Conectores de dados do Microsoft Sentinel
Após integrar o Microsoft Sentinel com o workspace, use os conectores de dados para começar a ingerir os dados no Microsoft Sentinel. O Microsoft Sentinel vem com muitos conectores prontos para o uso em serviços da Microsoft, os quais são integrados em tempo real. Por exemplo, o conector Microsoft Defender XDR é um conector serviço a serviço que integra dados do Office 365, Microsoft Entra ID, Microsoft Defender para Identidade e Microsoft Defender para Nuvem Apps.
Os conectores internos permitem a conexão com o ecossistema de segurança mais amplo para produtos que não são da Microsoft. Por exemplo, use Syslog, Formato Comum de Evento (CEF) ou APIs REST para conectar suas fontes de dados com o Microsoft Sentinel.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Importante
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal Microsoft Defender.
Conectores de dados fornecidos com soluções
As soluções Microsoft Sentinel fornecem conteúdo de segurança empacotado, incluindo conectores de dados, pastas de trabalho, regras de análise, manuais e muito mais. Ao implantar uma solução com um conector de dados, você obterá o conector de dados juntamente com o conteúdo relacionado na mesma implantação.
A página Microsoft Sentinel Conectores de dados lista os conectores de dados instalados ou em uso.
Para adicionar mais conectores de dados, instale a solução associada ao conector de dados do Hub de Conteúdo. Para obter mais informações, consulte os seguintes artigos:
- Encontrar o conector de dados do Microsoft Azure Sentinel
- Sobre o conteúdo e as soluções do Microsoft Azure Sentinel
- Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel
- Catálogo do hub de conteúdo do Microsoft Azure Sentinel
- Soluções de domínio baseadas em Advanced Security Information Model (ASIM) para Microsoft Sentinel
Integração da API REST para conectores de dados
Muitas tecnologias de segurança fornecem um conjunto de APIs para recuperação de arquivos de log. Algumas fontes de dados podem usar essas APIs para se conectar ao Microsoft Sentinel.
Conectores de dados que usam APIs integram-se do lado do provedor ou se integram usando Azure Functions, conforme descrito nas seções a seguir.
Integração do lado do provedor
Uma integração de API criada pelo provedor se conecta às fontes de dados do provedor e envia dados para tabelas de log personalizadas do Microsoft Sentinel usando a API do Coletor de Dados do Azure Monitor. Para obter mais informações, veja Enviar dados de registo para o Azure Monitor utilizando a API do Coletor de Dados HTTP.
Para saber mais sobre a integração da API REST, leia a documentação do provedor e a seção Conectar a fonte de dados à API REST do Microsoft Sentinel para ingerir dados.
Integração usando Azure Functions
As integrações que usam o Azure Functions para se conectar a uma API do provedor primeiro formatam os dados e, em seguida, enviam esses dados para as tabelas de log personalizadas do Microsoft Sentinel usando a API do Coletor de Dados do Azure Monitor.
Para saber mais, veja:
- Envie dados de log para o Azure Monitor usando a API do Coletor de Dados HTTP
- Usar o Azure Functions para conectar a fonte de dados ao Microsoft Sentinel
- Documentação do Azure Functions
As integrações que utilizam Azure Functions podem ter custos adicionais de ingestão de dados, porque hospeda Azure Functions na sua organização Azure. Saiba mais sobre os preços do Azure Functions.
Integração baseada em agente para conectores de dados
O Microsoft Sentinel pode usar o protocolo do Syslog para conectar um agente a qualquer fonte de dados que possa realizar o streaming de log em tempo real. Por exemplo, a maioria das fontes de dados locais conecta-se usando integração baseada em agente.
As seções a seguir descrevem os diferentes tipos de conectores de dados baseados em agente do Microsoft Sentinel. Para configurar conexões usando mecanismos baseados em agente, siga as etapas em cada página do conector de dados do Microsoft Sentinel.
Syslog
Você pode transmitir eventos de dispositivos com suporte a Syslog baseados em Linux para o Microsoft Sentinel usando o Azure Monitor Agent (AMA). Dependendo do tipo de dispositivo, o agente é instalado diretamente no dispositivo ou em um encaminhador de log dedicado baseado no Linux. O AMA recebe eventos do daemon do Syslog por UDP. O daemon do Syslog encaminha eventos para o agente internamente, comunicando-se por UDS (Soquetes de Domínio Unix). Em seguida, o AMA transmite esses eventos para o espaço de trabalho do Microsoft Sentinel.
Aqui está um fluxo simples que mostra como o Microsoft Sentinel transmite dados Syslog.
- O daemon Syslog integrado do dispositivo coleta eventos locais dos tipos específicos e encaminha os eventos localmente para o agente.
- O agente transmite os eventos para o workspace do Log Analytics.
- Após a configuração, os dados aparecem na tabela Syslog do Log Analytics.
Para obter mais informações, veja Tutorial: Encaminhar dados do Syslog para um espaço de trabalho do Log Analytics com o Microsoft Sentinel usando o Agente Azure Monitor.
CEF (Formato Comum de Evento)
Os formatos de log variam, mas diversas fontes suportam formatação baseada em CEF. O agente do Microsoft Sentinel, que é na verdade o agente do Log Analytics, converte os logs formatados por CEF em um formato que Log Analytics pode ingerir.
Para fontes de dados que emitem dados em CEF, configure o agente de Syslog e depois configure o fluxo de dados CEF. Após a configuração, os dados aparecem na tabela CommonSecurityLog.
Para obter mais informações, confira Enviar logs no formato CEF do dispositivo ou do aparelho ao Microsoft Sentinel.
Logs personalizados
Para algumas fontes de dados, você pode coletar logs como arquivos nos computadores Windows ou Linux, usando o agente de coleta de logs personalizado do Log Analytics.
Para se conectar usando o agente de coleta de log personalizado do Log Analytics, siga as etapas em cada página do conector de dados do Microsoft Sentinel. Após a configuração, os dados aparecem em tabelas personalizadas.
Para obter mais informações, confira Coletar dados em formatos de log personalizados no Microsoft Sentinel usando o agente do Log Analytics.
Integração de serviço a serviço para conectores de dados
O Microsoft Sentinel usa a fundação Azure para fornecer suporte pronto para uso de serviço a serviço para serviços Microsoft e Amazon Web Services.
Para obter mais informações, consulte os seguintes artigos:
- Conetar o Microsoft Sentinel aos serviços do Azure, do Windows, da Microsoft e da Amazon
- Encontrar o conector de dados do Microsoft Azure Sentinel
Suporte ao conector de dados
Tanto a Microsoft quanto outras organizações criam conectores de dados do Microsoft Sentinel. Cada conector de dados tem um dos seguintes tipos de suporte listados na página do conector de dados no Microsoft Sentinel.
| Tipo de suporte | Descrição |
|---|---|
| Suporte da Microsoft | Aplica-se a:
Os parceiros ou a Comunidade oferecem suporte a conectores de dados criados por terceiros que não a Microsoft. |
| Suporte do parceiro | Aplica-se a conectores de dados criados por terceiros que não sejam a Microsoft. A empresa parceira oferece suporte ou manutenção para esses conectores de dados. A empresa parceira pode ser um fornecedor independente de software, um Provedor de Serviços Gerenciados (MSP/MSSP), um Integrador de Sistemas (SI) ou qualquer organização cujas informações de contato sejam fornecidas na página do Microsoft Sentinel desse conector de dados. Se você tiver problemas com um conector de dados com suporte do parceiro, entre em contato com o suporte do conector de dados específico. |
| Suporte da comunidade | Aplica-se a conectores de dados de autoria da Microsoft ou de desenvolvedores parceiros que não listaram contatos para suporte e manutenção do conector de dados na página do conector de dados no Microsoft Sentinel. Se tiver dúvidas ou problemas com esses conectores de dados, você pode registrar um problema na comunidade do GitHub do Microsoft Sentinel. |
Para obter mais informações, veja Encontrar suporte para um conector de dados.
Próximas etapas
Para obter mais informações sobre conectores de dados, veja os artigos a seguir.
- Conecte suas fontes de dados ao Microsoft Sentinel usando conectores de dados
- Encontrar o conector de dados do Microsoft Azure Sentinel
- Recursos para criar conectores personalizados do Microsoft Azure Sentinel
Para obter uma referência básica de Infraestrutura como Código (IaC) do Bicep, Azure Resource Manager e Terraform para implantar conectores de dados no Microsoft Sentinel, veja Referência IaC do conector de dados do Microsoft Sentinel.