Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como ligar a Microsoft Sentinel através de ligações de definições de diagnóstico. Microsoft Sentinel utiliza a base Azure para fornecer suporte incorporado de serviço para ingestão de dados de muitos serviços Azure e Microsoft 365, Amazon Web Services e vários serviços de Windows Server. Existem alguns métodos diferentes através dos quais estas ligações são feitas.
Este artigo apresenta informações comuns ao grupo de conectores de dados que utilizam ligações baseadas em definições de diagnóstico. Alguns destes tipos de conectores são geridos com Azure Policy. Para os outros conectores deste tipo, utilize as instruções autónomas.
Observação
Para obter informações sobre a disponibilidade de funcionalidades nas clouds do Governo norte-americano, veja as tabelas de Microsoft Sentinel na disponibilidade de funcionalidades da Cloud para clientes do Governo norte-americano.
Pré-requisitos
Para ingerir dados em Microsoft Sentinel através de um conector autónomo baseado em definições de diagnóstico, tem de ter permissões de leitura e escrita na área de trabalho do Log Analytics ativadas para Microsoft Sentinel.
Para ingerir dados em Microsoft Sentinel através de conectores baseados em definições de diagnóstico geridos por Azure Policy, também tem de ter os seguintes pré-requisitos:
Para utilizar Azure Policy para aplicar uma política de transmissão em fluxo de registos aos seus recursos, tem de ter a função Proprietário para o âmbito de atribuição de política.
Os seguintes pré-requisitos, consoante o conector que estiver a utilizar:
Conector de dados Licenciamento, custos e outras informações Atividade Azure Este conector utiliza agora o pipeline de definições de diagnóstico. Se estiver a utilizar o método legado, tem de desligar as subscrições existentes do método legado antes de configurar o novo conector do Registo de atividades do Azure.
1. No menu de navegação Microsoft Sentinel, selecione Conectores de dados. Na lista de conectores, selecione Azure Atividade e, em seguida, selecione o botão Abrir página do conector no canto inferior direito.
2. No separador Instruções , na secção Configuração , no passo 1, reveja a lista das subscrições existentes que estão ligadas ao método legado e desligue-as todas ao mesmo tempo ao clicar no botão Desligar Tudo abaixo.
3. Continue a configurar o novo conector com as instruções nesta secção.Azure DDoS Protection - Configurado Azure plano de proteção de Standard DDoS.
- Rede virtual configurada com Azure DDoS Standard ativado
- Podem aplicar-se outros custos
- O Estado do Azure Conector de Dados do DDoS Protection muda para Ligado apenas quando os recursos protegidos estão sob um ataque DDoS.Conta de Armazenamento do Azure O recurso da conta de armazenamento (principal) tem dentro dele outros recursos (subordinados) para cada tipo de armazenamento: ficheiros, tabelas, filas e blobs.
Ao configurar diagnóstico para uma conta de armazenamento, tem de selecionar e configurar:
- O recurso da conta principal, a exportar a métrica Transação .
- Cada um dos recursos subordinados do tipo de armazenamento, exportando todos os registos e métricas.
Só verá os tipos de armazenamento para os quais definiu recursos.
Ligar através de um conector autónomo baseado em definições de diagnóstico
Este procedimento descreve como ligar a Microsoft Sentinel através de conectores de dados que utilizam ligações autónomas com base nas definições de diagnóstico.
No menu de navegação Microsoft Sentinel, selecione Conectores de dados.
Selecione o tipo de recurso na galeria de conectores de dados e, em seguida, selecione Abrir Página do Conector no painel de pré-visualização.
Na secção Configuração da página do conector, selecione a ligação para abrir a página de configuração de recursos.
Se for apresentada uma lista de recursos do tipo pretendido, selecione a ligação para um recurso cujos registos pretende ingerir.
No menu de navegação de recursos, selecione Definições de diagnóstico.
Selecione + Adicionar definição de diagnóstico na parte inferior da lista.
No ecrã Definições de diagnóstico , introduza um nome no campo Nome das definições de diagnóstico .
Marque a caixa de marcar Enviar para o Log Analytics. São apresentados dois novos campos abaixo do mesmo. Escolha a Subscrição e a Área de Trabalho do Log Analytics relevantes (onde reside Microsoft Sentinel).
Marque as caixas de marcar dos tipos de registos e métricas que pretende recolher. Veja as nossas opções recomendadas para cada tipo de recurso na secção do conector do recurso na página de referência Conectores de dados .
Selecione Guardar na parte superior do ecrã.
Para obter mais informações, veja Também Criar definições de diagnóstico para enviar registos e métricas da plataforma do Azure Monitor para diferentes destinos na documentação do Azure Monitor.
Ligar através de um conector baseado em definições de diagnóstico gerido por Azure Policy
Este procedimento descreve como ligar a Microsoft Sentinel através de conectores de dados que utilizam ligações baseadas em definições de diagnóstico e que são geridas por Azure Policy.
Os conectores deste tipo utilizam Azure Policy para aplicar uma configuração de definições de diagnóstico única a uma coleção de recursos de um único tipo, definidos como um âmbito. Pode ver os tipos de registo ingeridos a partir de um determinado tipo de recurso no lado esquerdo da página do conector desse recurso, em Tipos de dados.
No menu de navegação Microsoft Sentinel, selecione Conectores de dados.
Selecione o tipo de recurso na galeria de conectores de dados e, em seguida, selecione Abrir Página do Conector no painel de pré-visualização.
Na secção Configuração da página do conector, expanda os expansores aí apresentados e selecione o botão Iniciar Azure Policy Assistente de atribuição.
O assistente de atribuição de políticas é aberto, pronto para criar uma nova política, com um nome de política pré-preenchido.
No separador Informações Básicas , selecione o botão com os três pontos em Âmbito para escolher a sua subscrição (e, opcionalmente, um grupo de recursos). Também pode adicionar uma descrição.
No separador Parâmetros :
- Desmarque a caixa Mostrar apenas parâmetros que requerem marcar de entrada.
- Se vir os campos Efeito e Nome da definição , deixe-os tal como estão.
- Escolha a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics.
- Os restantes campos pendentes representam os tipos de registo de diagnóstico disponíveis. Deixe marcado como Verdadeiro todos os tipos de registo que pretende ingerir.
A política será aplicada aos recursos adicionados no futuro. Para aplicar também a política aos recursos existentes, selecione o separador Remediação e marque a caixa de marcar Criar uma tarefa de remediação.
No separador Rever + criar , clique em Criar. A sua política está agora atribuída ao âmbito que escolheu.
Com este tipo de conector de dados, os indicadores de conectividade status (uma faixa de cores na galeria de conectores de dados e ícones de ligação junto aos nomes dos tipos de dados) só são apresentados como ligados (verdes) se os dados tiverem sido ingeridos em algum momento nos últimos 14 dias. Uma vez passados 14 dias sem ingestão de dados, o conector é apresentado como estando desligado. No momento em que são fornecidos mais dados, o status ligado é devolvido.
Pode localizar e consultar os dados de cada tipo de recurso com o nome da tabela que aparece na secção do conector do recurso na página de referência Conectores de dados . Para obter mais informações, veja Criar definições de diagnóstico para enviar registos e métricas da plataforma do Azure Monitor para diferentes destinos na documentação do Azure Monitor.
Conteúdo relacionado
Para saber mais, confira: