administrar function app.
• Configuración de VirtualMetric DataStream: necesita VirtualMetric DataStream configurado con credenciales de autenticación para conectarse al proxy de director. El proxy de director actúa como un puente seguro entre VirtualMetric DataStream y Azure servicios.
• Servicios de Azure de destino: configure los servicios de Azure de destino, como Microsoft Sentinel puntos de conexión de recopilación de datos, clústeres de Azure Data Explorer o cuentas de almacenamiento de Azure a las que el proxy de director reenviará los datos.

Instrucciones de instalación:

Implementación del proxy de VirtualMetric Director

Implemente la Azure Function App que actúa como un proxy seguro entre VirtualMetric DataStream y Microsoft Sentinel.

Requisitos previos y orden de implementación

Orden de implementación recomendado:

Para una configuración óptima, considere la posibilidad de implementar primero los conectores de destino:

1. Implementar Microsoft Sentinel Connector: implemente el conector VirtualMetric DataStream for Microsoft Sentinel primero para crear los puntos de conexión y las reglas de recopilación de datos necesarios.

2. Implementación de Microsoft Sentinel conector de Data Lake (opcional): si usa Microsoft Sentinel tablas de data lake, implemente VirtualMetric DataStream para Microsoft Sentinel conector de Data Lake.

3. Implementar proxy de director (este paso): el proxy de director se puede configurar con los destinos de Microsoft Sentinel. Note: Se recomienda este pedido, pero no es necesario. Puede implementar el proxy de director de forma independiente y configurarlo con los destinos más adelante.

Implementación de Azure Function App

Implemente el proxy de VirtualMetric Director Azure function app mediante el botón Deploy to Azure (Implementar en Azure).

1. Implementación en Azure:

   • Haga clic en el botón Implementar en Azure siguiente para implementar la aplicación de funciones:
   • portal.azure.com

2. Configurar parámetros de implementación:

   • Suscripción: seleccione la suscripción de Azure
   • Grupo de recursos: elija el mismo grupo de recursos que el área de trabajo de Microsoft Sentinel o cree uno nuevo.
   • Región: seleccione la región Azure (debe coincidir con la región del área de trabajo de Microsoft Sentinel)
   • Nombre de la aplicación de función: proporcione un nombre único para function app (por ejemplo, "vmetric-director-proxy")

3. Implementación completa:

   • Haga clic en Revisar y crear para validar los parámetros.
   • Haga clic en Crear para implementar la aplicación de funciones.
   • Espere a que se complete la implementación (normalmente de 3 a 5 minutos)
   • Tenga en cuenta la dirección URL de la aplicación de funciones: https://<function-app-name>.azurewebsites.net

Configuración de permisos de la aplicación de funciones

Asigne los permisos necesarios a la identidad administrada de function app para acceder a Microsoft Sentinel recursos.

1. Habilitar System-Assigned identidad administrada:

   • Vaya a la aplicación de funciones implementada en Azure Portal
   • Vaya a Identidad en Configuración.
   • Alternar estado en Activado para la identidad asignada por el sistema
   • Haga clic en Guardar y confirmar

2. Vaya al grupo de recursos:

   • Vaya al grupo de recursos que contiene el área de trabajo de Microsoft Sentinel y los puntos de conexión de recopilación de datos.

3. Asignar roles necesarios:

   • Control de acceso abierto (IAM)
   • Haga clic en + Agregar > asignación de roles
   • Asigne los siguientes roles a la identidad administrada asignada por el sistema de function app:

• Publicador de métricas de supervisión: para enviar datos a puntos de conexión de recopilación de datos
• Lector de supervisión: para leer la configuración de reglas de recopilación de datos

4. Seleccione function app identity (Identidad de la aplicación de funciones):

   • En la pestaña Miembros, seleccione Identidad administrada.
   • Elija Function App (Aplicación de funciones ) y seleccione la aplicación de funciones de Proxy de Director implementada.
   • Completar la asignación de roles

5. Obtener token de acceso de la aplicación de funciones (opcional para la autenticación de clave de función):

   • Vaya a la aplicación de funciones.
   • Vaya a Claves de aplicación en Funciones.
   • Copie la clave de host predeterminada o cree una nueva clave de función para la autenticación.

Configuración de la integración de VirtualMetric DataStream

Configure VirtualMetric DataStream para enviar telemetría de seguridad a Microsoft Sentinel a través del proxy de director.

1. Acceso a la configuración de VirtualMetric DataStream:

   • Inicie sesión en la consola de administración de VirtualMetric DataStream .
   • Vaya a la sección Destinos
   • Haga clic en destinos de Microsoft Sentinel
   • Haga clic en Agregar nuevo destino o edite un destino Microsoft Sentinel existente.

2. Configuración general:

   • Nombre: escriba un nombre para el destino (por ejemplo, "sentinel-with-proxy")
   • Descripción: opcionalmente, proporcione una descripción para la configuración de destino.

3. Configuración de la autenticación de Azure: para la autenticación de entidad de servicio:

   • Identidad administrada para Azure: mantener deshabilitada
   • Id. de inquilino: escriba el Azure identificador de inquilino de Active Directory.
   • Id. de cliente: escriba el identificador de aplicación de la entidad de servicio.
   • Secreto de cliente: escriba el secreto de cliente de la entidad de servicio para Azure identidad administrada:
   • Identidad administrada para Azure: establecer en Habilitado

4. Configuración del proxy de director (en Azure pestaña Propiedades):

   • Dirección del punto de conexión: escriba la dirección URL de la aplicación de funciones del paso 2 (formato: https://<function-app-name>.azurewebsites.net)
   • Token de acceso: escriba la clave de host de function app del paso 3 (opcional si usa identidad administrada)

5. Configurar propiedades de Stream:

   • Punto de conexión: escriba el URI de ingesta de registros DCE (formato: https://<dce-name>.<region>.ingest.monitor.azure.com)
   • Secuencias: seleccione Auto para la detección automática de secuencias o configure secuencias específicas si es necesario.

6. Compruebe la ingesta de datos en Microsoft Sentinel:

   • Volver al área de trabajo de Log Analytics
   • Ejecute consultas de ejemplo para confirmar que se reciben datos:

     CommonSecurityLog
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Compruebe el panel de información general de Microsoft Sentinel para ver los nuevos orígenes de datos y los recuentos de eventos.

---

VMRayThreatIntelligence (mediante Azure Functions)

Compatible con:VMRay

El conector VMRayThreatIntelligence genera y alimenta automáticamente la inteligencia sobre amenazas para todos los envíos a VMRay, lo que mejora la detección de amenazas y la respuesta a incidentes en Sentinel. Esta integración perfecta permite a los equipos abordar proactivamente las amenazas emergentes.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ThreatIntelligenceIndicator	Sí	No

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure suscripción: Azure suscripción con rol de propietario es necesaria para registrar una aplicación en azure active directory() y asignar el rol de colaborador a la aplicación en el grupo de recursos.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: se requiere la clave de API de VMRay .

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a VMRay API con el fin de extraer IOC de amenazas de VMRay en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage costos. Consulte la página de precios de Azure Functions y Azure Blob Storage página de precios para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Implementación de VMRay Threat Intelligence Connector

1. Asegúrese de que tiene todos los requisitos previos necesarios: id. de cliente, identificador de inquilino, secreto de cliente, clave de API vmray y dirección URL base de VMRay.

2. Para obtener el identificador de cliente, el secreto de cliente y el identificador de inquilino, siga estas instrucciones.

3. Para el plan de consumo flexible, haga clic en el botón Implementar para Azure siguiente:

   aka.ms

4. Para el plan Premium, haga clic en el botón Implementar para Azure siguiente:

   aka.ms.

---

VMware Carbon Black Cloud a través de AWS S3 (a través de Codeless Connector Framework)

Compatible con:Microsoft

VMware Carbon Black Cloud a través del conector de datos de AWS S3 proporciona la capacidad de ingerir eventos de lista de seguimiento, alertas, autenticación y puntos de conexión a través de AWS S3 y transmitirlos a tablas normalizadas de ASIM. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CarbonBlack_Alerts_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Entorno: debe tener los siguientes recursos de AWS definidos y configurados: S3, Simple Queue Service (SQS), roles de IAM y directivas de permisos
• Entorno: debe tener una cuenta negra de Carbon y los permisos necesarios para crear un bucket de Data Forwarded to AWS S3. Para obtener más información, consulte Carbon Black Data Forwarder Docs

Instrucciones de instalación:

1. Implementación de AWS CloudFormation Para configurar el acceso en AWS, se han generado dos plantillas para configurar el entorno de AWS con el fin de enviar registros desde el bucket de S3 al área de trabajo de Log Analytics.

Para cada plantilla, cree Stack en AWS:

1. Vaya a AWS CloudFormation Stacks
2. En AWS, elija la opción "Cargar un archivo de plantilla" y haga clic en "Elegir archivo". Selección de la plantilla descargada
3. Haga clic en "Siguiente" y "Crear pila"

• Plantilla 1: Implementación de autenticación de OpenID Connect: <valor variable proporcionado en el momento de la instalación>
• Plantilla 2: Implementación de recursos de AWS Carbon Black: <valor variable proporcionado en el momento> de la instalación Al implementar la plantilla "Template 2: AWS Carbon Black resources deployment" (Plantilla 2: implementación de recursos de AWS Carbon Black), necesitará proporcionar algunos parámetros.

• Nombre de pila: nombre de pila que elija (aparecerá en la lista de pilas en AWS)
• Nombre del rol: debe comenzar con el prefijo "OIDC_", tiene un valor predeterminado.
• Nombre del cubo: nombre del cubo que elija, si ya tiene un cubo existente, pegue el nombre aquí.
• CreateNewBucket: si ya tiene un cubo existente que le gustaría usar para este conector, seleccione "false" para esta opción, de lo contrario, se creará un cubo con el nombre especificado en "Nombre del cubo" a partir de esta pila.
• Región: esta es la región de los recursos de AWS basados en la asignación de Carbon Black; para obtener más información, consulte la documentación de Carbon Black.
• SQSQueuePrefix: la pila crea varias colas, este prefijo se agregará a cada una de ellas.
• WorkspaceID: use el identificador de área de trabajo que se proporciona a continuación.

• Identificador del área de trabajo: <valor variable proporcionado en el momento> de la instalación Una vez completada la implementación: vaya a la pestaña "Salidas", verá: ARN de rol, cubo S3 y 4 recursos de SQS creados. Necesitará esos recursos en el paso siguiente al configurar los reenviadores de datos de Carbon Black y el conector de datos.

2. Configuración del reenviador de datos de Carbon Black Una vez creados todos los recursos de AWS, deberá configurar Carbon Black para reenviar los eventos a los cubos de AWS para Microsoft Sentinel ingerirlos. Siga la documentación de Carbon Black sobre cómo crear un "Reenviadores de datos" Use la primera opción recomendada. Cuando se le pida que escriba un nombre de cubo, use el cubo creado en el paso anterior. Se le pedirá que agregue "prefijo S3" para cada reenviador; use esta asignación:

   Tipo de evento	Prefijo S3
   Alerta	carbon-black-cloud-forwarder/Alerts
   Eventos de autenticación	carbon-black-cloud-forwarder/Auth
   Eventos de punto de conexión	carbon-black-cloud-forwarder/Endpoint
   Acierto en la lista de reproducción	carbon-black-cloud-forwarder/Watchlist

2.1. Pruebe el reenviador de datos (opcional) Para validar que el reenviador de datos está configurado según lo esperado, en el portal de Carbon Black busque el reenviador de datos que acaba de crear y haga clic en el botón "Test Forwarder" (Reenviador de pruebas) en la columna "Actions" (Acciones), esto generará un archivo "HealthCheck" en el bucket de S3. Debería verlo aparecer inmediatamente.

3. Conectar nuevos recopiladores Para habilitar AWS S3 para Microsoft Sentinel, haga clic en el botón "Agregar nuevo recopilador", rellene la información necesaria, el rol de ARN y la dirección URL de SQS se creen en el paso 1, tenga en cuenta que tendrá que escribir la dirección URL de SQS correcta y seleccionar el tipo de evento adecuado en la lista desplegable, por ejemplo, si desea ingerir eventos de alerta, tendrá que copiar la dirección URL de SqS de alertas y seleccionar el tipo de evento "Alertas" en la lista desplegable

• Data Connectors Grid (configurar en el portal)

---

Eventos DNS de Windows a través de AMA

Compatible con:Microsoft Corporation

El conector de registro dns de Windows permite filtrar y transmitir fácilmente todos los registros de análisis de los servidores DNS de Windows al área de trabajo de Microsoft Sentinel mediante el agente de supervisión de Azure (AMA). Tener estos datos en Microsoft Sentinel le ayuda a identificar problemas y amenazas de seguridad, como:

• Intentando resolver nombres de dominio malintencionados.
• Registros de recursos obsoletos.
• Se consultan con frecuencia nombres de dominio y clientes DNS conversativos.
• Ataques realizados en el servidor DNS.

Puede obtener la siguiente información en los servidores DNS de Windows desde Microsoft Sentinel:

• Todos los registros se centralizan en un solo lugar.
• Solicitud de carga en servidores DNS.
• Errores de registro de DNS dinámicos.

Los eventos DNS de Windows son compatibles con advanced SIEM Information Model (ASIM) y transmiten datos a la tabla ASimDnsActivityLogs. Más información.

Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ASimDnsActivityLogs	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Windows Firewall

Compatible con:Microsoft Corporation

Firewall de Windows es una aplicación de Microsoft Windows que filtra la información que llega al sistema desde Internet y bloquea programas potencialmente dañinos. El software impide que la mayoría de los programas se comuniquen a través del firewall. Los usuarios simplemente agregan un programa a la lista de programas permitidos para permitir que se comunique a través del firewall. Al usar una red pública, Firewall de Windows también puede proteger el sistema bloqueando todos los intentos no solicitados de conectarse al equipo. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

Eventos de Firewall de Windows a través de AMA

Compatible con:Microsoft Corporation

Firewall de Windows es una aplicación de Microsoft Windows que filtra la información que llega al sistema desde Internet y bloquea programas potencialmente dañinos. El software de firewall impide que la mayoría de los programas se comuniquen a través del firewall. Para transmitir los registros de aplicación de Firewall de Windows recopilados de las máquinas, use el agente de Azure Monitor (AMA) para transmitir esos registros al área de trabajo de Microsoft Sentinel.

Es necesario vincular un punto de conexión de recopilación de datos configurado (DCE) con la regla de recopilación de datos (DCR) creada para que ama recopile registros. Para este conector, se crea automáticamente un DCE en la misma región que el área de trabajo. Si ya usa un DCE almacenado en la misma región, es posible cambiar el DCE creado de forma predeterminada y usar el existente a través de la API. Los DCE se pueden encontrar en los recursos con el prefijo SentinelDCE en el nombre del recurso.

Para más información, consulte los siguientes artículos:

• Puntos de conexión de recopilación de datos en Azure Monitor
• documentación de Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

---

Eventos reenviados de Windows

Compatible con:Microsoft Corporation

Puede transmitir todos los registros de Reenvío de eventos de Windows (WEF) desde los servidores windows conectados al área de trabajo de Microsoft Sentinel mediante Azure Monitor Agent (AMA). Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le proporciona más información sobre la red de su organización y mejora las funcionalidades de las operaciones de seguridad. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
WindowsEvent	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

eventos de Seguridad de Windows a través de AMA

Compatible con:Microsoft Corporation

Puede transmitir todos los eventos de seguridad desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le proporciona más información sobre la red de su organización y mejora las funcionalidades de las operaciones de seguridad. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityEvent	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Api WithSecure Elements (función Azure)

Compatible con:WithSecure

WithSecure Elements es la plataforma de ciberseguridad unificada basada en la nube diseñada para reducir el riesgo, la complejidad y la ineficiencia.

Eleve la seguridad de los puntos de conexión a las aplicaciones en la nube. Armate contra todo tipo de amenazas cibernéticas, desde ataques dirigidos hasta ransomware de día cero.

WithSecure Elements combina eficaces funcionalidades de seguridad predictivas, preventivas y dinámicas, todas administradas y supervisadas a través de un único centro de seguridad. Nuestra estructura modular y nuestros modelos de precios flexibles le dan la libertad de evolucionar. Con nuestra experiencia e información, siempre estará capacitado y nunca estará solo.

Con Microsoft Sentinel integración, puede correlacionar los datos de eventos de seguridad de la solución WithSecure Elements con datos de otros orígenes, lo que permite una amplia información general de todo el entorno y una reacción más rápida ante amenazas.

Con esta solución, Azure Function se implementa en el inquilino, sondea periódicamente los eventos de seguridad WithSecure Elements.

Para obtener más información, visite nuestro sitio web en: https://www.withsecure.com.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
WsSecurityEvents_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Con Credenciales de cliente de api de elementos de Seguridad: se requieren credenciales de cliente. Consulte la documentación para obtener más información.

Instrucciones de instalación:

1. Creación de credenciales de API withSecure Elements

Siga la guía del usuario para crear credenciales de la API de Elements. Guarde las credenciales en un lugar seguro.

2. Creación de una aplicación Microsoft Entra

Cree una nueva aplicación Microsoft Entra y credenciales. Siga las instrucciones y almacene los valores de Id. de directorio (inquilino), Id. de objeto, Id. de aplicación (cliente) y Secreto de cliente (desde el campo de credenciales de cliente). No olvide almacenar el secreto de cliente en un lugar seguro.

3. Implementar la aplicación de funciones

NOTA: Este conector usa Azure Functions para extraer registros de WithSecure Elements. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura las credenciales de cliente Microsoft Entra y las credenciales de cliente de la API WithSecure Elements en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

IMPORTANTE: Antes de implementar el conector WithSecure Elements, tenga el nombre del área de trabajo (se puede copiar de lo siguiente), los datos de Microsoft Entra (id. de directorio (inquilino), id. de objeto, identificador de aplicación (cliente) y secreto de cliente), así como las credenciales de cliente de WithSecure Elements, disponibles fácilmente.

• Nombre del área de trabajo: <valor variable proporcionado en tiempo de instalación>

Implementación de todos los recursos relacionados con el conector

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador del área de trabajo, Entra id. de cliente, Entra secreto de cliente, Entra identificador de inquilino, id. de cliente de la API de Elementos, secreto de cliente de la API de Elementos.

Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles. 4. También puede rellenar campos opcionales: Dirección URL de la API de Elementos, Motor, Grupo de motores. Use el valor predeterminado de la dirección URL de la API de Elementos a menos que tenga algún caso especial. El motor y el grupo de motores se asignan a los parámetros de solicitud de eventos de seguridad, rellene esos parámetros si solo está interesado en los eventos de un motor o grupo de motores específicos, en caso de que desee recibir todos los eventos de seguridad, deje los campos con valores predeterminados. 5. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 6. Haga clic en Comprar para implementar.

---

Wiz (mediante Azure Functions)

Compatible con:Wiz

El conector Wiz le permite enviar fácilmente los registros de wiz issues, vulnerability findings y auditar a Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL)	No	No
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL)	No	No
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL)	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales de la cuenta de servicio de Wiz: asegúrese de que tiene el identificador de cliente y el secreto de cliente de la cuenta de servicio wiz, la dirección URL del punto de conexión de API y la dirección URL de autenticación. Encontrará instrucciones en la documentación de Wiz.

Instrucciones de instalación:

NOTA: Este conector: usa Azure Functions para conectarse a wiz API para extraer los problemas de Wiz, los resultados de vulnerabilidades y los registros de auditoría en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información. Crea un Azure Key Vault con todos los parámetros necesarios almacenados como secretos.

PASO 1: Obtención de las credenciales de Wiz

Siga las instrucciones de la documentación de Wiz para obtener las credenciales requeridas.

PASO 2: Implementación del conector y la función de Azure asociada

IMPORTANTE: Antes de implementar Wiz Connector, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las credenciales de Wiz del paso anterior.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: Implementación mediante la plantilla de Azure Resource Manager (ARM)

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba los parámetros siguientes:

• Elija KeyVaultName y FunctionName para los nuevos recursos.

• Escriba las siguientes credenciales de Wiz del paso 1: WizAuthUrl, WizEndpointUrl, WizClientId y WizClientSecret.

• Escriba las credenciales del área de trabajo AzureLogsAnalyticsWorkspaceId y AzureLogAnalyticsWorkspaceSharedKey

• Elija los tipos de datos de Wiz que desea enviar a Microsoft Sentinel, elija al menos uno en Problemas de Wiz, Conclusiones de vulnerabilidades y Registros de auditoría.

• (opcional) siga la documentación de Wiz para agregar IssuesQueryFilter, VulnerbailitiesQueryFilter y AuditLogsQueryFilter.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.
5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de la función Azure

Siga la documentación de Wiz para implementar el conector manualmente.

---

Actividad de usuario de Workday

Compatible con:Microsoft Corporation

El conector de datos de actividad de usuario de Workday proporciona la capacidad de ingerir registros de actividad de usuario de workday API en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ASimAuditEventLogs	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Acceso a la API de actividad de usuario de Workday: se requiere acceso a la API de actividad de usuario de Workday a través de Oauth. El cliente de API debe tener el ámbito: Sistema y debe ser autorizado por una cuenta con permisos de auditoría del sistema.

Instrucciones de instalación:

Conéctese a Workday para empezar a recopilar registros de actividad de usuario en Microsoft Sentinel

1. En Workday, acceda a la tarea "Editar configuración de inquilino - Seguridad", compruebe la sección "Configuración de OAuth 2.0" y asegúrese de que la casilla "OAuth 2.0 Clients Enabled" (Clientes de OAuth 2.0 habilitados) esté activada.
2. En Workday, acceda a la tarea "Editar instalación de inquilino - Sistema", compruebe la sección "Registro de actividad de usuario" y asegúrese de que la casilla "Habilitar registro de actividad de usuario" esté activada.
3. En Workday, acceda a la tarea "Registrar cliente de API".
4. Defina el nombre de cliente, seleccione el "Tipo de concesión de cliente": "Concesión de código de autorización" y, a continuación, seleccione "Tipo de token de acceso": "Portador".
5. Escriba el "URI de redirección" que se encuentra en el formulario siguiente.
6. En la sección "Ámbito (áreas funcionales)", seleccione "Sistema" y haga clic en Aceptar en la parte inferior.
7. Copie el identificador de cliente y el secreto de cliente antes de salir de la página y almacénelo de forma segura.
8. En Sentinel, en la página del conector, proporcione los puntos de conexión necesarios de token, autorización y registros de actividad de usuario, junto con el identificador de cliente y el secreto de cliente del paso anterior. A continuación, haga clic en "Conectar".
9. Aparecerá un elemento emergente de Workday para completar la autenticación y autorización de OAuth2 del cliente de API. Aquí debe proporcionar credenciales para la cuenta de Workday con permisos de "Auditoría del sistema" en Workday (puede ser una cuenta de Workday o un usuario del sistema de integración).
10. Una vez que se haya completado, se mostrará el mensaje para autorizar al cliente de API.

• Punto de conexión de token: (https://wd2-impl-services1.workday.com/ccx/oauth2/{tenantName}/token)
• Punto de conexión de autorización: (https://impl.workday.com/{tenantName}/authorize)
• **Punto de conexión de registros de actividad de usuario, termina con /activityLogging **: (https://wd2-impl-services1.workday.com/ccx/api/privacy/v1/{tenantName}/activityLogging)

---

Workplace desde Facebook (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos de Workplace proporciona la capacidad de ingerir eventos comunes de Workplace en Microsoft Sentinel a través de Webhooks. Los webhooks permiten que las aplicaciones de integración personalizadas se suscriban a eventos en Workplace y reciban actualizaciones en tiempo real. Cuando se produce un cambio en Workplace, se envía una solicitud HTTPS POST con información de evento a una dirección URL del conector de datos de devolución de llamada. Consulte la documentación de Webhooks para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Workplace_Facebook_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de webhooks: WorkplaceAppSecret, WorkplaceVerifyToken y url de devolución de llamada son necesarios para trabajar con webhooks. Consulte la documentación para obtener más información sobre cómo configurar webhooks y configurar permisos.

Instrucciones de instalación:

NOTA: Este conector de datos usa Azure Functions basado en el desencadenador HTTP para esperar solicitudes POST con registros para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de Azure Functions.

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado, que se implementa como parte de la solución. Para ver el código de función en Log Analytics, abra la hoja Registros de Log Analytics/Microsoft Sentinel, haga clic en Funciones y busque el alias WorkplaceFacebook y cargue el código de función o haga clic aquí en la segunda línea de la consulta, escriba los nombres de host de los dispositivos workplace Facebook y cualquier otro identificador único para la secuencia de registros. La función normalmente tarda entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

PASO 1: Pasos de configuración del área de trabajo

Siga las instrucciones para configurar Webhooks.

1. Inicie sesión en Workplace con Administración credenciales de usuario.
2. En el panel Administración, haga clic en Integraciones.
3. En la vista Todas las integraciones, haga clic en Crear integración personalizada.
4. Escriba el nombre y la descripción y haga clic en Crear.
5. En el panel Detalles de integración, muestre El secreto de la aplicación y copie.
6. En el panel Permisos de integración , establezca todos los permisos de lectura. Consulte la página de permisos para obtener más información.
7. Ahora continúe con el PASO 2 para seguir los pasos (enumerados en la opción 1 o 2) para implementar la función Azure.
8. Escriba los parámetros solicitados y escriba también un token de su elección. Copie este token o anótela para el próximo paso.
9. Una vez completada correctamente la implementación de Azure Functions, abra la página Function App, seleccione la aplicación, vaya a Functions, haga clic en Get Function URL (Obtener dirección URL de función) y cópiela/Anotela para el próximo paso.
10. Volver a Workplace desde Facebook. En el panel Configurar webhooks en cada dirección URL de devolución de llamada del conjunto de pestañas como el mismo valor que copió en el punto 9 anterior y Compruebe el token como el mismo valor que copió en el punto 8 anterior, que se obtuvo durante el PASO 2 de Azure Functions implementación.
11. Haga clic en Guardar.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y el Azure Functions asociado

IMPORTANTE: Antes de implementar el conector de datos workplace, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Workplace mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba WorkplaceVerifyToken (puede ser cualquier expresión, cópiela y guárdela para el PASO 1), WorkplaceAppSecret e deploy. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar. 6. Después de implementar abrir la página Function App, seleccione la aplicación, vaya a Functions y haga clic en Get Function Url copy it and follow p.7 from STEP 1.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Sophos Endpoint Protection manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
2. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.
3. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

XBOW Security Platform (a través de Azure Function)

Compatible con:XBOW

El conector de datos XBOW ingiere instantáneas de recursos, hallazgos de vulnerabilidades y actividad de evaluación de la plataforma de seguridad XBOW en Microsoft Sentinel. Una función de Azure sondea la API de XBOW en un temporizador e inserta instantáneas JSON de recursos en XbowAssets_CL, resultados enriquecidos (con pruebas, recetas de PoC, impacto y mitigaciones) en XbowFindings_CLy eventos de ciclo de vida de evaluación en XbowAssessments_CL, mediante la API de ingesta de Azure Monitor (DCE/DCR).

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
XbowAssets_CL	No	No
XbowFindings_CL	No	No
XbowAssessments_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Token de API de XBOW: se requiere un token de acceso personal de XBOW. Genere uno en la consola XBOW en Configuración > Tokens de acceso personal. Establezca el ámbito del token a la organización que desea supervisar.
• Id. de organización de XBOW: el identificador de la organización de su cuenta de XBOW. Búscolo en la dirección URL de la consola XBOW o a través de la API.
• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Requisitos previos personalizados si es necesario; en caso contrario, elimine esta etiqueta de aduana: Descripción de los requisitos previos personalizados
• Azure registro de aplicaciones de AD: se requiere un registro de aplicación de AD Azure (entidad de servicio). Debe asignar manualmente el rol Publicador de métricas de supervisión en la regla de recopilación de datos (DCR) a este registro de aplicaciones después de la implementación.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions y Azure Monitor Ingestion API (DCE/DCR) para ingerir recursos, hallazgos y evaluaciones de XBOW en Microsoft Sentinel. La plantilla de ARM crea automáticamente el punto de conexión de recopilación de datos, las tablas de registro personalizadas (XbowAssets_CL, XbowFindings_CLy XbowAssessments_CL), la regla de recopilación de datos y function app. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions y Azure Página de precios de Monitor para obtener más información.

(Paso opcional) Almacene de forma segura las credenciales de registro de aplicaciones y token de API de XBOW en Azure Key Vault. Siga estas instrucciones para usar referencias de Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Generación de un token de API XBOW

1. Inicie sesión en la consola XBOW con acceso de administrador.
2. Haga clic en el icono de perfil (arriba a la derecha) y seleccione Configuración.
3. En la barra lateral izquierda, haga clic en Tokens de acceso personal.
4. Haga clic en Generar nuevo token, proporcione un nombre y seleccione el ámbito de la organización.
5. Copie y almacene el token de forma segura; no se mostrará de nuevo.
6. Anote el identificador de la organización desde la consola XBOW o desde la dirección URL al ver la organización.

PASO 2: Creación de un Azure registro de aplicaciones de AD y concesión de un rol DCR

1. En el portal de Azure, vaya a Azure Active Directory > Registros de aplicaciones > Nuevo registro.
2. Proporcione un nombre (por ejemplo, Xbow-Sentinel-Connector) y regístrese.
3. En Certificados & secretos, cree un nuevo secreto de cliente. Tenga en cuenta el identificador de inquilino, el identificador de cliente y el secreto de cliente.
4. Implemente el conector con el paso 3 siguiente y vuelva aquí.
5. Abra la regla de recopilación de datos implementada (desde las salidas de implementación o buscando en el grupo de recursos).
6. Vaya a Control de acceso (IAM) > Agregar asignación de roles.
7. Seleccione publicador de métricas de supervisión de roles.
8. Asigne acceso al registro de aplicaciones (entidad de servicio) creada anteriormente.
9. Espere unos minutos a la propagación de RBAC antes de comprobar la ingesta.

PASO 3: Implementación de la aplicación de funciones Azure

Haga clic en Implementar para Azure y rellene los parámetros. La plantilla creará automáticamente las tablas Punto de conexión de recopilación de datos, XbowAssets_CL, XbowFindings_CLy XbowAssessments_CL , Regla de recopilación de datos y Aplicación de funciones.

aka.ms

Parámetros que se van a rellenar:

Parámetro	Descripción
WorkspaceName	Nombre del área de trabajo de Log Analytics/Microsoft Sentinel
XbowApiToken	Token de acceso personal de XBOW del paso 1
XbowOrgId	Id. de organización de XBOW del paso 1
TenantId	Azure identificador de inquilino de AD del paso 2
ClientId	Id. de cliente de registro de aplicaciones del paso 2
ClientSecret	Secreto de cliente de registro de aplicaciones del paso 2
AppInsightsWorkspaceResourceID	Identificador de recurso completo del área de trabajo de Log Analytics (desde propiedades del área de trabajo > de Log Analytics)
FunctionAppLocation	Región de Azure opcional para los recursos de function app (el valor predeterminado es la ubicación del grupo de recursos)

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>

---

Segmento de redes cero (inserción)

Compatible con:Zero Networks

El conector de inserción de segmento de redes cero permite a Zero Networks enviar auditorías, actividades de red, actividades de identidad y actividades RPC directamente a Microsoft Sentinel en tiempo real. Implemente el conector para crear una regla de recopilación de datos (DCR) y Microsoft Entra aplicación; a continuación, configure la aplicación Zero Networks con los detalles de conexión para insertar eventos.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ZNAudit_CL	Sí	Sí
ZNNetworkActivity_CL	Sí	Sí
ZNIdentityActivity_CL	Sí	Sí
ZNRPCActivity_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere Entra rol de desarrollador de aplicaciones de identificador o superior.
• Microsoft Azure: permiso para asignar el rol publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente, requiere Azure rol propietario de RBAC o administrador de acceso de usuario.

Instrucciones de instalación:

1. Crear recursos de ARM y proporcionar los permisos necesarios

Implemente el conector de inserción para crear una tabla de Log Analytics, una regla de recopilación de datos (DCR), un punto de conexión de recopilación de datos (DCE) y una aplicación de Microsoft Entra. A continuación, configure la aplicación Zero Networks con los detalles de conexión.

La configuración automatizada al hacer clic en "Implementar" creará un DCR y DCE y, a continuación, un registro de aplicación Microsoft Entra con el secreto de cliente y concederá permisos en dcr. A continuación, la aplicación puede enviar datos de forma segura mediante las credenciales de cliente de OAuth 2.0.

2. Configuración de la aplicación Zero Networks

Use los valores siguientes para configurar la aplicación Zero Networks para insertar auditorías, actividades de red, actividades de identidad y actividades RPC en Microsoft Sentinel.

• Identificador de inquilino (id. de directorio):< valor de variable proporcionado en el momento de la instalación>
• Entra Id. de aplicación: <valor de variable proporcionado en tiempo de instalación>
• Entra secreto de aplicación: <valor de variable proporcionado en tiempo de instalación>
• URI del punto de conexión de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Identificador inmutable de la regla de recopilación de datos: <valor de variable proporcionado en tiempo de instalación>
• Stream: Auditorías: <valor de variable proporcionado en tiempo de instalación>
• Stream: Actividades de red: <valor de variable proporcionado en tiempo de instalación>
• Stream: Actividades de identidad: <valor de variable proporcionado en tiempo de instalación>
• Stream: Actividades RPC: <valor de variable proporcionado en tiempo de instalación>

---

Auditoría de segmentos de redes cero

Compatible con:Zero Networks

El conector de datos Detección de segmentos de redes cero proporciona la capacidad de ingerir eventos de auditoría de redes cero en Microsoft Sentinel a través de la API REST. Este conector de datos usa Microsoft Sentinel funcionalidad de sondeo nativo.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ZNSegmentAuditNativePoller_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Token de API de redes cero: ZeroNetworksAPIToken es necesario para la API REST. Consulte la Guía de API y siga las instrucciones para obtener credenciales.

Instrucciones de instalación:

Conexión de Zero Networks a Microsoft Sentinel

Escriba la dirección URL de la API de Zero Networks (por ejemplo, portal.zeronetworks.com). El conector agrega https:// y /api/v1/audit automáticamente. A continuación, proporcione la clave de API y haga clic en Conectar.

• Dirección URL de la API de Zero Networks: (portal.zeronetworks.com)
• ApiKey: (ApiKey)
• Habilitar o deshabilitar la conexión
• Data Connectors Grid (configurar en el portal)

---

ZeroFox CTI

Compatible con:ZeroFox

Los conectores de datos de ZeroFox CTI proporcionan la capacidad de ingerir las distintas alertas de inteligencia sobre amenazas cibernéticas zeroFox en Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ZeroFox_CTI_advanced_dark_web_CL	No	No
ZeroFox_CTI_botnet_CL	No	No
ZeroFox_CTI_breaches_CL	No	No
ZeroFox_CTI_C2_CL	No	No
ZeroFox_CTI_compromised_credentials_CL	No	No
ZeroFox_CTI_credit_cards_CL	No	No
ZeroFox_CTI_dark_web_CL	No	No
ZeroFox_CTI_discord_CL	No	No
ZeroFox_CTI_disruption_CL	No	No
ZeroFox_CTI_email_addresses_CL	No	No
ZeroFox_CTI_exploits_CL	No	No
ZeroFox_CTI_irc_CL	No	No
ZeroFox_CTI_malware_CL	No	No
ZeroFox_CTI_national_ids_CL	No	No
ZeroFox_CTI_phishing_CL	No	No
ZeroFox_CTI_phone_numbers_CL	No	No
ZeroFox_CTI_ransomware_CL	No	No
ZeroFox_CTI_telegram_CL	No	No
ZeroFox_CTI_threat_actors_CL	No	No
ZeroFox_CTI_vulnerabilities_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API de ZeroFox: se requieren el nombre de usuario de ZeroFox y el token de acceso personal de ZeroFox para la API REST de ZeroFox CTI.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API REST de CTI ZeroFox para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Recuperación de credenciales de ZeroFox:

Siga estas instrucciones para configurar el registro y obtener credenciales.

1. Inicie sesión en el sitio web de ZeroFox. con su nombre de usuario y contraseña 2: haga clic en el botón Configuración y vaya a la sección Conectores de datos. 3 - Seleccione la pestaña API DATA FEEDS y diríjase a la parte inferior de la página, seleccione <<Restablecer>> en el cuadro Información de API para obtener un token de acceso personal que se usará junto con su nombre de usuario.

PASO 2: Implementación de los conectores de datos Azure Function mediante la plantilla Azure Resource Manager:

IMPORTANTE: Antes de implementar el conector de datos zeroFox CTI, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente) fácilmente disponibles.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Preparación de recursos para la implementación.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos, el área de trabajo de Log Analytics y la ubicación preferidas.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, el nombre de usuario zeroFox, el token de acceso personal de ZeroFox.

5. Haga clic en Revisar y crear para implementar.

---

ZeroFox Enterprise: alertas (CCF de sondeo)

Compatible con:ZeroFox

Recopila alertas de ZeroFox API.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ZeroFoxAlertPoller_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Token de acceso personal (PAT) de ZeroFox: se requiere una pat de ZeroFox. Puede obtenerlo en fuentes de distribución de datos de LA API de Conectores> de datos.

Instrucciones de instalación:

Conexión de ZeroFox a Microsoft Sentinel

Conexión de ZeroFox a Microsoft Sentinel

• Proporcione su ZeroFox PAT: (Zerofox PAT)
• Habilitar o deshabilitar la conexión

---

Zimperium Mobile Threat Defense

Compatible con:Zimperium

El conector de Zimperium Mobile Threat Defense le permite conectar el registro de amenazas de Zimperium con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le proporciona más información sobre el panorama de amenazas móviles de su organización y mejora las funcionalidades de las operaciones de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ZimperiumThreatLog_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Instrucciones de instalación:

Configuración y conexión de Zimperium MTD

1. En zConsole, haga clic en Administrar en la barra de navegación.
2. Haga clic en la pestaña Integraciones .
3. Haga clic en el botón Informes de amenazas y, a continuación, en el botón Agregar integraciones .
4. Cree la integración:

• En las integraciones disponibles, seleccione Microsoft Microsoft Sentinel.
• Escriba el identificador del área de trabajo y la clave principal en los campos siguientes y haga clic en Siguiente.
• Rellene un nombre para la integración de Microsoft Sentinel.
• Seleccione un nivel de filtro para los datos de amenazas que desea insertar en Microsoft Sentinel.
• Haga clic en Finalizar

5. Para obtener instrucciones adicionales, consulte el portal de soporte al cliente de Zimperium.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

Informes de zoom (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos informes de Zoom proporciona la capacidad de ingerir eventos de Informes de Zoom en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Zoom_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de LA API REST: AccountID, ClientID y ClientSecret son necesarios para zoom API. Para obtener más información, consulte Zoom API. Siga las instrucciones para las configuraciones de Zoom API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a Zoom API para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado, que se implementa como parte de la solución. Para ver el código de función en Log Analytics, abra la hoja Registros de Log Analytics/Microsoft Sentinel, haga clic en Funciones y busque el alias Zoom y cargue el código de función o haga clic aquí. La función normalmente tarda entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

PASO 1: Pasos de configuración de Zoom API

Siga las instrucciones para obtener las credenciales.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos informes de Zoom, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Zoom Audit mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la región preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba AccountID, ClientID, ClientSecret, WorkspaceID, WorkspaceKey, Function Name y haga clic en Revisar y crear. 4. Por último, haga clic en Crear para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Informes de Zoom manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, ZoomXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

Paso 2: Configuración de la aplicación de funciones

1. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
2. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.
3. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): AccountID ClientID ClientSecret WorkspaceID WorkspaceKey logAnalyticsUri (opcional) Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.
4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Zoom Reports Connector (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos informes de Zoom le permite ingerir datos de Informes de Zoom en Microsoft Sentinel a través de la API REST de Zoom v2, lo que le permite supervisar y auditar el uso de Zoom en toda la organización. Este conector usa credenciales de cuenta de OAuth de servidor a servidor para la autenticación y admite la ingesta de varios tipos de informes, incluidos informes de uso diario para estadísticas de reuniones y métricas de uso, informes de usuario para información de host de usuarios activos o inactivos, informes de telefonía para estadísticas de uso de telefonía, informes de uso de grabación en la nube para el almacenamiento en la nube y uso de grabación, registros de operaciones para operaciones administrativas y seguimiento de auditoría, y registros de actividad para las actividades de inicio de sesión o cierre de sesión del usuario. Cada tipo de informe se recopila en una configuración de sondeo independiente con compatibilidad de paginación automática mediante NextPageToken. El conector de datos se basa en Microsoft Sentinel marco de conector sin código y admite transformaciones de tiempo de ingesta basadas en DCR para optimizar el rendimiento de las consultas.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
ZoomV2_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Acceso a la API de Zoom: acceso a la API REST de Zoom v2 con credenciales de cuenta

Instrucciones de instalación:

1. Configuración de Zoom

Configuración de la aplicación OAuth de servidor a servidor y recopilación de credenciales

Paso 1: Configurar la aplicación OAuth de zoom de servidor a servidor, siga Creación de una aplicación. Asegúrese de agregar ámbitos relacionados con informes a la aplicación:

• report:read:list_users:admin
• report:read:cloud_recording:admin
• report:read:daily_usage:admin
• report:read:operation_logs:admin
• report:read:telephone:admin
• report:read:user_activities:admin

Para obtener más información, vea Zoom Server-to-Server OAuth Documentation and Reports API (Documentación y API de informesde Zoom Server-to-Server OAuth).

Paso 2: Obtener las credenciales de la aplicación

Busque las credenciales de la aplicación (Id. de cuenta, Id. de cliente y Secreto de cliente) en la Personal app management página de Zoom App Marketplace.

Notas de seguridad

• Almacenar el identificador de cuenta, el identificador de cliente y el secreto de cliente de forma segura

• Rotación periódica de credenciales para mejorar la seguridad

  • Id. de cliente: (Id. de cliente de la aplicación Zoom)
  • Secreto de cliente: (Secreto de cliente de la aplicación zoom)
  • Id. de cuenta: (Su id. de cuenta de Zoom)
  • Dirección URL base del token: (https://zoom.us/oauth/token)
  • DIRECCIÓN URL base de API: (https://api.zoom.us/v2)

2. Conectar

Habilitación del conector de informes de Zoom

Activación del conector

Revise las credenciales de Zoom App que se encuentran en el paso 2 y, a continuación, habilite el conector para empezar a recopilar datos de informes de Zoom.

Supervisión

Compruebe la llegada de datos mediante estas consultas:

Compruebe todos los tipos de informe:

ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType

Compruebe el tipo de informe específico:

ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10

Supervisión del estado del conector:

ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc

• Habilitar o deshabilitar la conexión

---

Conectores de datos Sentinel en desuso

Nota:

En la tabla siguiente se enumeran los conectores de datos heredados y en desuso. Ya no se admiten los conectores en desuso.

[En desuso] Registros Auth0 (mediante la función Azure) (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Auth0 Logs (using Azure Function) proporciona la capacidad de ingerir eventos de registro Auth0 en Microsoft Sentinel

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Auth0AM_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de API REST: se requiere un token de API . Para obtener más información, consulte Token de API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a las API de administración de Auth0 para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración para la API de administración de Auth0

Siga las instrucciones para obtener las credenciales.

1. En el panel Auth0, vaya a Aplicaciones>.
2. Seleccione la aplicación. Debe ser una aplicación "Máquina a máquina" configurada con al menos permisos read:logs y read:logs_users .
3. Copiar dominio, ClientID, Secreto de cliente

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos de Auth0 Access Management, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Auth0 Access Management mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba el dominio, ClientID, secreto de cliente, AzureSentinelWorkspaceId, AzureSentinelSharedKey. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Auth0 Access Management manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, Auth0AMXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

[En desuso] Registro de auditoría de GitHub Enterprise

Compatible con:Microsoft Corporation

El conector de registro de auditoría de GitHub proporciona la capacidad de ingerir registros de GitHub en Microsoft Sentinel. Al conectar los registros de auditoría de GitHub a Microsoft Sentinel, puede ver estos datos en libros, usarlos para crear alertas personalizadas y mejorar el proceso de investigación.

Nota: Si tiene previsto ingerir eventos suscritos a GitHub en Microsoft Sentinel, consulte El conector de GitHub (mediante Webhooks) desde la galería "Conectores de datos".

NOTA: Este conector de datos ha quedado en desuso, considere la posibilidad de pasar al conector de datos CCF disponible en la solución que reemplaza la ingesta a través de la API de recopilador de datos HTTP en desuso.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
GitHubAuditLogPolling_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Token de acceso personal de la API de GitHub: necesita un token de acceso personal de GitHub para habilitar el sondeo para el registro de auditoría de la organización. Puede usar un token clásico con ámbito "read:org" o un token específico con el ámbito "Administración: solo lectura".
• Tipo de GitHub Enterprise: este conector solo funcionará con GitHub Enterprise Cloud; no admitirá GitHub Enterprise Server.

Instrucciones de instalación:

Conecte el registro de auditoría de nivel de organización de GitHub Enterprise a Microsoft Sentinel

Habilite los registros de auditoría de GitHub. Siga esta guía para crear o encontrar el token de acceso personal.

---

[En desuso] Conector de datos de Infoblox SOC Insight a través del agente heredado

Compatible con:Infoblox

Infoblox SOC Insight Data Connector le permite conectar fácilmente los datos de Infoblox BloxOne SOC Insight con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de la correlación & de búsqueda, las alertas y el enriquecimiento de inteligencia sobre amenazas para cada registro.

Este conector de datos ingiere los registros CDC de Infoblox SOC Insight en el área de trabajo de Log Analytics mediante el agente de Log Analytics heredado.

Microsoft recomienda la instalación de Infoblox SOC Insight Data Connector a través del conector AMA. El conector heredado usa el agente de Log Analytics que está a punto de quedar en desuso el 31 de agosto de 2024 y solo debe instalarse cuando no se admita AMA.

El uso de MMA y AMA en el mismo equipo puede provocar duplicación de registros y costos de ingesta adicionales. Más detalles.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CommonSecurityLog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Instrucciones de instalación:

Claves del área de trabajo

Para usar los cuadernos de estrategias como parte de esta solución, busque el identificador del área de trabajo y la clave principal del área de trabajo a continuación para su comodidad.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave del área de trabajo: <valor variable proporcionado en tiempo de instalación>

Analizadores

Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo esperado denominado InfobloxCDC_SOCInsights que se implementa con la solución Microsoft Sentinel.

SOC Insights

Este conector de datos supone que tiene acceso a Infoblox BloxOne Threat Defense SOC Insights. Puede encontrar más información sobre SOC Insights aquí.

Conector de datos en la nube de Infoblox

Este conector de datos supone que ya se ha creado y configurado un host de Infoblox Data Connector en infoblox Cloud Services Portal (CSP). Dado que Infoblox Data Connector es una característica de BloxOne Threat Defense, se requiere acceso a una suscripción de BloxOne Threat Defense adecuada. Consulte esta guía de inicio rápido para obtener más información y requisitos de licencia.

1. configuración del agente de Syslog Linux

Instale y configure el agente de Linux para recopilar los mensajes de Syslog de Common Event Format (CEF) y reenviarlos a Microsoft Sentinel.

Observe que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

1.1 Seleccione o cree una máquina Linux

Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel esta máquina puede estar en el entorno local, Azure u otras nubes.

1.2 Instale el recopilador cef en la máquina Linux

Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto 514 TCP.

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python -version.

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para instalar y aplicar el valor de variable cef collector:: <proporcionado en el momento de la instalación.>

2. En infoblox Cloud Services Portal, configure Infoblox BloxOne para enviar datos de CEF Syslog al conector de datos en la nube de Infoblox para reenviarlos al agente de Syslog.

Siga los pasos siguientes para configurar infoblox CDC para enviar datos de BloxOne a Microsoft Sentinel a través del agente de Syslog de Linux.

1. Vaya a Administrar > conector de datos.
2. Haga clic en la pestaña Configuración de destino en la parte superior.
3. Haga clic en Crear > Syslog.

• Nombre: asigne al nuevo destino un nombre significativo, como Microsoft-Sentinel-Destination.
• Descripción: opcionalmente, déle una descripción significativa.
• Estado: establezca el estado en Habilitado.
• Formato: establezca el formato en CEF.
• FQDN/IP: escriba la dirección IP del dispositivo Linux en el que está instalado el agente de Linux.
• Puerto: deje el número de puerto en 514.
• Protocolo: seleccione el protocolo deseado y el certificado de ca si procede.
• Haga clic en Guardar & Cerrar.

4. Haga clic en la pestaña Configuración del flujo de tráfico en la parte superior.
5. Haga clic en Crear.

• Nombre: asigne al nuevo flujo de tráfico un nombre significativo, como Microsoft-Sentinel-Flow.
• Descripción: opcionalmente, déle una descripción significativa.
• Estado: establezca el estado en Habilitado.
• Expanda la sección Instancia de servicio .
• Instancia de servicio: seleccione la instancia de servicio deseada para la que está habilitado el servicio Data Connector.
• Expanda la sección Configuración de origen .
• Origen: seleccione BloxOne Cloud Source (Origen en la nube de BloxOne).
• Seleccione el Tipo de registro de notificaciones internas .
• Expanda la sección Configuración de destino .
• Seleccione el destino que acaba de crear.
• Haga clic en Guardar & Cerrar.

6. Permita que la configuración se active algún tiempo.

3. Validar la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben mediante el esquema CommonSecurityLog.

La conexión puede tardar unos 20 minutos en transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

1. Asegúrese de que tiene Python en el equipo mediante el siguiente comando: python -version

2. Debe tener permisos elevados (sudo) en el equipo.

• Ejecute el siguiente comando para validar la conectividad:: <valor de variable proporcionado en tiempo de instalación.>

**4. Protección de la máquina **

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Aprende más >

---

[En desuso] Registros de seguridad de IONIX (inserción)

Compatible con:IONIX

⚠️ Este conector está en desuso y se quitará en junio de 2026. En su lugar, use el nuevo conector "Registros de seguridad de IONIX (a través de Codeless Connector Framework)", que proporciona sondeo diario automático sin necesidad de configuración manual en el portal de IONIX.

---

El conector de datos de registros de seguridad de IONIX ingiere registros del sistema IONIX directamente en Sentinel. El conector permite a los usuarios visualizar sus datos, crear alertas e incidentes y mejorar las investigaciones de seguridad.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CyberpionActionItems_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Suscripción de IONIX: se requiere una suscripción y una cuenta para los registros de IONIX. Uno se puede adquirir aquí.

Instrucciones de instalación:

Siga las instrucciones para integrar alertas de seguridad de IONIX en Sentinel.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

---

[En desuso] Lookout

Compatible con:Lookout

El conector de datos de Lookout proporciona la capacidad de ingerir eventos de Lookout en Microsoft Sentinel a través de Mobile Risk API. Consulte la documentación de la API para obtener más información. El conector de datos de Lookout proporciona la capacidad de obtener eventos que ayudan a examinar posibles riesgos de seguridad y mucho más.

NOTA: Este conector de datos ha quedado en desuso, considere la posibilidad de pasar al conector de datos CCF disponible en la solución que reemplaza la ingesta a través de la API de recopilador de datos HTTP en desuso.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Lookout_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de Mobile Risk API: enterprisename & ApiKey son necesarios para Mobile Risk API. Para obtener más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Instrucciones de instalación:

NOTA: Este conector de datos de Lookout usa Azure Functions para conectarse a Mobile Risk API para extraer sus eventos en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione como se esperaba LookoutEvents, que se implementa con la solución Microsoft Sentinel.

PASO 1: Pasos de configuración de Mobile Risk API

Siga las instrucciones para obtener las credenciales.

PASO 2: Siga las instrucciones mencionadas a continuación para implementar el conector de datos de Lookout y la función de Azure asociada.

IMPORTANTE: Antes de iniciar la implementación del conector de datos de Lookout , asegúrese de tener listos el identificador del área de trabajo y la clave del área de trabajo (se puede copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave del área de trabajo: <valor variable proporcionado en tiempo de instalación>

Plantilla de Azure Resource Manager (ARM)

Siga los pasos siguientes para la implementación automatizada del conector de datos de Lookout mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la región preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba el nombre de la función, el identificador del área de trabajo, la clave del área de trabajo, el nombre de la empresa & clave de api e implemente. 4. Haga clic en Crear para implementar.

---

[En desuso] Registros y eventos de Microsoft Exchange

Compatible con:Community

En desuso, use los dataconnectors "ESI-Opt". Puede transmitir todos los eventos de Auditoría de Exchange, registros de IIS, registros de proxy HTTP y registros de eventos de seguridad desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación. Los libros de seguridad de Microsoft Exchange lo usan para proporcionar información de seguridad del entorno local de Exchange.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Event	Sí	No
SecurityEvent	Sí	Sí
W3CIISLog	Sí	No
MessageTrackingLog_CL	Sí	Sí
ExchangeHttpProxy_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Azure Log Analytics estará en desuso, para recopilar datos de máquinas virtuales que no son Azure, se recomienda Azure Arc. Más información
• Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí. >

Instrucciones de instalación:

NOTA: Esta solución se basa en opciones. Esto le permite elegir qué datos se van a ingerir, ya que algunas opciones pueden generar un volumen muy alto de datos. En función de lo que quiera recopilar, realice un seguimiento de los libros, las reglas de análisis y las funcionalidades de búsqueda, elija las opciones que va a implementar. Cada opción es independiente de una de la otra. Para obtener más información sobre cada opción: wiki "Seguridad de Microsoft Exchange"

1. Descargue e instale los agentes necesarios para recopilar registros de Microsoft Sentinel

El tipo de servidores (servidores de Exchange, controladores de dominio vinculados a servidores exchange o todos los controladores de dominio) depende de la opción que quiera implementar.

Implementación de agentes de supervisión

Este paso solo es necesario si es la primera vez que incorpora los servidores o controladores de dominio de Exchange.

Seleccione el agente que desea instalar en los servidores para recopilar registros:

[Preferido] Agente de Azure Monitor a través de Azure Arc

Implementación de Azure Agente de Arc Más información

Instalar Azure agente de Log Analytics (en desuso el 31/08/2024)

1. Descargue el Azure agente de Log Analytics y elija el método de implementación en el vínculo siguiente.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

2. Implemente la injestion de registro siguiendo las opciones elegidas.

[Opción 1] Recopilación de registros de administración de MS Exchange

Seleccione cómo transmitir registros de eventos de MS Exchange Administración Auditar

Registros de eventos de MS Exchange Administración Audit

Reglas de recopilación de datos: cuando se usa Azure Agente de Supervisión

Habilitar la regla de recopilación de datos Microsoft Exchange Administración los registros de eventos de auditoría solo se recopilan de agentes de Windows.

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada de DCR.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el nombre del área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

R. Creación de DCR, registro de eventos de tipo

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios, Seleccione Windows como tipo de plataforma y asigne un nombre al DCR.
4. En la pestaña Recursos , escriba Servidores Exchange.
5. En "Recopilar y entregar", agregue un tipo de origen de datos "Registros de eventos de Windows" y seleccione la opción "Personalizado", escriba "Administración de MSExchange" como expresión y agréguelo.
6. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

Reglas de recopilación de datos: cuando se usa el agente de Log Analytics Azure heredado

Configuración de los registros que se van a recopilar

Configure los eventos que desea recopilar y sus gravedades.

1. En Administración de agentes heredados del área de trabajo, seleccione Registros de eventos de Windows.
2. Haga clic en Agregar registro de eventos de Windows y escriba MSExchange Management como nombre del registro.
3. Recopilar tipos de error, advertencia e información
4. Haga clic en Guardar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

[Opción 2] Registros de seguridad, aplicación o sistema de servidores exchange

Seleccione cómo transmitir registros de seguridad, aplicación o sistema de servidores exchange

Recopilación de registros de eventos de seguridad

Reglas de recopilación de datos: registros de eventos de seguridad

Habilitar la regla de recopilación de datos para registros de seguridad Los registros de eventos de seguridad solo se recopilan de agentes de Windows .

1. Agregar servidores exchange en la pestaña Recursos .
2. Seleccione Nivel de registro de seguridad

El nivel común es el mínimo necesario. Seleccione "Común" o "Todos los eventos de seguridad" en la definición de DCR.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

Recopilación de registros de eventos de aplicación y sistema

Reglas de recopilación de datos: cuando se usa Azure Agente de Supervisión

Habilitar la regla de recopilación de datos Los registros de eventos de sistema y aplicación solo se recopilan de agentes de Windows .

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada de DCR.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el nombre del área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

R. Creación de DCR, registro de eventos de tipo

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios, Seleccione Windows como tipo de plataforma y asigne un nombre al DCR.
4. En la pestaña Recursos , escriba Servidores Exchange.
5. En "Recopilar y entregar", agregue un tipo de origen de datos "Registros de eventos de Windows" y seleccione la opción "Básico".
6. En Aplicación, seleccione "Crítico", "Error" y "Advertencia". En Sistema, seleccione Crítico/Error/Advertencia/Información.
7. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

Reglas de recopilación de datos: cuando se usa el agente de Log Analytics Azure heredado

Configuración de los registros que se van a recopilar

Configure los eventos que desea recopilar y sus gravedades.

1. En Configuración avanzada del área de trabajo , seleccione Datos y, a continuación, Registros de eventos de Windows.
2. Haga clic en Agregar registro de eventos de Windows y busque Aplicación como nombre del registro.
3. Haga clic en Agregar registro de eventos de Windows y busque Sistema como nombre del registro.
4. Recopilar tipos de error (para todos), advertencia (para todos) e información (para el sistema)
5. Haga clic en Guardar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

[Opción 3 y 4] Registros de seguridad de controladores de dominio

Seleccione cómo transmitir registros de seguridad de controladores de dominio. Si desea implementar la opción 3, solo tiene que seleccionar CONTROLADOR de dominio en el mismo sitio que los servidores de Exchange. Si desea implementar la opción 4, puede seleccionar todos los controladores de dominio del bosque.

[Opción 3] Enumerar solo los controladores de dominio en el mismo sitio que los servidores de Exchange para el paso siguiente

Esto limita la cantidad de datos injested, pero no se puede detectar algún incidente.

[Opción 4] Enumere todos los controladores de dominio del bosque de Active-Directory para el paso siguiente.

Esto permite recopilar todos los eventos de seguridad

Recopilación de registros de eventos de seguridad

Reglas de recopilación de datos: registros de eventos de seguridad

Habilitar la regla de recopilación de datos para registros de seguridad Los registros de eventos de seguridad solo se recopilan de agentes de Windows .

1. Agregue los controladores de dominio elegidos en la pestaña Recursos .
2. Seleccione Nivel de registro de seguridad

El nivel común es el mínimo necesario. Seleccione "Común" o "Todos los eventos de seguridad" en la definición de DCR.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

[Opción 5] Registros de IIS de servidores Exchange

Seleccione cómo transmitir registros de IIS de servidores Exchange.

Reglas de recopilación de datos: cuando se usa Azure Agente de Supervisión

Habilitar los registros de IIS de la regla de recopilación de datos solo se recopilan de agentes de Windows .

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada de DCE y DCR.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Puede cambiar el nombre propuesto del DCE.

4. Haga clic en Crear para implementar.

B. Implementación de una regla de conexión de datos

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el id. de área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. En el portal de Azure, vaya a Azure punto de conexión de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios y asigne un nombre al DCE.
4. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

B. Creación de DCR, registro de IIS de tipo

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios, Seleccione Windows como tipo de plataforma y asigne un nombre al DCR. Seleccione el DCE creado.
4. En la pestaña Recursos , escriba Servidores Exchange.
5. En "Recopilar y entregar", agregue un tipo de origen de datos "Registros de IIS" (no escriba una ruta de acceso si la ruta de acceso de los registros de IIS está configurada de forma predeterminada). Haga clic en "Agregar origen de datos".
6. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

Reglas de recopilación de datos: cuando se usa el agente de Log Analytics Azure heredado

Configuración de los registros que se van a recopilar

Configure los eventos que desea recopilar y sus gravedades.

1. En Configuración avanzada del área de trabajo , seleccione Datos y, a continuación, Registros de IIS.
2. Compruebe Recopilar archivos de registro de IIS con formato W3C
3. Haga clic en Guardar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

[Opción 6] Seguimiento de mensajes de servidores exchange

Seleccionar cómo transmitir el seguimiento de mensajes de servidores exchange

Reglas de recopilación de datos: cuando se usa Azure Agente de Supervisión

Habilitar la regla de recopilación de datos El seguimiento de mensajes solo se recopila de agentes de Windows .

Nota: Atención, los registros personalizados del Agente de supervisión están en versión preliminar. La implementación no funciona según lo previsto por el momento (marzo de 2023).

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada de DCE y DCR.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Puede cambiar el nombre propuesto del DCE.

4. Haga clic en Crear para implementar.

B. Implementación de una regla de conexión de datos y una tabla personalizada

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el id. de área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. En el portal de Azure, vaya a Azure punto de conexión de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios y asigne un nombre al DCE, como ESI-ExchangeServers.
4. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

B. Creación de una tabla DCR personalizada

1. Descargue el archivo de ejemplo de Microsoft Sentinel GitHub.

2. En el portal de Azure, vaya a Análisis del área de trabajo y seleccione el área de trabajo de destino.

3. Haga clic en "Tablas", haga clic en + Crear en la parte superior y seleccione Nuevo registro personalizado (basado en DCR).

4. En la pestaña Aspectos básicos, escriba MessageTrackingLog en el nombre de la tabla, cree una regla de recopilación de datos con el nombre DCR-Option6-MessageTrackingLogs (por ejemplo) y seleccione el punto de conexión de recopilación de datos creado anteriormente.

5. En la pestaña Esquema y transformación, elija el archivo de ejemplo descargado y haga clic en Editor de transformación.

6. En el campo de transformación, escriba la siguiente solicitud KQL: source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']

7. Haga clic en "Ejecutar" y después en "Aplicar".

8. Haga clic en Siguiente y, a continuación, en Crear.

C. Modificación del dcr creado, escriba registro personalizado

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Seleccione el DCR creado anteriormente, como DCR-Option6-MessageTrackingLogs.
3. En la pestaña Recursos , escriba Servidores Exchange.
4. En Orígenes de datos, agregue un tipo de origen de datos "Registros de texto personalizado" y escriba "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" en el patrón de archivo, "MessageTrackingLog_CL" en Nombre de tabla. 6.in campo Transformar, escriba la siguiente solicitud KQL: source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIpIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
5. Haga clic en "Agregar origen de datos".

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

Reglas de recopilación de datos: cuando se usa el agente de Log Analytics Azure heredado

Configuración de los registros que se van a recopilar

1. En el elemento Configuración del área de trabajo, seleccione Tablas, haga clic en + Crear y haga clic en Nuevo registro personalizado (basado en MMA).
2. Seleccione MessageTracking Sample (Ejemplo de seguimiento del archivo de ejemplo) y haga clic en Siguiente.
3. Seleccione el tipo Windows y escriba la ruta de acceso C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log. Haga clic en Siguiente.
4. Escriba MessageTrackingLog como nombre de tabla y haga clic en Siguiente.
5. Haga clic en Guardar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

[Opción 7] Proxy HTTP de servidores exchange

Seleccione cómo transmitir el proxy HTTP de servidores exchange

Reglas de recopilación de datos: cuando se usa Azure Agente de Supervisión

Habilitar la regla de recopilación de datos El seguimiento de mensajes solo se recopila de agentes de Windows .

Nota: Atención, los registros personalizados del Agente de supervisión están en versión preliminar. La implementación no funciona según lo previsto por el momento (marzo de 2023).

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada de DCE y DCR.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Puede cambiar el nombre propuesto del DCE.

4. Haga clic en Crear para implementar.

B. Implementación de una regla de conexión de datos

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el id. de área de trabajo "u otros campos obligatorios".

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.

5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Automation

Use las siguientes instrucciones paso a paso para implementar manualmente una regla de recopilación de datos.

R. Crear DCE (si aún no se ha creado para servidores exchange)

1. En el portal de Azure, vaya a Azure punto de conexión de recopilación de datos.
2. Haga clic en + Crear en la parte superior.
3. En la pestaña Aspectos básicos , rellene los campos necesarios y asigne un nombre al DCE.
4. "Realice otros cambios de configuración preferibles", si es necesario y, a continuación, haga clic en Crear.

B. Creación de una tabla DCR personalizada

1. Descargue el archivo de ejemplo de Microsoft Sentinel GitHub.
2. En el portal de Azure, vaya a Análisis del área de trabajo y seleccione el área de trabajo de destino.
3. Haga clic en "Tablas", haga clic en + Crear en la parte superior y seleccione Nuevo registro personalizado (basado en DCR).
4. En la pestaña Aspectos básicos, escriba ExchangeHttpProxy en nombre de tabla, cree una regla de recopilación de datos con el nombre DCR-Option7-HTTPProxyLogs (por ejemplo) y seleccione el punto de conexión de recopilación de datos creado anteriormente.
5. En la pestaña Esquema y transformación, elija el archivo de ejemplo descargado y haga clic en Editor de transformación.
6. En el campo de transformación, escriba la siguiente solicitud KQL: *source | extend TimeGenerated = todatetime(DateTime) | fecha y hora de distancia del proyecto

8. Haga clic en "Ejecutar" y después en "Aplicar".
9. Haga clic en Siguiente y, a continuación, en Crear.

C. Modificación del dcr creado, escriba registro personalizado

1. En el portal de Azure, vaya a Azure reglas de recopilación de datos.
2. Seleccione el DCR creado anteriormente, como DCR-Option7-HTTPProxyLogs.
3. En la pestaña Recursos , escriba Servidores Exchange.
4. En Orígenes de datos, agregue un tipo de origen de datos "Registros de texto personalizado" y escriba "C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log" en el patrón de archivo, "ExchangeHttpProxy_CL" en Nombre de tabla. 6.in campo Transformar, escriba la siguiente solicitud KQL: source | extend TimeGenerated = todatetime(DateTime) | project-away DateTime
5. Haga clic en "Agregar origen de datos".

Asignar la DCR a todos los servidores de Exchange

Agregar todos los servidores de Exchange al DCR

Reglas de recopilación de datos: cuando se usa el agente de Log Analytics Azure heredado

Configuración de los registros que se van a recopilar

1. En el elemento Configuración del área de trabajo, seleccione Tablas, haga clic en + Crear y haga clic en Nuevo registro personalizado (basado en MMA).
2. Seleccione MessageTracking Sample (Ejemplo de seguimiento del archivo de ejemplo) y haga clic en Siguiente.
3. Seleccione el tipo Windows y escriba todas las rutas de acceso siguientes C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log, C:\Program Files\Microsoft\Exchange Server\V15\ Logging\HttpProxy\Oab*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log y C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log . Haga clic en Siguiente.
4. Escriba ExchangeHttpProxy como nombre de tabla y haga clic en Siguiente.
5. Haga clic en Guardar.

• Instalar agente: <valor de variable proporcionado en el momento de la instalación>

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado. Los analizadores se implementan automáticamente con la solución. Siga los pasos para crear el alias de Kusto Functions: ExchangeAdminAuditLogs

Los analizadores se implementan automáticamente durante la implementación de la solución. Si desea realizar la implementación manualmente, siga los pasos que se indican a continuación.

Implementación manual del analizador

1. Descargar el archivo del analizador

La versión más reciente del archivo ExchangeAdminAuditLogs

2. Creación de la función Parser ExchangeAdminAuditLogs

En el explorador de registros del análisis de registros del Microsoft Sentinel, copie el contenido del archivo en el Explorador de registros.

3. Guardar función ExchangeAdminAuditLogs del analizador

Haga clic en el botón Guardar. No se necesita ningún parámetro para este analizador. Vuelva a hacer clic en Guardar.

---

[En desuso] Okta Single Sign-On (con la función Azure) (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector Okta Single Sign-On (SSO) (mediante Azure Function) proporciona la capacidad de ingerir registros de eventos y auditoría de la API de Okta en Microsoft Sentinel. El conector proporciona visibilidad sobre estos tipos de registro en Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las funcionalidades de supervisión e investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Okta_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Token de API de Okta: se requiere un token de API de Okta. Consulte la documentación para obtener más información sobre Okta System Log API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse al inicio de sesión único de Okta para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

NOTA: Este conector se ha actualizado, si ha implementado anteriormente una versión anterior y quiere actualizarlo, elimine la función okta Azure existente antes de volver a implementar esta versión.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración de la API de Inicio de sesión único de Okta

Siga estas instrucciones para crear un token de API.

Nota: Para obtener más información sobre las restricciones de límite de velocidad aplicadas por Okta, consulte la documentación.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de Okta SSO, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como el token de autorización de la API de SSO de Okta, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Este método proporciona una implementación automatizada del conector de Okta SSO mediante una instancia de ARM Tempate.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, el token de API y el URI.

• Use el esquema siguiente para el uri valor: https://<OktaDomain>/api/v1/logs?since= Reemplace por <OktaDomain> el dominio. Haga clic aquí para obtener más detalles sobre cómo identificar el espacio de nombres del dominio Okta. No es necesario agregar un valor de hora al URI; la aplicación de funciones anexará dinámicamente la hora de inicio inicial de los registros a UTC 0:00 para la fecha UTC actual como valor de hora al URI en el formato adecuado.
• Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.
5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de Okta SSO manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
3. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.
4. Agregue cada una de las cinco (5) opciones de configuración de aplicación siguientes individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): apiToken workspaceID workspaceKey uri logAnalyticsUri (opcional)

• Use el esquema siguiente para el uri valor: https://<OktaDomain>/api/v1/logs?since= Reemplace por <OktaDomain> el dominio. Haga clic aquí para obtener más detalles sobre cómo identificar el espacio de nombres del dominio Okta. No es necesario agregar un valor de hora al URI; la aplicación de funciones anexará dinámicamente la hora de inicio inicial de los registros a UTC 0:00 para la fecha UTC actual como valor de hora al URI en el formato adecuado.
• Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.
• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://< CustomerId.ods.opinsights.azure.us>.

5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

[En desuso] SentinelOne (mediante la función Azure) (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos SentinelOne proporciona la capacidad de ingerir objetos de servidor SentinelOne comunes, como amenazas, agentes, aplicaciones, actividades, directivas, grupos y más eventos en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview para obtener más información. El conector permite la recuperación de eventos para evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SentinelOne_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de la API REST: SentinelOneAPIToken es necesario. Consulte la documentación para obtener más información sobre la https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewAPI en .

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a la API SentinelOne para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función kusto para que funcione según lo esperado, que se implementa como parte de la solución. Para ver el código de función en Log Analytics, abra la hoja Log Analytics/Microsoft Sentinel Logs, haga clic en Funciones y busque el alias SentinelOne y cargue el código de función o haga clic aquí. La función normalmente tarda entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

PASO 1: Pasos de configuración para la API SentinelOne

Siga las instrucciones para obtener las credenciales.

1. Inicie sesión en la consola de administración de SentinelOne con Administración credenciales de usuario.
2. En la consola de administración, haga clic en Configuración.
3. En la vista CONFIGURACIÓN, haga clic en USUARIOS.
4. Haga clic en Nuevo usuario.
5. Escriba la información del nuevo usuario de consola.
6. En Rol, seleccione Administración.
7. Haga clic en GUARDAR
8. Guarde las credenciales del nuevo usuario para usarlas en el conector de datos.

NOTA:- Administración el acceso se puede delegar mediante roles personalizados. Revise la documentación de SentinelOne para obtener más información sobre RBAC personalizado.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos SentinelOne, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos SentinelOne Audit mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba SentinelOneAPIToken, SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) e implemente. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de SentinelOne Reports manualmente con Azure Functions (Implementación a través de Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Elija el icono de Azure en la barra De actividad y, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones. Si aún no ha iniciado sesión, elija el icono de Azure en la barra actividad y, a continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure Si ya ha iniciado sesión, vaya al paso siguiente.

5. Proporcione la siguiente información en los mensajes:

   a. Seleccionar carpeta: Elija una carpeta del área de trabajo o vaya a una que contenga la aplicación de funciones.

   b. Seleccione Suscripción: Elija la suscripción que se va a usar.

   c. Seleccione Crear nueva aplicación de funciones en Azure (no elija la opción Avanzadas)

   d. Escriba un nombre único global para la aplicación de funciones: Escriba un nombre que sea válido en una ruta de acceso de dirección URL. El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, SOneXXXXX).

   e. Seleccione un entorno de ejecución: Elija Python 3.11.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.

7. Vaya a Azure Portal para la configuración de Function App.

8. Configuración de la aplicación de funciones

9. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

10. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.

11. Agregue cada una de las siguientes configuraciones de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

[En desuso] Sophos Endpoint Protection (mediante Azure Function) (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos de Sophos Endpoint Protection proporciona la capacidad de ingerir eventos de Sophos en Microsoft Sentinel. Consulte la documentación de Sophos Central Administración para obtener más información.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SophosEP_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Credenciales o permisos de API REST: se requiere un token de API . Para obtener más información, consulte Token de API.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a las API de Sophos Central para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

NOTA: Este conector de datos depende de un analizador basado en una función de Kusto para que funcione como se esperaba SophosEPEvent, que se implementa con la solución Microsoft Sentinel.

PASO 1: Pasos de configuración de Sophos Central API

Siga las instrucciones para obtener las credenciales.

1. En Sophos Central Administración, vaya a Global Settings > API Token Management.
2. Para crear un nuevo token, haga clic en Agregar token en la esquina superior derecha de la pantalla.
3. Seleccione un nombre de token y haga clic en Guardar. Se muestra el resumen del token de API para este token.
4. Haga clic en Copiar para copiar la dirección URL de acceso de API y los encabezados de la sección Resumen de token de API en el Portapapeles.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector de datos de Sophos Endpoint Protection, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se puede copiar de la siguiente).

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Sophos Endpoint Protection mediante una instancia de ARM Tempate.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

NOTA: Dentro del mismo grupo de recursos, no se pueden combinar windows y Linux aplicaciones en la misma región. Seleccione un grupo de recursos existente sin aplicaciones de Windows en él o cree un nuevo grupo de recursos. 3. Escriba la dirección URL y los encabezados de Sophos API Access, AzureSentinelWorkspaceId, AzureSentinelSharedKey. 4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos de Sophos Endpoint Protection manualmente con Azure Functions (Implementación a través de Visual Studio Code).

Paso 1: Implementación de una aplicación de funciones

NOTA: Tendrá que preparar el código vs para el desarrollo de Azure función.

1. Descargue el archivo Azure Function App. Extraiga el archivo en el equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los pasos siguientes para configurarla.

Paso 2: Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de Function App.
2. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.
3. En la pestaña Configuración de la aplicación, seleccione Nueva configuración de aplicación.
4. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

5. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

[En desuso] VMware Carbon Black Cloud (mediante la función Azure) (mediante Azure Functions)

Compatible con:Microsoft

El conector VMware Carbon Black Cloud proporciona la capacidad de ingerir datos de Carbon Black en Microsoft Sentinel. El conector proporciona visibilidad de los registros de auditoría, notificación y eventos en Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las funcionalidades de supervisión e investigación.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
CarbonBlackEvents_CL	No	No
CarbonBlackNotifications_CL	No	No
CarbonBlackAuditLogs_CL	No	No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Requisitos previos:

• Permisos microsoft.web/sites: se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Para obtener más información, consulte Azure Functions.
• Claves de VMware Carbon Black API: se requieren las claves de API carbon black y/o siem level api. Consulte la documentación para obtener más información sobre Carbon Black API.
• Se requiere un identificador de API de nivel de acceso de Carbon Black API y una clave para los registros de eventos y auditoría.
• Para las alertas de notificación, se requiere un identificador de API y una clave de nivel de acceso SIEM de Carbon Black.
• Credenciales o permisos de la API REST de Amazon S3: se requiere el id. de clave de acceso de AWS, la clave de acceso secreta de AWS, el nombre del bucket de AWS S3 y el nombre de la carpeta en el bucket de AWS S3 para la API REST de Amazon S3.

Instrucciones de instalación:

NOTA: Este conector usa Azure Functions para conectarse a VMware Carbon Black para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.

PASO 1: Pasos de configuración para VMware Carbon Black API

Siga estas instrucciones para crear una clave de API.

PASO 2: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada.

IMPORTANTE: Antes de implementar el conector VMware Carbon Black, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización de VMware Carbon Black API, disponibles fácilmente.

• Identificador del área de trabajo: <valor de variable proporcionado en el momento de la instalación>
• Clave principal: <valor de variable proporcionado en tiempo de instalación>

Opción 1: plantilla de Azure Resource Manager (ARM)

Este método proporciona una implementación automatizada del conector VMware Carbon Black mediante un tempate de ARM.

1. Haga clic en el botón Implementar en Azure siguiente.

   aka.msaka.ms

2. Seleccione la suscripción, el grupo de recursos y la ubicación preferidos.

3. Escriba el identificador del área de trabajo, la clave del área de trabajo, los tipos de registro, los identificadores de API, las claves de API, la clave de organización de Carbon Black, el nombre del bucket de S3, el id. de clave de acceso de AWS, la clave de acceso secreta de AWS, EventPrefixFolderName, AlertPrefixFolderName y valide el URI.

• Escriba el URI que corresponde a su región. Puede encontrar la lista completa de direcciones URL de API aquí.
• El intervalo de tiempo predeterminado se establece para extraer los últimos cinco (5) minutos de datos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de la aplicación de funciones en consecuencia (en el archivo function.json, después de la implementación) para evitar la ingesta de datos superpuesta.
• Carbon Black requiere un conjunto independiente de claves o identificadores de API para ingerir alertas de notificación. Escriba el id. de API siem/Valores de clave o deje en blanco, si no es necesario.
• Nota: Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.

4. Marque la casilla con la etiqueta Acepto los términos y condiciones indicados anteriormente.
5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector VMware Carbon Black manualmente con Azure Functions.

1. Creación de una aplicación de funciones

2. En Azure Portal, vaya a Function App y seleccione + Agregar.

3. En la pestaña Aspectos básicos, asegúrese de que la pila en tiempo de ejecución está establecida en Powershell Core.

4. En la pestaña Hospedaje, asegúrese de que el tipo de plan Consumo (sin servidor) está seleccionado.

5. Realice otros cambios de configuración preferibles, si es necesario, y, a continuación, haga clic en Crear.

6. Importar código de aplicación de función

7. En la aplicación de funciones recién creada, seleccione Funciones en el panel izquierdo y haga clic en + Agregar.

8. Seleccione Desencadenador de temporizador.

9. Escriba un nombre de función único y modifique la programación cron, si es necesario. El valor predeterminado se establece para ejecutar function app cada 5 minutos. (Nota: el desencadenador de temporizador debe coincidir con el timeInterval valor siguiente para evitar la superposición de datos), haga clic en Crear.

10. Haga clic en Código y prueba en el panel izquierdo.

11. Copie el código de la aplicación de funciones y péguelo en el editor de function app run.ps1 .

12. Haga clic en Guardar.

13. Configuración de la aplicación de funciones

14. En function app, seleccione el nombre de la aplicación de funciones y seleccione Configuración.

15. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de aplicación.

16. Agregue cada una de las siguientes configuraciones de aplicación de trece a dieciséis (13-16) individualmente, con sus respectivos valores de cadena (distinguen mayúsculas de minúsculas): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Opcional) SIEMapiKey (Opcional) logAnalyticsUri (opcional)

• Escriba el URI que corresponde a su región. Puede encontrar la lista completa de direcciones URL de API aquí. El uri valor debe seguir el esquema siguiente: https://<API URL>.conferdeploy.net - No es necesario agregar un sufijo de hora al URI, la aplicación de funciones anexará dinámicamente el valor de tiempo al URI en el formato adecuado.
• timeInterval Establezca (en minutos) en el valor predeterminado de 5 para que se corresponda con el desencadenador de temporizador predeterminado de cada 5 minuto. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de la aplicación de funciones en consecuencia para evitar la ingesta de datos superpuesta.
• Carbon Black requiere un conjunto independiente de claves o identificadores de API para ingerir alertas de notificación. Escriba los SIEMapiId valores y SIEMapiKey , si es necesario, u omita, si no es necesario.
• Nota: Si usa Azure Key Vault, use el@Microsoft.KeyVault(SecretUri={Security Identifier})esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.
• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente:https://<CustomerId>.ods.opinsights.azure.us

4. Una vez que se haya especificado toda la configuración de la aplicación, haga clic en Guardar.

---

Eventos de Administración de Island Enterprise Browser (heredado)

Compatible con:Island

Se trata de un conector heredado y ya no se recomienda. En su lugar, use Island Enterprise Browser V2 Data Connector , que admite eventos de usuario, administrador y sistema dentro de un único conector.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Island_Admin_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Clave de API de isla: se requiere una clave de API de isla.

Instrucciones de instalación:

Conexión de isla a Microsoft Sentinel

Se trata de un conector heredado. Para obtener instrucciones de configuración completas, consulte la documentación oficial de Island (requiere el inicio de sesión en island management console).

---

Eventos de usuario de Island Enterprise Browser (heredado)

Compatible con:Island

Se trata de un conector heredado y ya no se recomienda. En su lugar, use Island Enterprise Browser V2 Data Connector , que admite eventos de usuario, administrador y sistema dentro de un único conector.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Island_User_CL	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

Requisitos previos:

• Clave de API de isla: se requiere una clave de API de isla.

Instrucciones de instalación:

Conexión de isla a Microsoft Sentinel

Se trata de un conector heredado. Para obtener instrucciones de configuración completas, consulte la documentación oficial de Island (requiere el inicio de sesión en island management console).

---

Eventos de seguridad a través del agente heredado

Compatible con:Microsoft Corporation

Puede transmitir todos los eventos de seguridad desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le proporciona más información sobre la red de su organización y mejora las funcionalidades de las operaciones de seguridad. Para obtener más información, consulte la documentación de Microsoft Sentinel.

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityEvent	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Microsoft Defender basada en suscripciones para la nube (heredada)

Compatible con:Microsoft Corporation

Microsoft Defender para la nube es una herramienta de administración de seguridad que le permite detectar y responder rápidamente a amenazas en cargas de trabajo Azure, híbridas y multin cloud. Este conector le permite transmitir las alertas de seguridad de Microsoft Defender para la nube a Microsoft Sentinel, de modo que pueda ver los datos de Defender en libros, consultarlos para generar alertas e investigar y responder a incidentes.

Más información>

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
SecurityAlert	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Syslog a través del agente heredado

Compatible con:Microsoft Corporation

Syslog es un protocolo de registro de eventos que es común a Linux. Las aplicaciones enviarán mensajes que pueden almacenarse en el equipo local o entregarse a un recopilador de Syslog. Cuando se instala el Agente para Linux, configura el demonio de Syslog local para reenviar mensajes al agente. A continuación, el agente envía el mensaje al área de trabajo.

Aprende más >

Tablas de Log Analytics:

Tabla	Compatibilidad con DCR	Ingesta solo de lago
Syslog	Sí	Sí

Compatibilidad con reglas de recopilación de datos:Transformación de área de trabajo DCR

---

Siguientes pasos

Para más información, vea:

• catálogo de soluciones de Microsoft Sentinel
• Integración de inteligencia sobre amenazas en Microsoft Sentinel