Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Sentinel fornece uma vasta gama de conectores de configuração inicial para Azure serviços e soluções externas e também suporta a ingestão de dados de algumas origens sem um conector dedicado.
Se não conseguir ligar a origem de dados ao Microsoft Sentinel com qualquer uma das soluções existentes disponíveis, considere criar o seu próprio conector de origem de dados.
Para obter uma lista completa dos conectores suportados, consulte o artigo Localizar o conector de dados Microsoft Sentinel).
Comparar métodos de conectores personalizados
A tabela seguinte compara detalhes essenciais sobre cada método para criar conectores personalizados descritos neste artigo. Selecione as ligações na tabela para obter mais detalhes sobre cada método.
| Descrição do método | Recursos | Sem servidor | Complexidade |
|---|---|---|---|
|
Codeless Connector Framework (CCF) Melhor para audiências menos técnicas para criar conectores SaaS com um ficheiro de configuração em vez de desenvolvimento avançado. |
Suporta todas as capacidades disponíveis com o código. | Sim | Baixa; desenvolvimento simples e sem código |
|
Agente Azure Monitor Melhor para recolher ficheiros de origens IaaS e no local |
Recolha de ficheiros, transformação de dados | Não | Baixo |
|
Logstash Melhor para origens no local e IaaS, qualquer origem para a qual um plug-in esteja disponível e organizações já familiarizadas com o Logstash |
Suporta todas as capacidades do Agente do Azure Monitor | Não; requer uma VM ou um cluster de VM para ser executado | Baixa; suporta muitos cenários com plug-ins |
|
Aplicativos de lógica Custo elevado; evitar dados de grande volume Melhor para origens de cloud de baixo volume |
A programação sem código permite uma flexibilidade limitada, sem suporte para a implementação de algoritmos. Se nenhuma ação disponível já suportar os seus requisitos, criar uma ação personalizada pode adicionar complexidade. |
Sim | Baixa; desenvolvimento simples e sem código |
|
API de Ingestão de Registos no Monitor do Azure Melhor para ISVs que implementam a integração e para requisitos de coleção exclusivos |
Suporta todas as capacidades disponíveis com o código. | Depende da implementação | Alto |
|
Azure Functions Melhor para origens de cloud de elevado volume e para requisitos de coleção exclusivos |
Suporta todas as capacidades disponíveis com o código. | Sim | Alto; requer conhecimento de programação |
Dica
Para obter comparações da utilização do Logic Apps e Azure Functions para o mesmo conector, veja:
- Ingerir registos de Firewall de Aplicativo Web rapidamente em Microsoft Sentinel
- Office 365 (Microsoft Sentinel comunidade do GitHub): conector | da Aplicação Lógica Azure Conector de Funções
Ligar com o Codeless Connector Framework
O Codeless Connector Framework (CCF) fornece um ficheiro de configuração que pode ser utilizado por clientes e parceiros e, em seguida, implementado na sua própria área de trabalho ou como uma solução para o hub de conteúdos do Microsoft Sentinel.
Os conectores criados com o CCF são Totalmente SaaS, sem quaisquer requisitos para instalações de serviço, e também incluem monitorização do estado de funcionamento e suporte total de Microsoft Sentinel.
Para obter mais informações, veja Criar um conector sem código para Microsoft Sentinel.
Ligar ao Agente do Azure Monitor
Se a sua origem de dados fornecer eventos em ficheiros de texto, recomendamos que utilize o agente do Azure Monitor para criar o conector personalizado.
Para obter mais informações, veja Collect logs from a text file with Azure Monitor Agent (Recolher registos de um ficheiro de texto com o Agente do Monitor do Azure).
Para obter um exemplo deste método, veja Collect logs from a JSON file with Azure Monitor Agent (Recolher registos de um ficheiro JSON com o Agente do Monitor do Azure).
Ligar com o Logstash
Se estiver familiarizado com o Logstash, poderá querer utilizar o Logstash com o plug-in de saída do Logstash para Microsoft Sentinel para criar o conector personalizado.
Com o plug-in Microsoft Sentinel Logstash Output, pode utilizar todos os plug-ins de entrada e filtragem do Logstash e configurar Microsoft Sentinel como saída para um pipeline do Logstash. O Logstash tem uma grande biblioteca de plug-ins que permitem entradas de várias origens, tais como Hubs de Eventos, Apache Kafka, Files, Bases de Dados e Serviços cloud. Utilize plug-ins de filtragem para analisar eventos, filtrar eventos desnecessários, obstinar valores e muito mais.
Para obter exemplos de utilização do Logstash como um conector personalizado, consulte:
- Hunting for Capital One Breach TTPs in AWS logs using Microsoft Sentinel (blog) (Investigação de TTPs de Violação do Capital One nos registos do AWS com Microsoft Sentinel (blogue)
- Guia de implementação do radware Microsoft Sentinel
Para obter exemplos de plug-ins do Logstash úteis, veja:
- Plug-in de entrada do Cloudwatch
- plug-in Hubs de Eventos do Azure
- Plug-in de entrada do Google Cloud Storage
- Google_pubsub plug-in de entrada
Dica
O Logstash também permite a recolha de dados dimensionadas através de um cluster. Para obter mais informações, veja Utilizar uma VM do Logstash com balanceamento de carga em escala.
