Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Depois de integrar Microsoft Sentinel na área de trabalho, utilize os conectores de dados para começar a ingerir os seus dados no Microsoft Sentinel. Microsoft Sentinel inclui muitos conectores de configuração inicial para serviços Microsoft, que se integram em tempo real. Por exemplo, o conector Microsoft Defender XDR é um conector serviço a serviço que integra dados de Office 365, Microsoft Entra ID, Microsoft Defender para Identidade e Microsoft Defender para Aplicativos de Nuvem.
Os conectores incorporados permitem a ligação ao ecossistema de segurança mais amplo para produtos não Microsoft. Por exemplo, utilize o Syslog, o Common Event Format (CEF) ou as APIs REST para ligar as origens de dados ao Microsoft Sentinel.
Observação
Para obter informações sobre a disponibilidade de funcionalidades nas clouds do Governo norte-americano, veja as tabelas de Microsoft Sentinel na disponibilidade de funcionalidades da Cloud para clientes do Governo norte-americano.
Importante
De acordo com o anúncio de 2024, após 14 de setembro de 2026, a API do Recoletor de Dados HTTP legada deixará de ser suportada. As origens de dados, integrações personalizadas ou conectores que utilizam a API do Recoletor de Dados HTTP devem transitar para uma alternativa suportada para evitar potenciais interrupções de ingestão após esta data.
Se estiver atualmente a utilizar a API do Recoletor de Dados HTTP, recomendamos que comece a planear a migração para a API de Ingestão de Registos ou para o Codeless Connector Framework (CCF) para garantir uma ingestão de dados ininterrupta, uma maior fiabilidade, escalabilidade e suporte a longo prazo.
Considerações de gestão de dados para Microsoft Sentinel data lake
As seguintes considerações têm de ser consideradas no seu planeamento de conformidade e gestão de dados:
RGPD e Retenção de Dados
- Os administradores de inquilinos podem exercer os direitos do RGPD com a funcionalidade Remover para o escalão de análise. Isto não afeta a camada do data lake.
- Não é possível remover registos específicos do data lake Sentinel. O data lake retém os dados ingeridos para o período de retenção definido, mesmo que os dados sejam eliminados na origem ou na camada de análise.
Integração do Purview. As alterações às definições do Purview não têm qualquer efeito nos dados armazenados no Sentinel data lake.
A Localização de Armazenamento Sentinel localizações de armazenamento do data lake são selecionadas pelo administrador do inquilino e podem diferir da localização de armazenamento primária dos serviços de origem.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Conectores de dados fornecidos com soluções
Microsoft Sentinel soluções fornecem conteúdo de segurança empacotado, incluindo conectores de dados, livros, regras de análise, manuais de procedimentos e muito mais. Quando implementa uma solução com um conector de dados, obtém o conector de dados juntamente com conteúdos relacionados na mesma implementação.
A página Conectores de dados do Microsoft Sentinel lista os conectores de dados instalados ou em utilização.
Para adicionar mais conectores de dados, instale a solução associada ao conector de dados a partir do Hub de Conteúdos. Para saber mais, confira os seguintes artigos:
- Localizar o conector de dados Microsoft Sentinel
- Acerca Microsoft Sentinel conteúdos e soluções
- Detetar e gerir Microsoft Sentinel conteúdo inicial
- Microsoft Sentinel catálogo do hub de conteúdos
- Soluções de domínio baseadas no Modelo de Informação de Segurança Avançada (ASIM) para Microsoft Sentinel
Criar conectores personalizados
Se não conseguir ligar a origem de dados ao Microsoft Sentinel com qualquer uma das soluções existentes disponíveis, considere criar o seu próprio conector de origem de dados. Por exemplo, muitas soluções de segurança fornecem um conjunto de APIs para obter ficheiros de registo e outros dados de segurança do respetivo produto ou serviço. Essas APIs ligam-se ao Microsoft Sentinel com um dos seguintes métodos:
- As APIs de origem de dados estão configuradas com a Arquitetura do Conector Sem Código.
- O conector de dados utiliza a API de Ingestão de Registos para Azure Monitor como parte de uma Função do Azure ou da Aplicação Lógica.
Também pode utilizar Azure Agente do Monitor diretamente ou o Logstash para criar o conector personalizado. Para obter mais informações, veja Recursos para criar Microsoft Sentinel conectores personalizados.
Integração baseada no agente para conectores de dados
Microsoft Sentinel podem utilizar agentes fornecidos pelo serviço Azure Monitor (no qual se baseia Microsoft Sentinel) para recolher dados de qualquer origem de dados que possa executar a transmissão em fluxo de registos em tempo real. Por exemplo, a maioria das origens de dados no local ligam-se através da integração baseada no agente.
As secções seguintes descrevem os diferentes tipos de Microsoft Sentinel conectores de dados baseados em agente. Para configurar ligações com mecanismos baseados em agente, siga os passos em cada página Microsoft Sentinel conector de dados.
Syslog e Common Event Format (CEF)
Pode transmitir eventos a partir de dispositivos de suporte Syslog baseados em Linux para Microsoft Sentinel com o Agente do Azure Monitor (AMA). Os formatos de registo variam, mas muitas origens suportam a formatação baseada em CEF. Dependendo do tipo de dispositivo, o agente é instalado diretamente no dispositivo ou num reencaminhador de registos dedicado Linux. O AMA recebe mensagens de evento Syslog ou CEF simples do daemon do Syslog através de UDP. O daemon do Syslog reencaminha os eventos para o agente internamente, comunicando através de TCP ou UDS (Unix Domain Sockets), consoante a versão. Em seguida, o AMA transmite estes eventos para a área de trabalho Microsoft Sentinel.
Eis um fluxo simples que mostra como Microsoft Sentinel transmite dados do Syslog.
- O daemon Syslog incorporado do dispositivo recolhe eventos locais dos tipos especificados e reencaminha os eventos localmente para o agente.
- O agente transmite os eventos para a área de trabalho do Log Analytics.
- Após a configuração com êxito, as mensagens do Syslog aparecem na tabela Syslog do Log Analytics e as mensagens CEF na tabela CommonSecurityLog .
Para obter mais informações, veja Syslog e Common Event Format (CEF) através de conectores AMA para Microsoft Sentinel.
Registos personalizados
Para algumas origens de dados, pode recolher registos como ficheiros no Windows ou Linux computadores com o agente de recolha de registos personalizado do Log Analytics.
Para ligar com o agente de recolha de registos personalizado do Log Analytics, siga os passos em cada página Microsoft Sentinel conector de dados. Após a configuração com êxito, os dados são apresentados em tabelas personalizadas.
Para obter mais informações, veja Registos Personalizados através do conector de dados AMA – Configurar a ingestão de dados para Microsoft Sentinel a partir de aplicações específicas.
Integração serviço a serviço para conectores de dados
Microsoft Sentinel utiliza a base Azure para fornecer suporte de serviço para serviços gratuitos para serviços Microsoft e Amazon Web Services.
Para saber mais, confira os seguintes artigos:
- Ligar Microsoft Sentinel aos serviços Azure, Windows, Microsoft e Amazon
- Localizar o conector de dados Microsoft Sentinel
Suporte do conector de dados
Tanto a Microsoft como outras organizações criam conectores de dados Microsoft Sentinel. Cada conector de dados tem um dos seguintes tipos de suporte listados na página do conector de dados no Microsoft Sentinel.
| Tipo de suporte | Descrição |
|---|---|
| Suportado pela Microsoft | Aplicável a:
Os parceiros ou os conectores de dados de suporte da Comunidade criados por qualquer parte que não a Microsoft. |
| Suportado pelo parceiro | Aplica-se a conectores de dados criados por entidades que não a Microsoft. A empresa parceira fornece suporte ou manutenção para estes conectores de dados. A empresa parceira pode ser um Fornecedor independente de Software, um Fornecedor de Serviços Geridos (MSP/MSSP), um Integrador de Sistemas (SI) ou qualquer organização cujas informações de contacto são fornecidas na página Microsoft Sentinel desse conector de dados. Para quaisquer problemas com um conector de dados suportado pelo parceiro, contacte o contacto de suporte do conector de dados especificado. |
| Suportada pela comunidade | Aplica-se aos conectores de dados criados pela Microsoft ou por programadores parceiros que não têm contactos listados para suporte e manutenção do conector de dados na página do conector de dados no Microsoft Sentinel. Para perguntas ou problemas com estes conectores de dados, pode apresentar um problema no Microsoft Sentinel comunidade do GitHub. |
Para obter mais informações, veja Encontrar suporte para um conector de dados.
Próximas etapas
Para obter mais informações sobre conectores de dados, veja os seguintes artigos.
- Ligar as origens de dados a Microsoft Sentinel através de conectores de dados
- Localizar o conector de dados Microsoft Sentinel
- Recursos para criar Microsoft Sentinel conectores personalizados
Para obter uma referência básica de Infraestrutura como Código (IaC) de Bicep, Azure Resource Manager e Terraform para implementar conectores de dados no Microsoft Sentinel, veja referência iaC do conector de dados Microsoft Sentinel.