Ligar com o Logic Apps
Utilize Azure Logic Apps para criar um conector personalizado sem servidor para Microsoft Sentinel.
Observação
Embora a criação de conectores sem servidor com o Logic Apps possa ser conveniente, a utilização do Logic Apps para os conectores pode ser dispendiosa para grandes volumes de dados.
Recomendamos que utilize este método apenas para origens de dados de baixo volume ou para enriquecer os carregamentos de dados.
Utilize um dos seguintes acionadores para iniciar o Logic Apps:
Gatilho Descrição Uma tarefa periódica Por exemplo, agende a sua Aplicação Lógica para obter dados regularmente a partir de ficheiros, bases de dados ou APIs externas específicos.
Para obter mais informações, veja Criar, agendar e executar tarefas e fluxos de trabalho periódicos no Azure Logic Apps.Acionamento a pedido Execute a aplicação lógica a pedido para recolha e teste de dados manuais.
Para obter mais informações, veja Chamar, acionar ou aninhar aplicações lógicas com pontos finais HTTPS.Ponto final HTTP/S Recomendado para transmissão em fluxo e se o sistema de origem pode iniciar a transferência de dados.
Para obter mais informações, veja Chamar pontos finais de serviço através de HTTP ou HTTPS.Utilize qualquer um dos conectores da Aplicação Lógica que leia informações para obter os seus eventos. Por exemplo:
Dica
Os conectores personalizados para APIs REST, SQL Servers e sistemas de ficheiros também suportam a obtenção de dados de origens de dados no local. Para obter mais informações, veja Instalar a documentação do gateway de dados no local.
Prepare as informações que pretende obter.
Por exemplo, utilize a ação analisar JSON para aceder às propriedades no conteúdo JSON, permitindo-lhe selecionar essas propriedades na lista de conteúdo dinâmico quando especifica entradas para a sua Aplicação Lógica.
Para obter mais informações, veja Executar operações de dados no Azure Logic Apps.
Escreva os dados no Log Analytics.
Para obter mais informações, veja a documentação do Recoletor de Dados do Azure Log Analytics.
Para obter exemplos de como pode criar um conector personalizado para Microsoft Sentinel com o Logic Apps, veja:
- Criar um pipeline de dados com a API do Recoletor de Dados
- Conector da Aplicação Lógica Palo Alto Prisma com um webhook (Microsoft Sentinel comunidade do GitHub)
- Proteger as suas chamadas do Microsoft Teams com ativação agendada (blogue)
- Ingerir indicadores de ameaça OTX AlienVault em Microsoft Sentinel (blogue)
Ligar à API de Ingestão de Registos
Pode transmitir eventos em fluxo para Microsoft Sentinel com a API do Recoletor de Dados do Log Analytics para chamar um ponto final RESTful diretamente.
Embora chamar um ponto final RESTful diretamente necessite de mais programação, também proporciona mais flexibilidade.
Para saber mais, confira os seguintes artigos:
- API de Ingestão de Registos no Monitor Azure.
- Código de exemplo para enviar dados para Azure Monitor com a API de ingestão de registos.
Ligar com Azure Functions
Utilize Azure Functions juntamente com uma API RESTful e várias linguagens de codificação, como o PowerShell, para criar um conector personalizado sem servidor.
Para obter exemplos deste método, veja:
- Ligar o ponto final do VMware Carbon Black Cloud Standard ao Microsoft Sentinel com a Função Azure
- Ligar o Sign-On Único okta ao Microsoft Sentinel com a Função Azure
- Ligar o Tap do Proofpoint ao Microsoft Sentinel com a Função Azure
- Ligar a VM Qualys ao Microsoft Sentinel com a Função Azure
- Ingerir XML, CSV ou outros formatos de dados
- Monitorização da Pré-visualização com Microsoft Sentinel (blogue)
- Implementar uma Aplicação de Funções para obter dados da API de Gestão de Office 365 em Microsoft Sentinel (Microsoft Sentinel comunidade do GitHub)
Analisar os dados do conector personalizado
Para tirar partido dos dados recolhidos com o conector personalizado, desenvolva analisadores do Modelo de Informação de Segurança Avançada (ASIM) para trabalhar com o conector. A utilização do ASIM permite que o conteúdo incorporado do Microsoft Sentinel utilize os seus dados personalizados e facilita a consulta dos dados por parte dos analistas.
Se o método do conector o permitir, pode implementar parte da análise como parte do conector para melhorar o desempenho da análise do tempo de consulta:
- Se tiver utilizado o Logstash, utilize o plug-in de filtro Grok para analisar os seus dados.
- Se tiver utilizado uma função Azure, analise os seus dados com código.
Ainda terá de implementar analisadores ASIM, mas implementar parte da análise diretamente com o conector simplifica a análise e melhora o desempenho.
Próximas etapas
Utilize os dados ingeridos no Microsoft Sentinel para proteger o seu ambiente com qualquer um dos seguintes processos: