Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista todos os conectores de dados prontos para uso com suporte e os links para as etapas de implantação de cada conector.
Important
- Observe que Microsoft Sentinel conectores de dados estão atualmente em Preview. Os termos complementares Azure versão prévia incluem termos legais adicionais que se aplicam a Azure recursos que estão em versão beta, versão prévia ou ainda não liberados em disponibilidade geral.
- Após March 31, 2027, Microsoft Sentinel não terá mais suporte no portal do Azure e estará disponível apenas no portal Microsoft Defender. Todos os clientes que usam Microsoft Sentinel no portal Azure serão diretórios para o portal do Defender e usarão Microsoft Sentinel somente no portal do Defender. A partir do July 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender. Se você ainda estiver usando Microsoft Sentinel no portal Azure, recomendamos começar a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte A hora de mover: desativar o portal de Azure do Microsoft Sentinel para maior segurança.
Os conectores de dados estão disponíveis com as seguintes ofertas:
Soluções: muitos conectores de dados são implantados como parte da solução Microsoft Sentinel juntamente com conteúdo relacionado, como regras de análise, pastas de trabalho e guias estratégicos. Para obter mais informações, consulte o catálogo de soluções Microsoft Sentinel.
Conectores da comunidade: mais conectores de dados são fornecidos pela comunidade Microsoft Sentinel e podem ser encontrados no Azure Marketplace. A documentação de conectores de dados da comunidade é responsabilidade da organização que criou o conector.
Conectores personalizados: caso tenha uma fonte de dados que não esteja listada ou que não tenha suporte no momento, você também poderá criar um conector personalizado. Para obter mais informações, consulte Resources para criar Microsoft Sentinel conectores personalizados.
Note
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas de Microsoft Sentinel na disponibilidade de recursos Cloud para clientes do governo dos EUA.
Pré-requisitos do conector de dados
Cada conector de dados tem seu próprio conjunto de pré-requisitos. Os pré-requisitos podem incluir que você deve ter permissões específicas em seu Azure workspace, assinatura ou política. Ou você deve atender a outros requisitos para a fonte de dados do parceiro à qual está se conectando.
Os pré-requisitos para cada conector de dados são listados na página do conector de dados relevante no Microsoft Sentinel.
Azure Monitor conectores de dados baseados em AMA (agente) exigem uma conexão com a Internet do sistema em que o agente está instalado. Habilite a saída da porta 443 para permitir uma conexão entre o sistema em que o agente está instalado e Microsoft Sentinel.
Conectores Syslog e CEF (Common Event Format)
A coleta de logs de muitos dispositivos e dispositivos de segurança é compatível com os conectores de dados Syslog via AMA ou Common Event Format (CEF) via AMA em Microsoft Sentinel. Para encaminhar dados para o workspace Log Analytics para Microsoft Sentinel, conclua as etapas no Ingest syslog e mensagens CEF para Microsoft Sentinel com o agente Azure Monitor. Essas etapas incluem a instalação da solução Microsoft Sentinel para um dispositivo ou dispositivo de segurança do hub Content em Microsoft Sentinel. Em seguida, configure o Syslog via AMA ou Common Event Format (CEF) via AMA conector de dados apropriado para a solução Microsoft Sentinel instalada. Conclua a configuração configurando o dispositivo ou dispositivo de segurança. Encontre instruções para configurar seu dispositivo ou dispositivo de segurança em um dos seguintes artigos:
- CEF por meio do conector de dados AMA – Configurar dispositivo ou dispositivo específico para ingestão de dados Microsoft Sentinel
- Syslog por meio do conector de dados AMA – Configurar dispositivo ou dispositivo específico para Microsoft Sentinel ingestão de dados
Entre em contato com o provedor de soluções para obter mais informações ou quando as informações não estiverem disponíveis para o dispositivo.
Logs personalizados por meio do conector AMA
Filtrar e ingerir logs no formato de arquivo de texto de aplicativos de rede ou de segurança instalados em computadores Windows ou Linux usando os logs Custom por meio do conector AMA em Microsoft Sentinel. Para obter mais informações, consulte os seguintes artigos:
- Conectar logs de arquivos de texto com o Agente Azure Monitor e ingerir para Microsoft Sentinel
- logs Custom por meio do conector de dados AMA – Configurar a ingestão de dados para Microsoft Sentinel de aplicativos específicos
Conectores de dados do Sentinel
Note
A tabela a seguir lista os conectores de dados disponíveis no hub de conteúdo Microsoft Sentinel. Os conectores têm suporte do fornecedor do produto. Para obter suporte, consulte o link Com suporte .
Dica
Para obter uma lista de tabelas ingeridas em Microsoft Sentinel e os conectores que as ingerem, consulte Microsoft Sentinel tabelas e conectores associados.
1Password (sem servidor)
Com suporte por:1Password
O conector 1Password CCF permite que o usuário ingera 1Password Audit, Signin & Eventos itemUsage em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
OnePasswordEventLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Token de API 1Password: um token de API 1Password é necessário. Consulte a documentação do 1Password sobre como criar um token de API.
1Password (usando Azure Functions)
Com suporte por:1Password
A solução 1Password para Microsoft Sentinel permite ingerir tentativas de entrada, uso de item e eventos de auditoria de sua conta do 1Password Business usando a API de Relatório de Eventos do 1Password. Isso permite que você monitore e investigue eventos no 1Password em Microsoft Sentinel juntamente com os outros aplicativos e serviços que sua organização usa.
Tecnologias subjacentes da Microsoft usadas:
Essa solução depende das seguintes tecnologias e algumas das quais podem estar no estado de versão prévia ou podem incorrer em custos adicionais de ingestão ou operacionais:
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
OnePasswordEventLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Token de API de Eventos 1Password: é necessário um token de API de Eventos 1Password. Para obter mais informações, consulte a API 1Password.
Nota: Uma conta 1Password Business é necessária
AbnormalSecurity (usando Azure Function)
Com suporte por:Segurança Anormal
O conector de dados de Segurança Anormal fornece a capacidade de ingerir a ameaça e os logs de casos em Microsoft Sentinel usando a API Rest de Segurança Abnormal.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
Não | Não |
ABNORMAL_CASES_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de Security API Abnormal: é necessário um token de Security API anormal. Para obter mais informações, consulte Abnormal Security API.
Nota: Uma conta de segurança anormal é necessária
AIShield
Com suporte por:AIShield
AIShield conector permite que os usuários se conectem com logs do mecanismo de defesa personalizado do AIShield com Microsoft Sentinel, permitindo a criação de painéis dinâmicos, pastas de trabalho, notebooks e alertas personalizados para melhorar a investigação e impedir ataques em sistemas de IA. Ele fornece aos usuários mais informações sobre a postura de segurança dos ativos de IA de sua organização e melhora os recursos de operação de segurança dos sistemas de IA. O AIShield.GuArdIan analisa o conteúdo gerado por LLM para identificar e mitigar conteúdo nocivo, protegendo contra violações legais, políticas, baseadas em função e baseadas em uso
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AIShield_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Observação: os usuários devem ter utilizado a oferta de SaaS do AIShield para conduzir a análise de vulnerabilidades e implantado mecanismos de defesa personalizados gerados junto com seu ativo de IA.
Clique aqui para saber mais ou entrar em contato.
Alibaba Cloud ActionTrail (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados Alibaba Cloud ActionTrail fornece a capacidade de recuperar eventos de actiontrail armazenados no Alibaba Cloud Simple Log Service e armazená-los em Microsoft Sentinel por meio da API REST SLS. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AliCloudActionTrailLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Credenciais/permissões da API REST do SLS: AliCloudAccessKeyId e AliCloudAccessKeySecret são necessários para fazer chamadas à API. A instrução de política de RAM com ação de atleast
log:GetLogStoreLogssobre o recursoacs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}é necessária para conceder a um usuário de RAM as permissões para chamar essa operação.
AliCloud (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados AliCloud fornece a capacidade de recuperar logs de aplicativos de nuvem usando a API de Nuvem e armazenar eventos em Microsoft Sentinel por meio da API REST. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AliCloud_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: AliCloudAccessKeyId e AliCloudAccessKey são necessários para fazer chamadas à API.
Serviços Web da Amazon
Com suporte da:Microsoft Corporation
Instruções para se conectar ao AWS e transmitir os logs do CloudTrail para Microsoft Sentinel são mostradas durante o processo de instalação. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AWSCloudTrail |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Amazon Web Services CloudFront (via Codeless Connector Framework) (versão prévia)
Com suporte da:Microsoft Corporation
Esse conector de dados permite a integração dos logs do AWS CloudFront com Microsoft Sentinel para dar suporte ao monitoramento avançado de detecção, investigação e segurança de ameaças. Ao utilizar o Amazon S3 para armazenamento de logs e o AMAZON SQS para enfileiramento de mensagens, o conector ingere de forma confiável os logs de acesso do CloudFront em Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AWSCloudFront_AccessLog_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Amazon Web Services NetworkFirewall (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
Esse conector de dados permite que você ingera logs do Firewall de Rede da AWS em Microsoft Sentinel para detecção avançada de ameaças e monitoramento de segurança. Aproveitando o Amazon S3 e o Amazon SQS, o conector encaminha logs de tráfego de rede, alertas de detecção de intrusão e eventos de firewall para Microsoft Sentinel, habilitando a análise em tempo real e a correlação com outros dados de segurança
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AWSNetworkFirewallFlow |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Amazon Web Services S3
Com suporte da:Microsoft Corporation
Esse conector permite que você ingera logs de serviço do AWS, coletados em buckets do AWS S3, para Microsoft Sentinel. Os tipos de dados com suporte no momento são:
- AWS CloudTrail
- Logs de fluxo do VPC
- AWS GuardDuty
- AWSCloudWatch
Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AWSGuardDuty |
Yes | Yes |
AWSVPCFlow |
Yes | Yes |
AWSCloudTrail |
Yes | Yes |
AWSCloudWatch |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Ambiente: Você deve ter os seguintes recursos do AWS definidos e configurados: S3, SQS (Simple Queue Service), funções IAM e políticas de permissões e os serviços do AWS cujos logs você deseja coletar.
Amazon Web Services S3 DNS Route53 (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
Esse conector permite a ingestão de logs DNS da Rota 53 do AWS em Microsoft Sentinel para maior visibilidade e detecção de ameaças. Ele dá suporte a logs de consulta do Resolvedor de DNS ingeridos diretamente de buckets do AWS S3, enquanto logs de consulta DNS públicos e logs de auditoria da Rota 53 podem ser ingeridos usando os conectores AWS CloudWatch e CloudTrail do Microsoft Sentinel. Instruções abrangentes são fornecidas para orientá-lo na configuração de cada tipo de log. Aproveite esse conector para monitorar a atividade DNS, detectar possíveis ameaças e melhorar sua postura de segurança em ambientes de nuvem.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AWSRoute53Resolver |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Amazon Web Services S3 WAF
Com suporte da:Microsoft Corporation
Esse conector permite que você ingera logs de WAF do AWS, coletados em buckets do AWS S3, para Microsoft Sentinel. Os logs do AWS WAF são registros detalhados do tráfego que as listas de controle de acesso (ACLs) da web analisam, que são essenciais para manter a segurança e o desempenho das aplicações web. Esses logs contêm informações como a hora em que o WAF do AWS recebeu a solicitação, as especificidades da solicitação e a ação tomada pela regra correspondente à solicitação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AWSWAF |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Anvilógico
Com suporte por:Anvilogic
O conector de dados Anvilogic permite que você efetue pull de eventos de interesse gerados no cluster do Anvilogic ADX em seu Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Anvilogic_Alerts_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
ID do cliente de registro de aplicativo anvilógico e segredo do cliente: para acessar o Anvilogic ADX, precisamos da ID do cliente e do segredo do cliente do registro do aplicativo Anvilogic
Segurança em Nuvem ARGOS
Com suporte do:ARGOS Cloud Security
A integração do ARGOS Cloud Security para Microsoft Sentinel permite que você tenha todos os seus eventos importantes de segurança na nuvem em um só lugar. Isso permite que você crie facilmente painéis, alertas e correlacione eventos em vários sistemas. No geral, isso melhorará a postura de segurança da sua organização e a resposta a incidentes de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ARGOS_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Armis Alerts Activities (usando Azure Functions)
Com suporte da:Armis Corporation
O conector Armis Atividades de Alertas oferece a capacidade de ingerir alertas e atividades do Armis em Microsoft Sentinel por meio da API REST do Armis. Consulte a documentação da API: https://<YourArmisInstance>.armis.com/api/v1/docs para obter mais informações. O conector oferece a capacidade de obter informações sobre alerta e atividade da plataforma Armis e de identificar e priorizar ameaças em seu ambiente. A Armis usa sua infraestrutura existente para descobrir e identificar dispositivos sem precisar implantar nenhum agente.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Armis_Alerts_CL |
Não | Não |
Armis_Activities_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: a Chave Secreta do Armis é necessária. Confira a documentação para saber mais sobre a API no
https://<YourArmisInstance>.armis.com/api/v1/doc
Armis (usando Azure Functions)
Com suporte da:Armis Corporation
O conector Armis Device oferece a capacidade de ingerir dispositivos Armis em Microsoft Sentinel por meio da API REST do Armis. Consulte a documentação da API: https://<YourArmisInstance>.armis.com/api/v1/docs para obter mais informações. O conector oferece a capacidade de obter informações do dispositivo da plataforma Armis. A Armis usa sua infraestrutura existente para descobrir e identificar dispositivos sem precisar implantar nenhum agente. Armis também pode integrar-se às suas ferramentas existentes de gerenciamento de TI e segurança para identificar e classificar cada dispositivo, gerenciado ou não, em seu ambiente.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Armis_Devices_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: a Chave Secreta do Armis é necessária. Confira a documentação para saber mais sobre a API no
https://<YourArmisInstance>.armis.com/api/v1/doc
Alertas do Atlassian Beacon
Com suporte da:DEFEND Ltd.
O Atlassian Beacon é um produto de nuvem criado para detecção inteligente de ameaças nas plataformas Atlassian (Jira, Confluence e Atlassian Admin). Isso pode ajudar os usuários a detectar, investigar e responder a atividades de usuários arriscadas para o pacote de produtos Atlassian. A solução é um conector de dados personalizado da DEFEND Ltd. que é usado para visualizar os alertas ingeridos do Atlassian Beacon para Microsoft Sentinel por meio de um Aplicativo Lógico.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
atlassian_beacon_alerts_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Auditoria de configuração do Atlassian (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados Atlassian Confluence Audit fornece a capacidade de ingerir eventos Confluence Audit Records em Microsoft Sentinel por meio da API REST. Consulte a documentação de API para obter mais informações. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ConfluenceAuditLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Acesso à API de Configuração do Atlassian: a permissão de administrar o Confluence é necessária para obter acesso à API de logs de Auditoria de Configuração. Consulte a documentação da API do Confluence para saber mais sobre a API de auditoria.
Atlassian Jira Audit (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados Atlassian Jira Audit fornece a capacidade de ingerir eventos Jira Audit Records em Microsoft Sentinel por meio da API REST. Consulte a documentação de API para obter mais informações. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Jira_Audit_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: JiraAccessToken, JiraUsername é necessário para a API REST. Para obter mais informações, consulte a API. Verifique todos os requisitos e siga as instruções para obter as credenciais.
Auditoria do Atlassian Jira (usando a API REST)
Com suporte da:Microsoft Corporation
O conector de dados Atlassian Jira Audit fornece a capacidade de ingerir eventos Jira Audit Records em Microsoft Sentinel por meio da API REST. Consulte a documentação de API para obter mais informações. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Jira_Audit_v2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Acesso à API do Atlassian Jira: a permissão de Administrar Jira é necessária para obter acesso à API de logs de auditoria do Jira. Consulte a documentação da API do Jira para saber mais sobre a API de auditoria.
Auth0 Access Management (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados Auth0 Access Management fornece a capacidade de ingerir eventos de log Auth0 em Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Auth0AM_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: o token de API é necessário. Para obter mais informações, consulte o token de API
Registros Auth0
Com suporte da:Microsoft Corporation
O conector de dados Auth0 permite a ingestão de logs da API Auth0 em Microsoft Sentinel. O conector de dados é criado no Microsoft Sentinel Codeless Connector Framework. Ele usa a API Auth0 para buscar logs e dá suporte a transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos em uma tabela personalizada para que as consultas não precisem analisá-los novamente, resultando em um melhor desempenho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Auth0Logs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
WebCTRL Lógico Automatizado
Com suporte da:Microsoft Corporation
Você pode transmitir os logs de auditoria do SERVIDOR SQL do WebCTRL hospedado em computadores Windows conectados ao Microsoft Sentinel. Essa conexão permite ver painéis, criar alertas personalizados e aprimorar a investigação. Isso fornece insights sobre os Sistemas de Controle Industrial que são monitorados ou controlados pelo aplicativo WebCTRL BAS.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Event |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Conector de dados do EKS do AWS (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados do EKS do AWS fornece a capacidade de ingerir logs de auditoria do Amazon Elastic Kubernetes Service no Microsoft Sentinel. Esse conector se concentra nos logs de auditoria do EKS (formato JSON) que contêm informações detalhadas sobre solicitações de servidor de API, decisões de autenticação e atividades de cluster. O conector usa o SQS do AWS para receber notificações quando novos arquivos de log de auditoria são exportados para S3, garantindo o monitoramento de segurança em tempo real e o acompanhamento de conformidade para seus clusters do Kubernetes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AWSEKSLogs_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Logs de acesso do servidor S3 do AWS (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
Esse conector permite que você ingera logs de acesso do servidor S3 do AWS em Microsoft Sentinel. Esses logs contêm registros detalhados para solicitações feitas em buckets S3, incluindo o tipo de solicitação, o recurso acessado, as informações do solicitante e os detalhes da resposta. Esses logs são úteis para analisar padrões de acesso, depurar problemas e garantir a conformidade de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AWSS3ServerAccess |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Ambiente: você deve ter os seguintes recursos do AWS definidos e configurados: Bucket S3, SQS (Simple Queue Service), funções IAM e políticas de permissões.
Descobertas do Hub de Segurança do AWS (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
Esse conector permite a ingestão de descobertas do Hub de Segurança da AWS, que são coletadas em buckets do AWS S3, em Microsoft Sentinel. Ele ajuda a simplificar o processo de monitoramento e gerenciamento de alertas de segurança integrando as descobertas do Hub de Segurança do AWS com os recursos avançados de detecção e resposta de ameaças do Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AWSSecurityHubFindings |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Ambiente: Você deve ter os seguintes recursos do AWS definidos e configurados: Hub de Segurança do AWS, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, SQS (Simple Queue Service), funções IAM e políticas de permissões.
Atividade do Azure
Com suporte da:Microsoft Corporation
Azure Log de Atividades é um log de assinatura que fornece informações sobre eventos no nível da assinatura que ocorrem em Azure, incluindo eventos de Azure Resource Manager dados operacionais, eventos de integridade do serviço, operações de gravação realizadas nos recursos em sua assinatura e o status das atividades executadas em Azure. Para obter mais informações, consulte a documentação Microsoft Sentinel .
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureActivity |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Conta do Lote do Azure
Com suporte da:Microsoft Corporation
Azure Batch Conta é uma entidade identificada exclusivamente no serviço do Lote. A maioria das soluções do Lote usa Azure Storage para armazenar arquivos de recursos e arquivos de saída, portanto, cada conta do Lote geralmente é associada a uma conta de armazenamento correspondente. Esse conector permite transmitir os logs de diagnóstico da conta Azure Batch para Microsoft Sentinel, permitindo que você monitore continuamente a atividade. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada escopo de atribuição de política
Azure CloudNGFW by Palo Alto Networks
Com suporte por:Palo Alto Networks
O Firewall de Próxima Geração de Nuvem da Palo Alto Networks - um serviço ISV nativo Azure - é o NGFW (Palo Alto Networks Next-Generation Firewall) entregue como um serviço nativo de nuvem no Azure. Você pode descobrir o Cloud NGFW no Azure Marketplace e consumi-lo em sua VNet (Redes Virtuais) Azure. Com o Cloud NGFW, você pode acessar os principais recursos do NGFW, como ID do aplicativo, tecnologias baseadas em filtragem de URL. Ele fornece prevenção e detecção de ameaças por meio de serviços de segurança entregues na nuvem e assinaturas de prevenção contra ameaças. O conector permite que você conecte facilmente seus logs do Cloud NGFW com Microsoft Sentinel, para exibir painéis, criar alertas personalizados e melhorar a investigação. Isso proporciona mais insights sobre a rede da sua organização e aprimora suas funcionalidades de operação de segurança. Para obter mais informações, consulte a documentação Cloud NGFW para Azure.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
fluentbit_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Azure Cognitive Search
Com suporte da:Microsoft Corporation
Azure Cognitive Search é um serviço de pesquisa na nuvem que fornece aos desenvolvedores infraestrutura, APIs e ferramentas para criar uma experiência de pesquisa avançada em relação a conteúdo privado, heterogêneo em aplicativos web, móveis e empresariais. Esse conector permite transmitir seus logs de diagnóstico de Azure Cognitive Search para Microsoft Sentinel, permitindo que você monitore continuamente a atividade.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada escopo de atribuição de política
Azure Proteção contra DDoS
Com suporte da:Microsoft Corporation
Conecte-se aos logs padrão da proteção contra Azure DDoS por meio de logs de diagnóstico de endereço IP público. Além da principal proteção contra DDoS na plataforma, Azure Proteção contra DDoS Standard fornece recursos avançados de mitigação de DDoS contra ataques de rede. Ele é ajustado automaticamente para proteger seus recursos de Azure específicos. É muito simples habilitar a proteção durante a criação de novas redes virtuais. Isso também pode ser feito após a criação e não requer nenhuma alteração de aplicativo ou recurso. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Azure DevOps Logs de Auditoria (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados Azure DevOps Audit Logs permite ingerir eventos de auditoria de Azure DevOps em Microsoft Sentinel. Esse conector de dados é criado usando o Microsoft Sentinel Codeless Connector Framework, garantindo uma integração perfeita. Ele aproveita a API de Logs de Auditoria do Azure DevOps para buscar eventos de auditoria detalhados e dá suporte a transformações de tempo de ingesção baseadas em DCR. Essas transformações permitem analisar os dados de auditoria recebidos em uma tabela personalizada durante a ingestão, melhorando o desempenho da consulta eliminando a necessidade de análise adicional. Usando esse conector, você pode obter visibilidade aprimorada em seu ambiente de Azure DevOps e simplificar suas operações de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ADOAuditLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Azure DevOps Pré-requisitos: Verifique o seguinte:
1. Registre um aplicativo Entra no Centro de Administração do Microsoft Entra em Registros de Aplicativo.
2. Em 'Permissões de API' - adicione Permissões a 'Azure DevOps - vso.auditlog'.
3. Em 'Certificados &segredos' – gere 'Segredo do cliente'.
4. Em "Autenticação" – adicione o URI de Redirecionamento encontrado abaixo no campo correspondente.
5. Nas configurações de Azure DevOps – habilite o log de auditoria e defina View audit log para o usuário. Azure DevOps Auditoria.
6. Verifique se o usuário atribuído para conectar o conector de dados tem a permissão Exibir logs de auditoria definida explicitamente como Permitir em todos os momentos. Essa permissão é essencial para a ingestão de log bem-sucedida. Se a permissão for revogada ou não for concedida, a ingestão de dados falhará ou será interrompida.
Azure Hub de Eventos
Com suporte da:Microsoft Corporation
Azure Event Hubs é uma plataforma de streaming de Big Data e um serviço de ingestão de eventos. Ele pode receber e processar milhões de eventos por segundo. Esse conector permite transmitir seus logs de diagnóstico do Hub de Eventos Azure para Microsoft Sentinel, permitindo que você monitore continuamente a atividade.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada escopo de atribuição de política
Azure Firewall
Com suporte da:Microsoft Corporation
Conecte-se ao Azure Firewall. Azure Firewall é um serviço de segurança de rede gerenciado baseado em nuvem que protege seus recursos de Azure Virtual Network. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
AZFWApplicationRule |
Yes | Yes |
AZFWFlowTrace |
Yes | Yes |
AZFWFatFlow |
Yes | Yes |
AZFWNatRule |
Yes | Yes |
AZFWDnsQuery |
Yes | Yes |
AZFWIdpsSignature |
Yes | Yes |
AZFWInternalFqdnResolutionFailure |
Yes | Yes |
AZFWNetworkRule |
Yes | Yes |
AZFWThreatIntel |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Azure Key Vault
Com suporte da:Microsoft Corporation
Azure Key Vault é um serviço de nuvem para armazenar e acessar segredos com segurança. Um segredo é qualquer coisa a qual você queira controlar rigidamente o acesso, como chaves de API, senhas, certificados ou chaves criptográficas. Esse conector permite transmitir seus logs de diagnóstico de Azure Key Vault para Microsoft Sentinel, permitindo que você monitore continuamente a atividade em todas as instâncias. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
AKS (Serviço de Kubernetes do Azure)
Com suporte da:Microsoft Corporation
Azure Kubernetes Service (AKS) é um serviço de orquestração de contêiner totalmente gerenciado de software livre que permite implantar, dimensionar e gerenciar contêineres do Docker e aplicativos baseados em contêiner em um ambiente de cluster. Esse conector permite transmitir seus logs de diagnóstico de Azure Kubernetes Service (AKS) para Microsoft Sentinel, permitindo que você monitore continuamente a atividade em todas as instâncias. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Aplicativos Lógicos do Azure
Com suporte da:Microsoft Corporation
Azure Logic Apps é uma plataforma baseada em nuvem para criar e executar fluxos de trabalho automatizados que integram seus aplicativos, dados, serviços e sistemas. Esse conector permite transmitir seus logs de diagnóstico de Azure Logic Apps para Microsoft Sentinel, permitindo que você monitore continuamente a atividade.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada escopo de atribuição de política
Azure Resource Graph
Com suporte da:Microsoft Corporation
Azure Resource Graph conector fornece insights mais avançados sobre eventos de Azure complementando detalhes sobre assinaturas Azure e recursos de Azure.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Policy: permissão de função de proprietário em assinaturas Azure
Barramento de Serviço do Azure
Com suporte da:Microsoft Corporation
Azure Service Bus é um agente de mensagens empresarial totalmente gerenciado com filas de mensagens e tópicos de publicação e assinatura (em um namespace). Esse conector permite transmitir seus logs de diagnóstico de Azure Service Bus para Microsoft Sentinel, permitindo que você monitore continuamente a atividade.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada escopo de atribuição de política
Bancos de Dados SQL do Azure
Com suporte da:Microsoft Corporation
Azure SQL é um mecanismo de banco de dados PaaS (Plataforma como Serviço) totalmente gerenciado que lida com a maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patch, backups e monitoramento, sem a necessidade de envolvimento do usuário. Esse conector permite transmitir seus logs de auditoria e diagnóstico de bancos de dados Azure SQL para Microsoft Sentinel, permitindo que você monitore continuamente a atividade em todas as instâncias.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Conta de Armazenamento do Azure
Com suporte da:Microsoft Corporation
Azure Storage conta é uma solução de nuvem para cenários modernos de armazenamento de dados. Ela contém todos os objetos de dados: blobs, arquivos, filas, tabelas e discos. Esse conector permite transmitir logs de diagnóstico de contas Azure Storage para seu workspace Microsoft Sentinel, permitindo que você monitore continuamente a atividade em todas as instâncias e detecte atividades mal-intencionadas em sua organização. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureMetrics |
Não | Não |
StorageBlobLogs |
Yes | Yes |
StorageQueueLogs |
Yes | Yes |
StorageTableLogs |
Yes | Yes |
StorageFileLogs |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada escopo de atribuição de política
Azure Stream Analytics
Com suporte da:Microsoft Corporation
Azure Stream Analytics é um mecanismo de processamento de eventos complexo e análise em tempo real projetado para analisar e processar grandes volumes de dados de streaming rápido de várias fontes simultaneamente. Esse conector permite transmitir os logs de diagnóstico do hub Azure Stream Analytics para Microsoft Sentinel, permitindo que você monitore continuamente a atividade.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada escopo de atribuição de política
WAF (Firewall do Aplicativo Web) do Azure
Com suporte da:Microsoft Corporation
Conecte-se ao WAF (Azure Web Application Firewall) para Gateway de Aplicativo, Front Door ou CDN. Esse WAF protege seus aplicativos contra vulnerabilidades comuns da web, como injeção de SQL e cross-site scripting, além de permitir a personalização de regras para reduzir os falsos positivos. As instruções para transmitir os logs de firewall do aplicativo Web da Microsoft para Microsoft Sentinel são mostradas durante o processo de instalação. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
MELHOR DEFESA contra Ameaças Móveis (MTD)
Com suporte da:Better Mobile Security Inc.
O Better MTD Connector permite que as Empresas conectem suas instâncias de MTD Melhores com Microsoft Sentinel, exibam seus dados em Painéis, criem alertas personalizados, usem-no para disparar guias estratégicos e expandam os recursos de busca de ameaças. Isso fornece aos usuários mais informações sobre os dispositivos móveis de organização e a capacidade de analisar rapidamente a atual postura de segurança móvel, o que melhora as operações de segurança em geral.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
BetterMTDIncidentLog_CL |
Não | Não |
BetterMTDDeviceLog_CL |
Não | Não |
BetterMTDNetflowLog_CL |
Não | Não |
BetterMTDAppLog_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
BeyondTrust PM Cloud
Com suporte por:BeyondTrust
O conector de dados da Nuvem do BeyondTrust Privilege Management fornece a capacidade de ingerir logs de auditoria de atividades e logs de eventos do cliente do BeyondTrust PM Cloud para Microsoft Sentinel.
Esse conector usa Azure Functions para efetuar pull de dados da API de Nuvem do BeyondTrust PM e ingeri-los em tabelas de Log Analytics personalizadas.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
Não | Não |
BeyondTrustPM_ClientEvents_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais da API de Nuvem do BeyondTrust PM: A ID do cliente E o Segredo do Cliente do BeyondTrust PM Cloud OAuth são necessários. A conta de API requer as seguintes permissões: Auditoria – Somente Leitura e Relatório – Somente Leitura
Conector do BigID DSPM
Com suporte por:BigID
O conector de dados BigID DSPM fornece a capacidade de ingerir casos DSPM bigid com objetos afetados e informações de fonte de dados em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
BigIDDSPMCatalog_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Acesso à API do BigID DSPM: o acesso à API do BigID DSPM por meio de um Token BigID é necessário.
Bitglass (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados Bitglass fornece a capacidade de recuperar logs de eventos de segurança dos serviços do Bitglass e mais eventos em Microsoft Sentinel por meio da API REST. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
BitglassLogs_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: BitglassToken e BitglassServiceURL são necessários para fazer chamadas à API.
Bitsight (usando Azure Functions)
Suporte ao suporte do:BitSight
O BitSight Data Connector dá suporte ao monitoramento de risco cibernético baseado em evidências, trazendo dados do BitSight em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
BitsightAlerts_data_CL |
Yes | Yes |
BitsightBreaches_data_CL |
Yes | Yes |
BitsightCompany_details_CL |
Yes | Yes |
BitsightCompany_rating_details_CL |
Yes | Yes |
BitsightDiligence_historical_statistics_CL |
Yes | Yes |
BitsightDiligence_statistics_CL |
Yes | Yes |
BitsightFindings_data_CL |
Yes | Yes |
BitsightFindings_summary_CL |
Yes | Yes |
BitsightGraph_data_CL |
Yes | Yes |
BitsightIndustrial_statistics_CL |
Yes | Yes |
BitsightObservation_statistics_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: o Token de API do BitSight é necessário. Consulte a documentação para saber mais sobre o Token de API.
Logs de eventos do Bitwarden
Com suporte da:Bitwarden Inc
Esse conector fornece informações sobre a atividade da sua organização Bitwarden, como atividade do usuário (conectado, senha alterada, 2fa etc.), atividade de criptografia (criada, atualizada, excluída, compartilhada, etc.), atividade de coleção, atividade da organização e muito mais.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
BitwardenEventLogs |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
ID do cliente bitwarden e segredo do cliente: sua chave de API pode ser encontrada no console de administração da organização Bitwarden. Consulte a documentação do Bitwarden para obter mais informações.
Box (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados do Box fornece a capacidade de ingerir eventos Box enterprise em Microsoft Sentinel usando a API REST do Box. Consulte a documentação do Box para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
BoxEvents_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais da API box: o arquivo JSON de configuração de caixa é necessário para a autenticação JWT da API REST do Box. Para obter mais informações, consulte a autenticação JWT.
Eventos de caixa (CCF)
Com suporte da:Microsoft Corporation
O conector de dados do Box fornece a capacidade de ingerir eventos Box enterprise em Microsoft Sentinel usando a API REST do Box. Consulte a documentação do Box para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
BoxEventsV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Credenciais de API do Box: a API box requer uma ID do cliente do Box App e um segredo do cliente para autenticar. Para obter mais informações, consulte a concessão de Credenciais do Cliente
-
ID do Box Enterprise: a ID do Box Enterprise é necessária para fazer a conexão. Consulte a documentação para localizar a ID da Empresa
Conector CNAPP do Check Point CloudGuard para Microsoft Sentinel
Com suporte por:Check Point
O conector de dados CloudGuard permite a ingestão de eventos de segurança da API do CloudGuard em Microsoft Sentinel ™, usando o Microsoft Sentinel's Codeless Connector Framework. O conector dá suporte a transformações de tempo de ingestão baseadas em DCR que analisam dados de eventos de segurança de entrada em colunas personalizadas. Esse processo de pré-análise elimina a necessidade de análise de tempo de consulta, resultando em um melhor desempenho para consultas de dados.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CloudGuard_SecurityEvents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Chave de API do CloudGuard: consulte as instruções fornecidas aqui para gerar uma chave de API.
Conector de Alertas de Cyberint do Check Point (via Codeless Connector Framework)
Com suporte por:Cyberint
A Cyberint, uma empresa de Check Point, fornece uma integração Microsoft Sentinel para simplificar alertas críticos e trazer inteligência de ameaças enriquecida da solução de Gerenciamento de Riscos Externos do Infinity para Microsoft Sentinel. Isso simplifica o processo de acompanhamento do status dos tíquetes com atualizações automáticas de sincronização entre sistemas. Usando essa nova integração para clientes Microsoft Sentinel, cyberint e Microsoft Sentinel existentes podem facilmente efetuar pull de logs com base nas descobertas da Cyberint em Microsoft Sentinel plataforma.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
argsentdc_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Chave de API da Cyberint do Check Point, URL do Argos e Nome do Cliente: a chave da API do conector, a URL do Argos e o Nome do Cliente são necessários
Conector DO IOC do Check Point Cyberint
Com suporte por:Cyberint
Este é o conector de dados do CHECK Point Cyberint IOC.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
iocsent_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Chave de API do Check Point Cyberint e URL do Argos: a chave de API do conector e a URL do Argos são necessárias
Cisco ASA/FTD via AMA
Com suporte da:Microsoft Corporation
O conector de firewall do Cisco ASA permite que você conecte facilmente seus logs do Cisco ASA com Microsoft Sentinel, para exibir painéis, criar alertas personalizados e melhorar a investigação. Isso proporciona mais insights sobre a rede da sua organização e aprimora suas funcionalidades de operação de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommonSecurityLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Para coletar dados de VMs não Azure, eles devem ter Azure Arc instalados e habilitados.
Saiba mais
Cisco Cloud Security (usando Azure Functions)
Com suporte da:Microsoft Corporation
A solução cisco cloud security para Microsoft Sentinel permite ingerir Cisco Secure Access e Cisco Umbrellalogs armazenados no Amazon S3 em Microsoft Sentinel usando a API REST do Amazon S3. Consulte a documentação de gerenciamento de logs do Cisco Cloud Security para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Cisco_Umbrella_dns_CL |
Yes | Yes |
Cisco_Umbrella_proxy_CL |
Yes | Yes |
Cisco_Umbrella_ip_CL |
Yes | Yes |
Cisco_Umbrella_cloudfirewall_CL |
Yes | Yes |
Cisco_Umbrella_firewall_CL |
Yes | Yes |
Cisco_Umbrella_dlp_CL |
Não | Não |
Cisco_Umbrella_ravpnlogs_CL |
Não | Não |
Cisco_Umbrella_audit_CL |
Não | Não |
Cisco_Umbrella_ztna_CL |
Não | Não |
Cisco_Umbrella_intrusion_CL |
Não | Não |
Cisco_Umbrella_ztaflow_CL |
Não | Não |
Cisco_Umbrella_fileevent_CL |
Não | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST do Amazon S3: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name são necessários para a API REST do Amazon S3.
Cisco Cloud Security (usando plano premium elástico) (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados Cisco Umbrella fornece a capacidade de ingerir eventos Cisco Umbrella armazenados no Amazon S3 em Microsoft Sentinel usando a API REST do Amazon S3. Consulte a documentação de gerenciamento de logs do Cisco Umbrella para obter mais informações.
NOTE: Esse conector de dados usa o plano Azure Functions Premium para habilitar recursos de ingestão segura e incorrerá em custos adicionais. Mais detalhes sobre preços estão aqui.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Cisco_Umbrella_dns_CL |
Yes | Yes |
Cisco_Umbrella_proxy_CL |
Yes | Yes |
Cisco_Umbrella_ip_CL |
Yes | Yes |
Cisco_Umbrella_cloudfirewall_CL |
Yes | Yes |
Cisco_Umbrella_firewall_CL |
Yes | Yes |
Cisco_Umbrella_dlp_CL |
Não | Não |
Cisco_Umbrella_ravpnlogs_CL |
Não | Não |
Cisco_Umbrella_audit_CL |
Não | Não |
Cisco_Umbrella_ztna_CL |
Não | Não |
Cisco_Umbrella_intrusion_CL |
Não | Não |
Cisco_Umbrella_ztaflow_CL |
Não | Não |
Cisco_Umbrella_fileevent_CL |
Não | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Credenciais/permissões da API REST do Amazon S3: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name são necessários para a API REST do Amazon S3.
-
Virtual Network permissões (para acesso privado): para acesso à conta de armazenamento privado, as permissões Network Contributor são necessárias no Virtual Network e na sub-rede. A sub-rede deve ser delegada a Microsoft.Web/serverFarms para integração da VNet do Aplicativo de Funções.
Cisco Duo Security (usando Azure Functions)
Com suporte da:Cisco Systems
O conector de dados cisco duo security fornece a capacidade de ingerir logs authentication, administrator logs, logs telephony, offline logs de registro e Trust Monitor em Microsoft Sentinel usando a API de Administração do Cisco Duo. Consulte a documentação de API para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CiscoDuo_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais de API do Cisco Duo: credenciais da API do Cisco Duo com permissão O log de leitura de concessão é necessário para a API do Cisco Duo. Consulte a documentação para saber mais sobre como criar credenciais de API do Cisco Duo.
Cisco ETD (usando Azure Functions)
Com suporte por:N/A
O conector busca dados da API etd para análise de ameaças
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CiscoETD_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
API de Defesa contra Ameaças de Email, chave de API, ID do Cliente e Segredo: verifique se você tem a chave de API, a ID do cliente e a chave secreta.
Cisco Meraki (usando a API REST)
Com suporte da:Microsoft Corporation
O conector Cisco Meraki permite que você conecte facilmente seus eventos da organização Cisco Meraki (eventos de segurança, alterações de configuração e solicitações de API) a Microsoft Sentinel. O conector de dados usa a API REST Cisco Meraki para buscar logs e dá suporte a transformações de tempo de ingestion baseadas em DCR que analisa os dados recebidos e ingere em ASIM e tabelas personalizadas em seu workspace Log Analytics. Esse conector de dados se beneficia de recursos como filtragem de tempo de ingestão baseada em DCR, normalização de dados.
Esquema ASIM com suporte:
- Sessão de Rede
- Sessão da Web
- Evento de Auditoria
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ASimNetworkSessionLogs |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Chave da API REST do Cisco Meraki: habilitar o acesso à API no Cisco Meraki e gerar chave de API. Consulte a documentação oficial do Cisco Meraki para obter mais informações.
-
ID da Organização Cisco Meraki: obtenha sua ID da organização Cisco Meraki para buscar eventos de segurança. Siga as etapas na documentação para obter a ID da Organização usando a Chave de API meraki obtida na etapa anterior.
Cisco Secure Endpoint (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados do Cisco Secure Endpoint (antigo AMP for Endpoints) fornece a capacidade de ingerir logs do Cisco Secure Endpoint audit e events em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
Yes | Yes |
CiscoSecureEndpointEventsV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Credenciais/regiões da API de Ponto de Extremidade Seguro da Cisco: para criar credenciais de API e entender as regiões, siga o link do documento fornecido aqui.
Click aqui.
WAN definida pelo software Cisco
Com suporte da:Cisco Systems
O conector de dados cisco software defined WAN(SD-WAN) fornece a capacidade de ingerir dados Cisco SD-WAN Syslog e Netflow em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Syslog |
Yes | Yes |
CiscoSDWANNetflow_CL |
Não | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Claroty xDome
Suporte aosuporte ao cliente:xDome
O Claroty xDome oferece funcionalidades abrangentes de gerenciamento de alertas e segurança para ambientes de rede industrial e de saúde. Ele foi projetado para mapear vários tipos de origem, identificar os dados coletados e integrá-los a modelos de dados Microsoft Sentinel. Isso resulta na capacidade de monitorar todas as ameaças potenciais nos seus ambientes industriais e de serviços de saúde em um só local, resultando em um monitoramento de segurança mais eficaz e uma postura de segurança mais forte.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommonSecurityLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Cloudflare (versão prévia) (usando Azure Functions)
Com suporte por:Cloudflare
O conector de dados cloudflare fornece a capacidade de ingerir logs Cloudflare em Microsoft Sentinel usando o Cloudflare Logpush e Azure Blob Storage. Confira a documentação da Cloudflare para saber mais.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Cloudflare_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Azure Blob Storage connection string e nome do contêiner: Azure Blob Storage connection string e o nome do contêiner em que os logs são enviados por push pelo Cloudflare Logpush. Para obter mais informações, consulte creating Azure Blob Storage container.
Cloudflare (usando contêiner blob) (via Codeless Connector Framework)
Com suporte por:Cloudflare
O conector de dados Cloudflare fornece a capacidade de ingerir logs do Cloudflare em Microsoft Sentinel usando o Cloudflare Logpush e o Azure Blob Storage. Consulte a documentação da Cloudflarepara mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CloudflareV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Criar uma conta de armazenamento e um contêiner: antes de configurar o logpush no Cloudflare, primeiro crie uma conta de armazenamento e um contêiner no Microsoft Azure. Use este guia para saber mais sobre Container e Blob. Siga as etapas no documentation para criar uma conta Azure Storage.
- Gerar uma URL SAS de Blob: permissões de criação e gravação são necessárias. Consulte a documentação para saber mais sobre o token e a URL do Blob SAS.
-
Coletando logs do Cloudflare para o contêiner de Blob: siga as etapas na documentação para coletar logs do Cloudflare para o contêiner de Blob.
Cognni
Com suporte por:Cognni
O conector cognni oferece uma integração rápida e simples com Microsoft Sentinel. Você pode usar o Cognni para mapear de maneira autônoma informações importantes não classificadas anteriormente e detectar incidentes relacionados. Assim é possível reconhecer os riscos para informações importantes, compreender a severidade dos incidentes e investigar os detalhes que você precisa corrigir, com rapidez suficiente para fazer a diferença.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CognniIncidents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Cohesity (usando Azure Functions)
Com suporte por:Coesão
Os aplicativos de função coesão fornecem a capacidade de ingerir alertas de ransomware Datahawk coeso em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Cohesity_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Azure Blob Storage connection string e nome do contêiner: Azure Blob Storage connection string e nome do contêiner
CommvaultSecurityIQ
Com suporte por:Commvault
Essa função Azure permite que os usuários do Commvault ingeram alertas/eventos em sua instância de Microsoft Sentinel. Com as Regras analíticas, Microsoft Sentinel podem criar automaticamente Microsoft Sentinel incidentes de eventos e logs de entrada.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommvaultAlerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- URL do Ponto de Extremidade do Ambiente do Commvault: siga a documentação e defina o valor do segredo no KeyVault
-
Token QSDK do Commvault: siga a documentação e defina o valor do segredo no KeyVault
ContrastADR
Com suporte por:Contrast Security
O conector de dados ContrastADR fornece a capacidade de ingerir eventos de ataque contrast ADR em Microsoft Sentinel usando o Webhook ContrastADR. O conector de dados ContrastADR pode enriquecer os dados recebidos do webhook com chamadas de enriquecimento da API ContrastADR.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ContrastADR_CL |
Não | Não |
ContrastADRIncident_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
Exportador do Conector do Corelight
Com suporte por:Corelight
O conector de dados Corelight permite que respondentes de incidentes e caçadores de ameaças que usam Microsoft Sentinel trabalhem de forma mais rápida e eficaz. O conector de dados permite a ingestão de eventos de Zeek e Suricata por meio de sensores corelight em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Corelight |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Cortex XDR – Incidentes
Com suporte da:DEFEND Ltd.
Conector de dados personalizados do DEFEND para utilizar a API Cortex para ingerir incidentes da plataforma Cortex XDR em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CortexXDR_Incidents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Credenciais da API Cortex: o Token de API Cortex é necessário para a API REST. Para obter mais informações, consulte a API. Verifique todos os requisitos e siga as instruções para obter as credenciais.
Cribl
Com suporte por:Cribl
O conector Cribl permite que você conecte facilmente seus logs do Cribl (Cribl Enterprise Edition – Autônomo) com Microsoft Sentinel. Isso lhe dá mais informações sobre segurança nos pipelines de dados da sua organização.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CriblInternal_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Conector de dados da API CrowdStrike (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O CrowdStrike Data Connector permite a ingestão de logs da API CrowdStrike em Microsoft Sentinel. Esse conector fornece a capacidade de ingerir CrowdStrike Alerts, Detections, Hosts, Cases e Vulnerabilities em Microsoft Sentinel. Esse conector é criado no Microsoft Sentinel Codeless Connector Framework e usa a API CrowdStrike para buscar logs. Ele dá suporte a transformações de tempo de ingestão baseadas em DCR para que as consultas possam ser executadas com mais eficiência. Consulte a documentação da API do CrowdStrike para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CrowdStrikeAlerts |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Cliente e escopos da API OAuth2 do Crowdstrike: Alertas, Integrações de API, Logs de Aplicativos, Casos, Regras de Correlação, Detecções, Hosts, Ativos, Incidentes, Arquivos em Quarentena, Vulnerabilidades são necessários para a API REST. Para obter mais informações, consulte a API.
CrowdStrike Falcon Adversary Intelligence (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector CrowdStrike Falcon Indicators of Compromise recupera os indicadores de comprometimento da API Intel do Falcon e os carrega Microsoft Sentinel Intel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelIndicators |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
ID do cliente da API crowdstrike e segredo do cliente: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. As credenciais do CrowdStrike devem ter o escopo de leitura indicadores (Inteligência Falcon).
Replicador de dados Do CrowdStrike Falcon (AWS S3) (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector do Crowdstrike Falcon Data Replicator (S3) fornece a capacidade de ingerir eventos FDR datainto Microsoft Sentinel do bucket AWS S3 em que os logs FDR foram transmitidos. O conector fornece a capacidade de obter eventos de Agentes do Falcon que ajudam a examinar riscos de segurança em potencial, a analisar a colaboração da sua equipe, a diagnosticar problemas de configuração e muito mais.
NOTE:
1. A licença FDR do CrowdStrike deve estar disponível e habilitada.
2. O conector requer que uma função IAM seja configurada no AWS para permitir o acesso ao bucket do AWS S3 e pode não ser adequado para ambientes que aproveitam o CrowdStrike – buckets gerenciados.
3. Para ambientes que aproveitam buckets gerenciados pelo CrowdStrike, configure o conector crowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3 ).
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CrowdStrike_Additional_Events_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (usando Azure Functions)
Com suporte da:Microsoft Corporation
Esse conector permite a ingestão de dados FDR em Microsoft Sentinel usando Azure Functions para dar suporte à avaliação de possíveis riscos de segurança, análise de atividades de colaboração, identificação de problemas de configuração e outros insights operacionais.
NOTE:
1. A licença FDR do CrowdStrike deve estar disponível e habilitada.
2. O conector usa uma autenticação baseada em Chave & Segredo e é adequado para buckets gerenciados pelo CrowdStrike.
3. Para ambientes que usam um bucket AWS S3 totalmente de propriedade, a Microsoft recomenda usar o conector do AWS S3 (Replicador de Dados Falcon) do CrowdStrike .
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CrowdStrikeReplicatorV2 |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões de conta do SQS e do AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL é necessário. Para obter mais informações, consulte o pull de dados. Para começar, entre em contato com o suporte do CrowdStrike. A sua solicitação, eles criarão um bucket S3 do AWS (Amazon Web Services) gerenciado pelo CrowdStrike para fins de armazenamento de curto prazo, bem como uma conta SQS (serviço de fila simples) para monitorar alterações no bucket S3.
CTERA Syslog
Com suporte por:CTERA
O CTERA Data Connector for Microsoft Sentinel oferece recursos de monitoramento e detecção de ameaças para sua solução CTERA. Ele inclui uma pasta de trabalho que visualiza a soma de todas as operações por tipo, exclusões e operações de acesso negado. Ele também fornece regras analíticas que detectam incidentes de ransomware e alertam você quando um usuário é bloqueado devido a atividades suspeitas de ransomware. Além disso, ele ajuda você a identificar padrões críticos, como eventos de acesso negado em massa, exclusões em massa e alterações de permissão em massa, permitindo o gerenciamento e a resposta proativos a ameaças.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Syslog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
CTM360 CyberBlindSpot (sem servidor)
Com suporte do:Cyber Threat Management 360
O conector do CTM360 Cyber Blind Spot (CBS) fornece integração com a plataforma CBS do CTM360 para ingerir dados de segurança em seis tipos de módulo: incidentes, logs de malware, credenciais violadas, cartões comprometidos, violação de domínio e violação de subdomínio. Esse conector usa o CCF (Codeless Connector Framework) para coleta de dados sem servidor.
Tipos de dados:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CBSLog_AzureV2_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Tecla de API da CBS CTM360: uma chave válida da API ctm360 cyber blind spot é necessária para se conectar ao ponto de extremidade da API da CBS.
CTM360 HackerView (sem servidor)
Com suporte do:Cyber Threat Management 360
O conector CTM360 HackerView permite que você ingera problemas de segurança e vulnerabilidades de sua plataforma de Gerenciamento de Superfície de Ataque Externo HackerView no Microsoft Sentinel. Esse conector sem servidor usa a API REST para efetuar pull automático de dados de problema para análise e correlação com outros eventos de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
HackerViewLog_AzureV2_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Chave de API do HackerView: é necessária uma chave de API do HackerView válida com permissões para acessar dados de problemas.
Logs personalizados via AMA
Com suporte da:Microsoft Corporation
Muitos aplicativos registram informações em arquivos JSON ou texto em vez de serviços de log padrão, como Windows logs de eventos, Syslog ou CEF. O conector de dados de Logs Personalizados permite coletar eventos de arquivos em computadores Windows e Linux e transmiti-los para tabelas de logs personalizadas que você criou. Ao transmitir os dados, você pode analisar e transformar o conteúdo usando o DCR. Depois de coletar os dados, você pode aplicar regras analíticas, busca, pesquisa, inteligência contra ameaças, enriquecimentos e muito mais.
OBSERVAÇÃO: Use este conector para os seguintes dispositivos: Cisco Meraki, ZPA (Zscaler Private Access), VMware vCenter, servidor APACHE HTTP, Apache Tomcat, plataforma de aplicativos Jboss Enterprise, Juniper IDP, MarkLogic Audit, Auditoria do MongoDB, servidor HTTP Nginx, servidor Oracle Weblogic, Eventos PostgreSQL, Proxy de Lula, Ubiquiti UniFi, SAP de detecção de ameaças securitybridge e fluxo vectra de IA.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
JBossEvent_CL |
Não | Não |
JuniperIDP_CL |
Yes | Yes |
ApacheHTTPServer_CL |
Yes | Yes |
Tomcat_CL |
Yes | Yes |
meraki_CL |
Yes | Yes |
VectraStream_CL |
Não | Não |
MarkLogicAudit_CL |
Não | Não |
MongoDBAudit_CL |
Yes | Yes |
NGINX_CL |
Yes | Yes |
OracleWebLogicServer_CL |
Yes | Yes |
PostgreSQL_CL |
Yes | Yes |
SquidProxy_CL |
Yes | Yes |
Ubiquiti_CL |
Yes | Yes |
vcenter_CL |
Yes | Yes |
ZPA_CL |
Yes | Yes |
SecurityBridgeLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Permissions: para coletar dados de VMs não Azure, eles devem ter Azure Arc instalados e habilitados.
Saiba mais
Auditoria do CyberArk
Suporte para:Suporte do CyberArk
O conector de dados da Auditoria CyberArk permite que o Microsoft Sentinel ingera logs de eventos de segurança e outros eventos do serviço de Auditoria CyberArk por meio da API REST. Essa integração ajuda você a detectar possíveis riscos de segurança, monitorar a atividade do usuário, analisar padrões de colaboração, solucionar problemas de configuração e obter informações mais profundas sobre seu ambiente.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyberArk_AuditEvents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Plataforma de Serviço de Auditoria do CyberArk: Acesso para executar as configurações necessárias na plataforma de Auditoria do CyberArk
CyberArkAudit (usando Azure Functions)
Suporte para:Suporte do CyberArk
O conector de dados CyberArk Audit fornece a capacidade de recuperar logs de eventos de segurança do serviço de Auditoria CyberArk e mais eventos em Microsoft Sentinel por meio da API REST. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyberArk_AuditEvents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Auditar detalhes e credenciais de conexões da API REST: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint e AuditApiBaseUrl são necessários para fazer chamadas à API.
Cybersixgill Alertas acionáveis (usando Azure Functions)
Com suporte por:Cybersixgill
Os alertas acionáveis fornecem alertas personalizados com base em ativos configurados
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyberSixgill_Alerts_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: Client_ID e Client_Secret são necessários para fazer chamadas à API.
Alertas de visão cíclica
Suporte ao:Cyble Support
O conector de dados CCF Cyble Vision permite a ingestão de alertas de ameaças da Visão Cíclica em Microsoft Sentinel usando o Conector da Estrutura do Conector Sem Código. Ele coleta dados de alerta por meio da API, normaliza-os e os armazena em uma tabela personalizada para detecção, correlação e resposta avançadas.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CybleVisionAlerts_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Token de API da Cyble Vision: é necessário um token de API da Cyble Vision Platform.
Pacotes de busca de caçadores de segurança cyborg
Com suporte da:Cyborg Security
A Cyborg Security é uma fornecedora líder de soluções avançadas de busca de ameaças, com a missão de capacitar as organizações com tecnologia de ponta e ferramentas colaborativas para detectar e responder proativamente às ameaças cibernéticas. A principal oferta da Cyborg Security, a Plataforma HUNTER, combina análises avançadas, conteúdo de busca de ameaças coletado e capacidades abrangentes de gerenciamento de busca para criar um ecossistema dinâmico para operações eficazes de busca de ameaças.
Siga as etapas para obter acesso à Comunidade da Cyborg Security e configurar os recursos "Abrir na Ferramenta" na Plataforma HUNTER.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityEvent |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Conector de dados do Microsoft Sentinel do Cyera DSPM
Com suporte da:Cyera Inc
O conector de dados do Cyera DSPM permite que você se conecte ao locatário do DSPM do Cyera e ingerir classificações, ativos, problemas e recursos/definições de identidade no Microsoft Sentinel. O conector de dados é criado no Microsoft Sentinel's Codeless Connector Framework e usa a API do Cyera para buscar a Telemetria DSPM do Cyera uma vez recebida pode ser correlacionada com eventos de segurança criando colunas personalizadas para que as consultas não precisem analisá-la novamente, resultando em um melhor desempenho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyeraClassifications_CL |
Não | Não |
CyeraAssets_CL |
Não | Não |
CyeraAssets_MS_CL |
Não | Não |
CyeraIssues_CL |
Não | Não |
CyeraIdentities_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Superfície de ataque CYFIRMA
Com suporte por:CYFIRMA
N/A
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
Yes | Yes |
CyfirmaASConfigurationAlerts_CL |
Yes | Yes |
CyfirmaASDomainIPReputationAlerts_CL |
Yes | Yes |
CyfirmaASOpenPortsAlerts_CL |
Yes | Yes |
CyfirmaASCloudWeaknessAlerts_CL |
Yes | Yes |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Inteligência de Marca CYFIRMA
Com suporte por:CYFIRMA
N/A
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
Yes | Yes |
CyfirmaBIExecutivePeopleAlerts_CL |
Yes | Yes |
CyfirmaBIProductSolutionAlerts_CL |
Yes | Yes |
CyfirmaBISocialHandlersAlerts_CL |
Yes | Yes |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Contas comprometidas por CYFIRMA
Com suporte por:CYFIRMA
O conector de dados CYFIRMA Compromised Accounts permite a ingestão de log perfeita da API de DeCYFIR/DeTCT em Microsoft Sentinel. Criado no Microsoft Sentinel Codeless Connector Framework, ele aproveita a API de DeCYFIR/DeTCT para recuperar logs. Além disso, ele dá suporte a transformações de tempo de ingestão baseadas em DCR, que analisam dados de segurança em uma tabela personalizada durante a ingestão. Isso elimina a necessidade de análise de tempo de consulta, aprimorando o desempenho e a eficiência.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Inteligência Cibernética da CYFIRMA
Com suporte por:CYFIRMA
O conector de dados cyfirma cyber intelligence permite a ingestão de log contínuo da API DeCYFIR em Microsoft Sentinel. Baseado no Microsoft Sentinel Codeless Connector Framework, ele aproveita a API de Alertas de DeCYFIR para recuperar logs. Além disso, ele dá suporte a transformações de tempo de ingestão baseadas em DCR, que analisam dados de segurança em uma tabela personalizada durante a ingestão. Isso elimina a necessidade de análise de tempo de consulta, aprimorando o desempenho e a eficiência.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyfirmaIndicators_CL |
Yes | Yes |
CyfirmaThreatActors_CL |
Yes | Yes |
CyfirmaCampaigns_CL |
Yes | Yes |
CyfirmaMalware_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Risco digital CYFIRMA
Com suporte por:CYFIRMA
O conector de dados alertas de risco digital CYFIRMA permite a ingestão de log perfeita da API de DeCYFIR/DeTCT em Microsoft Sentinel. Baseado no Microsoft Sentinel Codeless Connector Framework, ele aproveita a API de Alertas de DeCYFIR para recuperar logs. Além disso, ele dá suporte a transformações de tempo de ingestão baseadas em DCR, que analisam dados de segurança em uma tabela personalizada durante a ingestão. Isso elimina a necessidade de análise de tempo de consulta, aprimorando o desempenho e a eficiência.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
Yes | Yes |
CyfirmaDBWMRansomwareAlerts_CL |
Yes | Yes |
CyfirmaDBWMDarkWebAlerts_CL |
Yes | Yes |
CyfirmaSPESourceCodeAlerts_CL |
Yes | Yes |
CyfirmaSPEConfidentialFilesAlerts_CL |
Yes | Yes |
CyfirmaSPEPIIAndCIIAlerts_CL |
Yes | Yes |
CyfirmaSPESocialThreatAlerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Inteligência de vulnerabilidades CYFIRMA
Com suporte por:CYFIRMA
O conector de dados do CYFIRMA Vulnerabilities Intelligence permite a ingestão de log perfeita da API de DeCYFIR em Microsoft Sentinel. Criado no Microsoft Sentinel Codeless Connector Framework, ele aproveita as API CYFIRMA para recuperar logs. Além disso, ele dá suporte a transformações de tempo de ingestão baseadas em DCR, que analisam dados de segurança em uma tabela personalizada durante a ingestão. Isso elimina a necessidade de análise de tempo de consulta, aprimorando o desempenho e a eficiência.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyfirmaVulnerabilities_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Eventos de segurança do Cynerio
Com suporte de:Cynerio
O conector Cynerio permite que você conecte facilmente seus Eventos de Segurança do Cynerio com Microsoft Sentinel, para exibir eventos IDS. Isso fornece mais informações sobre a postura de segurança da rede da sua organização e melhora seus recursos de operação de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CynerioEvent_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Inteligência contra ameaças cyren
Com suporte por:Data443 Risk Mitigation, Inc.
Ingerir indicadores de REPUTAÇÃO IP e URL de malware do Cyren usando o CCF (Common Connector Framework).
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Cyren_Indicators_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Tokens JWTCyren: tokens JWT armazenados em Azure Key Vault ou fornecidos no momento da implantação.
Darktrace Connector for Microsoft Sentinel API REST
Com suporte por:Darktrace
O conector da API REST do Darktrace envia eventos em tempo real do Darktrace para Microsoft Sentinel e foi projetado para ser usado com a Solução Darktrace para Sentinel. O conector grava logs em uma tabela de logs personalizada intitulada "darktrace_model_alerts_CL". Violações de modelo, incidentes de analistas de IA, alertas do sistema e alertas de email podem ser ingeridos; e filtros adicionais podem ser configurados na página de configuração do sistema do Darktrace. Os dados são enviados por push para o Sentinel de mestres do Darktrace.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
darktrace_model_alerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Pré-requisitos do Darktrace: para usar esse Conector de Dados, é necessário um mestre do Darktrace executando v5.2+. Os dados são enviados para a Azure Monitor API do Coletor de Dados HTTP em HTTPs dos mestres do Darktrace, portanto, a conectividade de saída do mestre darktrace para Microsoft Sentinel API REST é necessária.
- Filtrar Dados do Darktrace: durante a configuração, é possível configurar filtragem adicional na página Configuração do Sistema do Darktrace para restringir a quantidade ou os tipos de dados enviados.
-
Try the Darktrace Sentinel Solution: você pode aproveitar ao máximo esse conector instalando a Solução Darktrace para Microsoft Sentinel. Isso fornecerá pastas de trabalho para visualizar dados de alerta e regras de análise para criar automaticamente alertas e incidentes de violações de modelo do Darktrace e incidentes de analista de IA.
DataBahn
Com suporte por:Databahn
O conector do DataBahn fornece a capacidade de enviar por push a telemetria da plataforma em tempo real do seu ambiente do DataBahn diretamente para o Microsoft Sentinel usando o padrão de push ccf (Codeless Connector Framework). Esse conector ingere logs de auditoria, alertas operacionais e inventário de dispositivos em tabelas personalizadas do Log Analytics para análise, alertas e visualização.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
databahn_audit_logs_CL |
Não | Não |
databahn_alerts_CL |
Não | Não |
databahn_device_inventory_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento na regra de coleta de dados (DCR). Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC.
Datalake2Sentinel
Compatível com:Orange Cyberdefense
Essa solução instala o conector Datalake2Sentinel criado usando o Codeless Connector Framework e permite que você ingera automaticamente indicadores de inteligência contra ameaças de A plataforma CTI do Orange Cyberdefense em Microsoft Sentinel por meio da API REST de Indicadores de Upload. Depois de instalar a solução, configure e ative esse conector de dados seguindo as orientações na visualização Gerenciar solução.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Dataminr Pulse Alerts Data Connector (usando Azure Functions)
Suporte para:Suporte do Dataminr
O Conector de Dados de Alertas do Dataminr Pulse traz nossa inteligência em tempo real alimentada por IA para Microsoft Sentinel para detecção e resposta de ameaças mais rápidas.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DataminrPulse_Alerts_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Credenciais/permissões necessárias do Dataminr:
a. Os usuários devem ter um ID de cliente e um segredo válidos da API Dataminr Pulse para usar esse conector de dados.
b. Uma ou mais listas de observação do Dataminr Pulse devem ser configuradas no site do Dataminr Pulse.
Datawiza DAP
Com suporte da:Datawiza Technology Inc.
Conecta os logs do DATAwiza DAP ao Azure Log Analytics por meio da interface da API REST
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
datawizaserveraccess_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Derdack SIGNL4
Com suporte por:Derdack
Quando os sistemas críticos falham ou ocorrem incidentes de segurança, o SIGNL4 faz a ponte da “última milha” para sua equipe, engenheiros, administradores de TI e funcionários em campo. Ele adiciona alertas móveis em tempo real nos seus serviços, sistemas e processos em pouco tempo. O SIGNL4 notifica por meio de push móvel persistente, texto por SMS e chamadas de voz com confirmação, acompanhamento e escalonamento. O serviço integrado e o agendamento de turnos garantem que as pessoas certas sejam alertadas na hora certa.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityIncident |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Digital Shadows Searchlight (usando Azure Functions)
Com suporte por:Sombras Digitais
O conector de dados sombras digitais fornece ingestão dos incidentes e alertas do Digital Shadows Searchlight para o Microsoft Sentinel usando a API REST. O conector mostra informações sobre incidentes e alertas, de modo que ajuda a examinar, diagnosticar e analisar os possíveis riscos e ameaças à segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DigitalShadows_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: A ID da conta, o segredo e a chave das Sombras Digitais são necessários. Consulte a documentação para obter mais informações sobre a API no
https://portal-digitalshadows.com/learn/searchlight-api/overview/description.
DNS
Com suporte da:Microsoft Corporation
O conector de log DNS permite que você conecte facilmente seus logs de análise e auditoria de DNS com Microsoft Sentinel e outros dados relacionados para melhorar a investigação.
Ao habilitar a coleção de logs DNS, você pode:
- Identificar clientes que tentam resolver nomes de domínio mal-intencionados.
- Identificar registros de recursos obsoletos.
- Identifique nomes de domínio consultados com frequência e clientes DNS falantes.
- Exibir a carga de solicitação em servidores DNS.
- Exibir falhas de registro DNS dinâmicas.
Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DnsEvents |
Yes | Yes |
DnsInventory |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Conector de Dados do Doppel
Com suporte por:Doppel
O conector de dados é baseado em Microsoft Sentinel para eventos e alertas do Doppel e dá suporte a transformações de tempo de ingestion baseadas em DCR que analisa os dados de evento de segurança recebidos em colunas personalizadas para que as consultas não precisem analisá-los novamente, resultando em um melhor desempenho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DoppelTable_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Microsoft Entra ID do locatário, ID do cliente e segredo do cliente: Microsoft Entra ID requer uma ID do cliente e um segredo do cliente para autenticar seu aplicativo. Além disso, o acesso ao nível de administrador global/proprietário é necessário para atribuir ao aplicativo registrado pela Entra uma função do Publicador de Métricas de Monitoramento de Grupo de Recursos.
-
Requires Workspace ID, DCE-URI, DCR-ID: você precisará obter a ID do workspace Log Analytics, o URI de ingestão de logs de DCE e a ID Imutável do DCR para a configuração.
Notificações do Dragos por meio do Cloud Sitestore
Com suporte por:Dragos Inc
A Plataforma Dragos é a principal plataforma de Segurança Cibernética Industrial que oferece uma detecção abrangente de ameaças cibernéticas de Tecnologia Operacional (OT) criada por uma experiência incomparável em segurança cibernética industrial. Essa solução permite que os dados de notificação da Plataforma Dragos sejam exibidos em Microsoft Sentinel para que os analistas de segurança possam fazer a triagem de possíveis eventos de segurança cibernética que ocorrem em seus ambientes industriais.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DragosAlerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Acesso à API do Dragos Sitestore: uma conta de usuário do Sitestore que tem a
notification:readpermissão. Essa conta também precisa ter uma chave de API que possa ser fornecida ao Sentinel.
Conector de Eventos druva
Com suporte por:Druva Inc
Fornece capacidade para ingerir os eventos druva de APIs druva
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DruvaSecurityEvents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Acesso à API druva: a API druva requer uma ID do cliente e um segredo do cliente para autenticar
Finanças e operações do Dynamics 365
Com suporte da:Microsoft Corporation
Dynamics 365 para Finanças e Operações é uma solução abrangente de ERP (Enterprise Resource Planning) que combina recursos financeiros e operacionais para ajudar as empresas a gerenciar suas operações diárias. Ele oferece uma variedade de recursos que permitem que as empresas otimizem fluxos de trabalho, automatizem tarefas e obtenham insights sobre o desempenho operacional.
O conector de dados de Dynamics 365 Finance e Operações ingere Dynamics 365 Finance e logs de auditoria e atividades de administrador de operações, bem como logs de atividades de aplicativos e processos de negócios do usuário em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
FinanceOperationsActivity_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Microsoft Entra registro de aplicativo: ID e segredo do cliente do aplicativo usados para acessar Dynamics 365 Finance e Operações.
Dynamics365
Com suporte da:Microsoft Corporation
O conector de atividades do CDS (Common Data Service) Dynamics 365 fornece insights sobre atividades de administração, usuário e suporte, bem como eventos de registro em log do Microsoft Social Engagement. Ao conectar Dynamics 365 logs de CRM em Microsoft Sentinel, você pode exibir esses dados em pastas de trabalho, usá-los para criar alertas personalizados e melhorar o processo de investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Dynamics365Activity |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Ataques de Dynatrace
Com suporte por:Dynatrace
Esse conector usa a API REST de Ataques de Dynatrace para ingerir ataques detectados em Microsoft Sentinel Log Analytics
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DynatraceAttacks_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Locatário do Dynatrace (por exemplo, xyz.dynatrace.com): você precisa de um locatário Dynatrace válido com a Segurança do Aplicativo habilitada, saiba mais sobre a plataforma Dynatrace.
-
Token de Acesso do Dynatrace: você precisa de um Token de Acesso do Dynatrace, o token deve ter o escopo de ataques de leitura (attacks.read).
Logs de Auditoria do Dynatrace
Com suporte por:Dynatrace
Esse conector usa a API REST Dynatrace Audit Logs para ingerir logs de auditoria de locatário em Microsoft Sentinel Log Analytics
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DynatraceAuditLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Locatário do Dynatrace (por exemplo, xyz.dynatrace.com): você precisa de um locatário Dynatrace válido para saber mais sobre a plataforma Dynatrace , inicie sua avaliação gratuita.
-
Token de Acesso do Dynatrace: você precisa de um Token de Acesso do Dynatrace, o token deve ter escopo de logs de auditoria de leitura (auditLogs.read).
Problemas de Dynatrace
Com suporte por:Dynatrace
Esse conector usa a API REST do problema Dynatrace para ingerir eventos de problema em Microsoft Sentinel Log Analytics
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DynatraceProblems_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Locatário do Dynatrace (por exemplo, xyz.dynatrace.com): você precisa de um locatário Dynatrace válido para saber mais sobre a plataforma Dynatrace , inicie sua avaliação gratuita.
-
Token de Acesso do Dynatrace: você precisa de um Token de Acesso do Dynatrace, o token deve ter o escopo De leitura de problemas (problemas.leitura).
Vulnerabilidades do Dynatrace Runtime
Com suporte por:Dynatrace
Esse conector usa a API REST Dynatrace Security Problem para ingerir vulnerabilidades de runtime detectadas em Microsoft Sentinel Log Analytics.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DynatraceSecurityProblems_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Locatário do Dynatrace (por exemplo, xyz.dynatrace.com): você precisa de um locatário Dynatrace válido com a Segurança do Aplicativo habilitada, saiba mais sobre a plataforma Dynatrace.
-
Token de Acesso do Dynatrace: você precisa de um Token de Acesso do Dynatrace, o token deve ter o escopo de segurança de leitura (securityProblems.read).
Agente Elástico (autônomo)
Com suporte da:Microsoft Corporation
O conector de dados Elastic Agent fornece a capacidade de ingerir logs, métricas e dados de segurança do Elastic Agent em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ElasticAgentEvent |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Inclua pré-requisitos personalizados se a conectividade exigir – caso contrário, exclua os costumes: Descrição para qualquer pré-requisito personalizado
Eventos de segurança do navegador Ermes
Compatível com:Ermes Cyber Security S.p.A.
Eventos de segurança do navegador Ermes
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
ID do cliente e segredo do cliente do Ermes: habilitar o acesso à API no Ermes. Entre em contato com o suporte da Ermes Cyber Security para obter mais informações.
ESET Protect Platform (usando Azure Functions)
Com suporte por:ESET Enterprise Integrations
O conector de dados do ESET Protect Platform permite que os usuários injetem dados de detecções de ESET Protect Platform usando a API REST Integration. A API REST de integração é executada como agendada Azure Aplicativo de Funções.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
IntegrationTable_CL |
Yes | Yes |
IntegrationTableIncidents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Permission para registrar um aplicativo no Microsoft Entra ID: são necessárias permissões suficientes para registrar um aplicativo com seu locatário Microsoft Entra.
-
Permission para atribuir uma função ao aplicativo registrado: é necessária permissão para atribuir a função Editor de Métricas de Monitoramento ao aplicativo registrado no Microsoft Entra ID.
Coletor local do Exchange Security Insights
Com suporte por:Community
Conector usado para enviar por push a configuração de segurança local do Exchange para análise de Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ESIExchangeConfig_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Conta de Serviço com função de Gerenciamento de Organização: a conta de serviço que inicia o script como tarefa agendada precisa ser o Gerenciamento da Organização para poder recuperar todas as informações de segurança necessárias.
-
Documentação detalhada: >OBSERVAÇÃO: documentação detalhada sobre o procedimento de instalação e o uso pode ser encontrada aqui
Exchange Security Insights Online Collector (usando Azure Functions)
Com suporte por:Community
Conector usado para enviar por push Exchange Online configuração de segurança para análise de Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ESIExchangeOnlineConfig_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- permissões microsoft.automation/automationaccounts: são necessárias permissões de leitura e gravação para criar um Azure Automation com um Runbook. Para obter mais informações, consulte a Conta de Automação.
- permissões Microsoft.Graph: permissões Groups.Read, Users.Read e Auditing.Read são necessárias para recuperar informações de usuário/grupo vinculadas a atribuições de Exchange Online. Veja a documentação para saber mais.
- permissões
Exchange Online : permissão Exchange.ManageAsApp eGlobal Reader ouA função Leitor de Segurança é necessária para recuperar o Exchange Online Security Configuration.Se a documentação para saber mais . -
(Opcional) Permissões de Armazenamento de Log: o Colaborador de Dados de Blobs de Armazenamento para uma conta de armazenamento vinculada à identidade gerenciada da conta de automação ou uma ID de aplicativo é obrigatório para armazenar logs. Confira a documentação para saber mais.
ExtraHop Detections Data Connector (usando Azure Functions)
Suporte para:Suporte ao ExtraHop
O conector de dados ExtraHop permite importar dados de detecção do ExtraHop RevealX para Microsoft Sentinel por meio de cargas de webhook.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ExtraHop_Detections_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Permissões ExtraHop RevealX: o seguinte é necessário em seu sistema ExtraHop RevealX: 1.Seu sistema RevealX deve estar executando o firmware versão 9.9.2 ou posterior.
2.Seu sistema RevealX deve estar conectado aos Serviços de Nuvem ExtraHop.
3.Sua conta de usuário deve ter privilégios de Administração do Sistema no RevealX 360 ou privilégios de Gravação Completa no RevealX Enterprise.
F5 BIG-IP
Com suporte por:F5 Networks
O conector de firewall F5 permite que você conecte facilmente seus logs F5 com Microsoft Sentinel, para exibir painéis, criar alertas personalizados e melhorar a investigação. Isso proporciona mais insights sobre a rede da sua organização e aprimora suas funcionalidades de operação de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
F5Telemetry_LTM_CL |
Não | Não |
F5Telemetry_system_CL |
Yes | Yes |
F5Telemetry_ASM_CL |
Não | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Feedly IoC
Com suporte por:Feedly Inc
O conector de dados Feedly IoC fornece a capacidade de ingerir IoCs (Indicadores de Comprometimento) da API Feedly em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
feedly_indicators_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Acesso à API feedly: o acesso à API feedly é necessário. Você precisa de um token de API feedly com acesso aos fluxos de IoC que deseja ingerir. Gerar o token de API em https://feedly.com/i/team/api
Conector de push de sinalizador
Com suporte por:Flare
O conector Flare fornece a capacidade de ingerir dados de inteligência contra ameaças e exposição do Flare em Microsoft Sentinel. O Flare identifica os ativos digitais da sua empresa disponibilizados publicamente devido a erros humanos ou ataques mal-intencionados, incluindo credenciais vazadas, buckets de nuvem expostos, menções à darkweb e muito mais.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
FireworkV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID.
- Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento na regra de coleta de dados (DCR).
-
Flare: permissão para configurar a integração Microsoft Sentinel no Flare.
Forcepoint DLP
Com suporte por:Community
O conector de DLP do Forcepoint (Prevenção contra Perda de Dados) permite que você exporte automaticamente dados de incidente DLP do Forcepoint DLP para Microsoft Sentinel em tempo real. Isso enriquece a visibilidade das atividades do usuário e incidentes de perda de dados, permite uma correlação adicional com dados de cargas de trabalho Azure e outros feeds e melhora a capacidade de monitoramento com pastas de trabalho dentro de Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ForcepointDLPEvents_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Forescout
Com suporte da:Microsoft Corporation
O conector de dados Forescout fornece a capacidade de ingerir eventos Forescout em Microsoft Sentinel. Consulte a documentação do Forescout para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ForescoutEvent |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Monitor da propriedade host forescout
Com suporte da:Microsoft Corporation
O conector do Forescout Host Property Monitor permite que você conecte as propriedades do host da plataforma Forescout com Microsoft Sentinel, para exibir, criar incidentes personalizados e melhorar a investigação. Isso proporciona mais insights sobre a rede da organização e aprimora as funcionalidades de operação de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ForescoutHostProperties_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Requisito do Plug-inForescout: verifique se o plug-in forescout Microsoft Sentinel está em execução na plataforma Forescout
Fortinet FortiNDR Cloud
Com suporte por:Fortinet
O conector de dados fortinet FortiNDR Cloud fornece a capacidade de ingerir dados Fortinet FortiNDR Cloud dados em Microsoft Sentinel usando a API de Nuvem fortiNDR
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
FncEventsSuricata_CL |
Não | Não |
FncEventsObservation_CL |
Não | Não |
FncEventsDetections_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Credenciais do MetaStream: AWS Access Key Id, AWS Secret Access Key, FortiNDR Cloud Account Code são necessários para recuperar dados de evento.
-
Credenciais de API: Token de API de Nuvem fortiNDR, UUID da conta de nuvem fortiNDR são necessários para recuperar dados de detecção.
Garrison ULTRA Remote Logs (usando Azure Functions)
Com suporte por:Garrison
O conector Garrison ULTRA Remote Logs permite que você ingera logs remotos ultra de guarnição em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Garrison ULTRA: Para usar esse conector de dados, você deve ter uma licença de Garrison ULTRA ativa.
GCP Cloud Run (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados do GCP Cloud Run fornece a capacidade de ingerir logs de solicitação do Cloud Run em Microsoft Sentinel usando Pub/Sub. Consulte a Visão Geral da Execução na Nuvem para obter mais detalhes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPCloudRun |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
GCP Cloud SQL (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados SQL de Nuvem do GCP fornece a capacidade de ingerir logs de auditoria em Microsoft Sentinel usando a API do SQL de Nuvem do GCP. Consulte a documentação de Logs de Auditoria do Cloud SQL no GCP para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPCloudSQL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Logs de auditoria do GCP Pub/Sub
Com suporte da:Microsoft Corporation
Os logs de auditoria do GCP (Google Cloud Platform), ingeridos do conector do Microsoft Sentinel, permitem capturar três tipos de logs de auditoria: logs de atividade de administrador, logs de acesso a dados e logs de transparência de acesso. Os logs de auditoria de nuvem do Google registram uma trilha que os profissionais podem usar para monitorar o acesso e detectar possíveis ameaças em recursos do GCP (Google Cloud Platform).
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPAuditLogs |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
GCP Pub/Sub Load Balancer Logs (via Codeless Connector Framework).
Com suporte da:Microsoft Corporation
Os logs de Load Balancer do Google Cloud Platform (GCP) fornecem insights detalhados sobre o tráfego de rede, capturando atividades de entrada e saída. Esses logs são usados para monitorar padrões de acesso e identificar possíveis ameaças à segurança em recursos GCP. Além disso, esses logs também incluem logs do GCP Web Application Firewall (WAF), aumentando a capacidade de detectar e reduzir os riscos efetivamente.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPLoadBalancerLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Logs de fluxo do GCP Pub/Sub VPC (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
Os Logs de Fluxo de VPC do GCP (Google Cloud Platform) permitem capturar a atividade de tráfego de rede no nível do VPC, permitindo que você monitore padrões de acesso, analise o desempenho da rede e detecte possíveis ameaças em recursos do GCP.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPVPCFlow |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Conector AMX do Gigamon
Com suporte por:Gigamon
O conector Gigamon fornece a capacidade de ler dados de eventos brutos do Gigamon no Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GigamonV2_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento na regra de coleta de dados (DCR). Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC
GitHub (usando Webhooks)
Com suporte da:Microsoft Corporation
O conector de dados de webhook GitHub fornece a capacidade de ingerir GitHub eventos inscritos em Microsoft Sentinel usando eventos de webhook GitHub. O conector fornece a capacidade de colocar eventos em Microsoft Sentinel que ajuda a examinar possíveis riscos de segurança, analisar o uso de colaboração da sua equipe, diagnosticar problemas de configuração e muito mais.
Note: Se você pretende ingerir logs de auditoria Github, consulte GitHub Enterprise Audit Log Connector da galeria "Data Connectors".
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
githubscanaudit_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
Log de auditoria do GitHub Enterprise (por meio da Estrutura do Conector Sem Código)
Com suporte da:Microsoft Corporation
O conector de log de auditoria GitHub fornece a capacidade de ingerir GitHub logs em Microsoft Sentinel. Ao conectar GitHub logs de auditoria em Microsoft Sentinel, você pode exibir esses dados em pastas de trabalho, usá-los para criar alertas personalizados e melhorar o processo de investigação.
Note: Se você pretendia ingerir GitHub eventos inscritos em Microsoft Sentinel, consulte GitHub (usando Webhooks) Conector da galeria "Data Connectors".
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GitHubAuditLogsV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
GitHub token de acesso pessoal da API: para habilitar a sondagem para o log de auditoria enterprise, verifique se o usuário autenticado é um administrador enterprise e tem um token de acesso pessoal GitHub (clássico) com o escopo
read:audit_log. -
GitHub tipo Enterprise: esse conector funcionará apenas com GitHub Enterprise Cloud; ele não oferecerá suporte GitHub Enterprise Server.
Google ApigeeX (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados do Google ApigeeX fornece a capacidade de ingerir logs de auditoria em Microsoft Sentinel usando a API do Google Apigee. Consulte a documentação da API do Google Apigee para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPApigee |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
CDN do Google Cloud Platform (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados cdn da Plataforma de Nuvem do Google fornece a capacidade de ingerir logs de auditoria cdn de nuvem e logs de tráfego cdn de nuvem em Microsoft Sentinel usando a API do Mecanismo de Computação. Consulte o documento de visão geral do produto para obter mais detalhes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPCDN |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
IDS de nuvem do Google Cloud Platform (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados IDS do Google Cloud Platform fornece a capacidade de ingerir logs de tráfego do IDS de Nuvem, logs de ameaças e logs de auditoria em Microsoft Sentinel usando a API do Google Cloud IDS. Consulte a documentação da API do IDS na Nuvem para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPIDS |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Monitoramento de nuvem do Google Cloud Platform (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados do Google Cloud Platform Cloud Monitoring ingere logs de monitoramento do Google Cloud em Microsoft Sentinel usando a API de Monitoramento de Nuvem do Google. Consulte a documentação da API de Monitoramento de Nuvem para obter mais detalhes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPMonitoring |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Mecanismo de Computação do Google Cloud Platform (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados do Mecanismo de Computação do Google Cloud Platform fornece a capacidade de ingerir logs de Auditoria do Mecanismo de Computação em Microsoft Sentinel usando a API do Mecanismo de Computação do Google Cloud. Consulte a documentação da API do Mecanismo de Computação na Nuvem para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPComputeEngine |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
DNS do Google Cloud Platform (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados DNS do Google Cloud Platform fornece a capacidade de ingerir logs de Consulta DNS na Nuvem e logs de Auditoria DNS na Nuvem em Microsoft Sentinel usando a API DNS do Google Cloud. Consulte a documentação da API DNS na nuvem para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPDNS |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Google Cloud Platform IAM (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados IAM do Google Cloud Platform fornece a capacidade de ingerir os logs de auditoria relacionados às atividades de IAM (Gerenciamento de Identidade e Acesso) no Google Cloud em Microsoft Sentinel usando a API do IAM do Google. Consulte a documentação da API IAM do GCP para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPIAM |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
NAT da Plataforma de Nuvem do Google (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados NAT do Google Cloud Platform fornece a capacidade de ingerir logs de Auditoria nat de nuvem e logs de tráfego nat de nuvem em Microsoft Sentinel usando a API do Mecanismo de Computação. Consulte o documento de visão geral do produto para obter mais detalhes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPNATAudit |
Yes | Yes |
GCPNAT |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Google Cloud Platform Resource Manager (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados do Google Cloud Platform Resource Manager fornece a capacidade de ingerir logs Resource Manager Admin Activity and Data Access Audit em Microsoft Sentinel usando a API do Cloud Resource Manager. Consulte o documento de visão geral do produto para obter mais detalhes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GCPResourceManager |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Mecanismo do Kubernetes do Google (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
Os logs do Mecanismo de Kubernetes do Google (GKE) permitem capturar atividades de cluster, comportamento de carga de trabalho e eventos de segurança, permitindo que você monitore cargas de trabalho do Kubernetes, analise o desempenho e detecte possíveis ameaças em clusters GKE.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GKEAudit |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Centro de Comandos do Google Security
Com suporte da:Microsoft Corporation
O Centro de Comandos de Segurança do GCP (Google Cloud Platform) é uma plataforma abrangente de gerenciamento de riscos e segurança para o Google Cloud, ingerida do conector do Sentinel. Ele oferece recursos como inventário e descoberta de ativos, detecção de vulnerabilidades e ameaças e mitigação e correção de riscos para ajudá-lo a obter informações sobre a segurança e a superfície de ataque de dados da sua organização. Essa integração permite que você execute tarefas relacionadas a descobertas e ativos com mais eficiência.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GoogleCloudSCC |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Atividades do Workspace do Google (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados Google Workspace Activities fornece a capacidade de ingerir Eventos de Atividade da API do Workspace Google em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GoogleWorkspaceReports |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Acesso à API do Workspace do Google: o acesso à API de atividades do Workspace do Google por meio do Oauth é necessário.
Inteligência contra Ameaças GreyNoise
Com suporte por:GreyNoise
Esse Conector de Dados instala um aplicativo Azure Function para baixar indicadores GreyNoise uma vez por dia e insere-os na tabela ThreatIntelligenceIndicator no Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Chave de API GreyNoise: recupere sua chave de API GreyNoise aqui.
Conector do Halcyon
Com suporte por:Halcyon
O conector Halcyon fornece a capacidade de enviar dados do Halcyon para Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
HalcyonAuthenticationEvents_CL |
Yes | Yes |
HalcyonDnsActivity_CL |
Yes | Yes |
HalcyonFileActivity_CL |
Yes | Yes |
HalcyonNetworkSession_CL |
Yes | Yes |
HalcyonProcessEvent_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Microsoft Entra Criar Permissões: permissões para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Permissões de atribuição de função: permissões de gravação necessárias para atribuir a função editor de métricas de monitoramento à regra de coleta de dados (DCR). Normalmente, requer a função de Administrador de Acesso do Usuário ou proprietário no nível do grupo de recursos.
Holm Security Asset Data (usando Azure Functions)
Com suporte da:Holm Security
O conector fornece a capacidade de sondar dados da Central de Segurança Holm em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
net_assets_CL |
Não | Não |
web_assets_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Holm Security API Token: o Token de Security API Holm é necessário. token Holm Security API
IIS Logs de servidores Microsoft Exchange
Com suporte por:Community
[Opção 5] – Usando Azure Monitor Agent – você pode transmitir todos os logs do IIS dos computadores Windows conectados ao workspace Microsoft Sentinel usando o agente Windows. Esta conexão permite que você crie alertas personalizados e melhore a investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
W3CIISLog |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Log Analytics será preterido, para coletar dados de VMs não Azure, é recomendável Azure Arc. Saiba mais
-
Documentação detalhada: >OBSERVAÇÃO: documentação detalhada sobre o procedimento de instalação e o uso pode ser encontrada aqui
Iluminação Insights
Com suporte de:Illumio
O conector de dados do Illumio Insights permite ingerir logs da API illumio em Microsoft Sentinel. O conector de dados é criado no Microsoft Sentinel Codeless Connector Framework. Ele usa a API illumio para buscar logs e dá suporte a transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos em uma tabela personalizada para que as consultas não precisem analisá-los novamente, resultando em um melhor desempenho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
IlumioInsights |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Resumo do Illumio Insights
Com suporte de:Illumio
O conector de dados resumo do Illumio Insights fornece a capacidade de ingerir Illumio relatórios de análise de ameaças e insights de segurança em Microsoft Sentinel por meio da API REST. Consulte a documentação da API do Illumio para obter mais informações. O conector fornece a capacidade de obter relatórios resumos diários e semanais do Illumio e visualizá-los em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
IllumioInsightsSummary_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Acesso à API illumio: o acesso à API do Illumio é necessário para a API de Resumo do Illumio Insights.
Illumio SaaS (usando Azure Functions)
Com suporte de:Illumio
Illumio conector fornece a capacidade de ingerir eventos em Microsoft Sentinel. O conector fornece a capacidade de ingerir eventos auditáveis e de fluxo do bucket do AWS S3.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Illumio_Auditable_Events_CL |
Yes | Yes |
Illumio_Flow_Events_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Credenciais/permissões de conta do SQS e do AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL é necessário. Caso esteja usando o bucket s3 fornecido pelo Illumio, entre em contato com o suporte do Illumio. A sua solicitação, eles fornecerão o nome do bucket do AWS S3, o URL do SQS do AWS e as credenciais do AWS para acessá-los.
- Segredo e chave da API illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET é necessário para que uma pasta de trabalho faça conexão com o PCE SaaS e busque respostas de API.
Imperva Cloud WAF (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados Imperva Cloud WAF fornece a capacidade de integrar e ingerir eventos Web Application Firewall em Microsoft Sentinel por meio da API REST. Consulte a documentação de integração de logs para obter mais informações. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ImpervaWAFCloud_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI são necessários para a API. Para obter mais informações, consulte o processo de Integração de Logs de Instalação. Verifique todos os requisitos e siga as instruções para obter as credenciais. Observe que esse conector usa o formato de evento de log CEF.
Mais informações sobre o formato de log.
Conector de Dados de Nuvem do Infoblox via AMA
Com suporte por:Infoblox
O Infoblox Cloud Data Connector permite que você conecte facilmente seus dados infoblox com Microsoft Sentinel. Ao conectar seus logs a Microsoft Sentinel, você pode aproveitar a pesquisa e a correlação, alertas e enriquecimento de inteligência contra ameaças para cada log.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommonSecurityLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Conector de dados infoblox por meio da API REST
Com suporte por:Infoblox
O Conector de Dados do Infoblox permite que você conecte facilmente os dados do Infoblox TIDE e os dados do Dossier com Microsoft Sentinel. Ao conectar seus dados a Microsoft Sentinel, você pode aproveitar a pesquisa e a correlação, alertas e enriquecimento de inteligência contra ameaças para cada log.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Failed_Range_To_Ingest_CL |
Não | Não |
Infoblox_Failed_Indicators_CL |
Não | Não |
dossier_whois_CL |
Não | Não |
dossier_whitelist_CL |
Não | Não |
dossier_tld_risk_CL |
Não | Não |
dossier_threat_actor_CL |
Não | Não |
dossier_rpz_feeds_records_CL |
Não | Não |
dossier_rpz_feeds_CL |
Não | Não |
dossier_nameserver_matches_CL |
Não | Não |
dossier_nameserver_CL |
Não | Não |
dossier_malware_analysis_v3_CL |
Não | Não |
dossier_inforank_CL |
Não | Não |
dossier_infoblox_web_cat_CL |
Não | Não |
dossier_geo_CL |
Não | Não |
dossier_dns_CL |
Não | Não |
dossier_atp_threat_CL |
Não | Não |
dossier_atp_CL |
Não | Não |
dossier_ptr_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: a Chave de API do Infoblox é necessária. Confira a documentação para saber mais sobre a API na referência da API Rest
Infoblox SOC Insight Data Connector via AMA
Com suporte por:Infoblox
O Conector de Dados do Infoblox SOC Insight permite que você conecte facilmente seus dados do Infoblox BloxOne SOC Insight com Microsoft Sentinel. Ao conectar seus logs a Microsoft Sentinel, você pode aproveitar a pesquisa e a correlação, alertas e enriquecimento de inteligência contra ameaças para cada log.
Esse conector de dados ingere logs cdc do Infoblox SOC Insight em seu workspace Log Analytics usando o novo agente de Azure Monitor. Saiba mais sobre como ingerir usando o novo agente Azure Monitor a. A Microsoft recomenda usar esse Conector de Dados.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommonSecurityLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Para coletar dados de VMs não Azure, eles devem ter Azure Arc instalados e habilitados. Saiba mais
- O CEF (Common Event Format) via AMA e Syslog por meio de conectores de dados AMA deve ser instalado.
Saiba mais
Infoblox SOC Insight Data Connector via REST API
Com suporte por:Infoblox
O Conector de Dados do Infoblox SOC Insight permite que você conecte facilmente seus dados do Infoblox BloxOne SOC Insight com Microsoft Sentinel. Ao conectar seus logs a Microsoft Sentinel, você pode aproveitar a pesquisa e a correlação, alertas e enriquecimento de inteligência contra ameaças para cada log.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
InfobloxInsight_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Conector de dados InfoSecGlobal
Com suporte por:InfoSecGlobal
Use esse conector de dados para se integrar ao InfoSec Crypto Analytics e obter dados enviados diretamente para Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
InfoSecAnalytics_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Logs de segurança IONIX
Com suporte por:IONIX
O conector de dados IONIX Security Logs ingere logs do sistema IONIX diretamente no Sentinel. O conector permite que os usuários visualizem seus dados, criem alertas e incidentes e melhorem as investigações de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CyberpionActionItems_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Assinatura IONIX: uma assinatura e uma conta são necessárias para logs IONIX.
Um pode ser adquirido aqui.
Conector de dados de abuso IPinfo
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar standard_abuse conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_Abuse_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados ASN IPinfo
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar standard_ASN conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_ASN_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados da transportadora IPinfo
Com suporte por:IPinfo
Este conector de dados IPinfo instala um aplicativo de funções do Azure para baixar standard_carrier conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_Carrier_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados da empresa IPinfo
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar standard_company conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_Company_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados do IPinfo Core
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar conjuntos de dados core e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_CORE_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados ASN do país IPinfo
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar country_asn conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_Country_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados de domínio IPinfo
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar standard_domain conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_Domain_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de Dados de Iplocação IPinfo
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar standard_location conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_Location_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados estendidos IPinfo Iplocation
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar standard_location_extended conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_Location_extended_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados do IPinfo Plus
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar conjuntos de dados plus e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_PLUS_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados de privacidade IPinfo
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar standard_privacy conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_Privacy_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados estendidos de privacidade IPinfo
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar standard_privacy conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_Privacy_extended_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados IPinfo ResProxy
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar conjuntos de dados ResProxy e inseri-los na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados IPinfo RIRWHOIS
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar conjuntos de dados RIRWHOIS e inseri-los na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados IPinfo RWHOIS
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar conjuntos de dados RWHOIS e inseri-los na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_RWHOIS_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados ASN do IPinfo WHOIS
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar WHOIS_ASN conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados IPinfo WHOIS MNT
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar WHOIS_MNT conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados IPinfo WHOIS NET
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar WHOIS_NET conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados IPinfo WHOIS ORG
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar WHOIS_ORG conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Conector de dados IPinfo WHOIS POC
Com suporte por:IPinfo
Esse conector de dados IPinfo instala um aplicativo de funções do Azure para baixar WHOIS_POC conjuntos de dados e inseri-lo na tabela de log personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API IPinfo: recupere o token de API IPinfo aqui.
Auditoria de administrador do Island Enterprise Browser (CCF de sondagem)
Com suporte por:Island
O conector Island Admin fornece a capacidade de ingerir logs de Auditoria de Administrador da Ilha em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Island_Admin_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Chave de API de Ilha: é necessária uma chave de API de Ilha.
Atividade do usuário do Island Enterprise Browser (CCF de sondagem)
Com suporte por:Island
O conector Island fornece a capacidade de ingerir logs de Atividade do Usuário de Ilha em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Island_User_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Chave de API de Ilha: é necessária uma chave de API de Ilha.
Conector de Push do Jamf Protect
Com suporte por:Jamf Software, LLC
O conector Jamf Protect fornece a capacidade de ler dados de eventos brutos do Jamf Protect em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
jamfprotecttelemetryv2_CL |
Yes | Yes |
jamfprotectunifiedlogs_CL |
Yes | Yes |
jamfprotectalerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento na regra de coleta de dados (DCR). Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC
JoeSandboxThreatIntelligence (usando Azure Functions)
Com suporte de:Stefan Bühlmann
O conector JoeSandboxThreatIntelligence gera e alimenta automaticamente a inteligência contra ameaças para todas as submissões ao JoeSandbox, melhorando a detecção de ameaças e a resposta a incidentes no Sentinel. Essa integração fluida capacita as equipes a enfrentar proativamente ameaças emergentes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no azure active directory() e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: a Chave de API JoeSandbox é necessária.
Conector de Push de Segurança do Keeper
Com suporte por:Keeper Security
O conector Keeper Security fornece a capacidade de ler dados de eventos brutos do Keeper Security no Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento na regra de coleta de dados (DCR). Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC
LastPass Enterprise – Relatório (CCF de sondagem)
Com suporte por:The Collective Consulting
O conector LastPass Enterprise fornece a capacidade para logs de relatórios lastpass (auditoria) em Microsoft Sentinel. O conector fornece visibilidade sobre logons e atividades no LastPass (como leitura e remoção de senhas).
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
LastPassNativePoller_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Chave de API lastpass e CID: uma chave de API lastpass e CID são necessários. Para obter mais informações, consulte a API lastpass.
Conector de Detecção de Ameaças Móveis do Lookout (via Codeless Connector Framework) (versão prévia)
Com suporte por:Lookout
O conector de dados Lookout Mobile Threat Detection fornece a capacidade de ingerir eventos relacionados a riscos de segurança móvel em Microsoft Sentinel por meio da API de Risco Móvel. Consulte a documentação de API para obter mais informações. Esse conector ajuda você a examinar possíveis riscos de segurança detectados em dispositivos móveis.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
LookoutMtdV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Luminar IOCs e credenciais vazadas (usando Azure Functions)
Com suporte por:Cognyte Luminar
O conector do Luminar IOCs and Leaked Credentials permite a integração de dados baseados em inteligência de IOCs e registros vazados relacionados aos clientes identificados pelo Luminar.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no azure active directory() e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: A ID do Cliente Luminar, o Segredo do Cliente Luminar e a ID da Conta Luminar são necessários.
MailGuard 365
Com suporte por:MailGuard 365
Segurança de email aprimorada do MailGuard 365 para Microsoft 365. Exclusivo para o marketplace da Microsoft, o MailGuard 365 é integrado à segurança de Microsoft 365 (incl. Defender) para proteção aprimorada contra ameaças avançadas de email, como phishing, ransomware e ataques sofisticados do BEC.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
MailGuard365_Threats_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
MailRisk by Secure Practice (usando Azure Functions)
Com suporte por:prática segura
Conector de dados para enviar emails do MailRisk por push para Microsoft Sentinel Log Analytics.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
MailRiskEmails_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais de API: seu par de chaves de API de Prática Segura também é necessário, que são criados nas configurações no portal de administração. Se você perdeu o segredo da API, poderá gerar um novo par de chaves (AVISO: qualquer outra integração usando o par de chaves antigo deixará de funcionar).
Microsoft 365 (anteriormente, Office 365)
Com suporte da:Microsoft Corporation
O conector de log de atividades Microsoft 365 (anteriormente Office 365) fornece informações sobre as atividades contínuas do usuário. Você obterá detalhes das operações, como downloads de arquivos, solicitações de acesso enviadas, alterações em eventos de grupo, caixa de correio definida e detalhes do usuário que executou as ações. Conectando Microsoft 365 logs em Microsoft Sentinel você pode usar esses dados para exibir painéis, criar alertas personalizados e melhorar o processo de investigação. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
OfficeActivity |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Gerenciamento de risco interno do Microsoft 365
Com suporte da:Microsoft Corporation
Microsoft 365 o Insider Risk Management é uma solução de conformidade em Microsoft 365 que ajuda a minimizar os riscos internos, permitindo que você detecte, investigue e aja sobre atividades mal-intencionadas e inadvertidas em sua organização. Os analistas de risco em sua organização podem executar rapidamente as ações apropriadas para garantir que os usuários estejam em conformidade com os padrões de conformidade da sua organização.
As políticas de risco interno permitem que você:
- defina os tipos de riscos que você deseja identificar e detectar em sua organização.
- decida sobre quais ações tomar em resposta, incluindo a escala de casos para a Descoberta Eletrônica Avançada da Microsoft, se necessário.
Essa solução produz alertas que podem ser vistos pelos clientes do Office na solução de Gerenciamento de Risco Interno no Centro de Conformidade do Microsoft 365. Saiba mais sobre o Gerenciamento de Riscos do Insider.
Esses alertas podem ser importados para Microsoft Sentinel com esse conector, permitindo que você veja, investigue e responda a eles em um contexto de ameaça organizacional mais amplo. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityAlert |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Logs de eventos de segurança de controladores de domínio do Microsoft Active-Directory
Com suporte por:Community
[Opção 3 & 4] – Usar Azure Monitor Agent -You pode transmitir uma parte ou todos os logs de eventos de segurança de controladores de domínio dos computadores Windows conectados ao workspace Microsoft Sentinel usando o agente Windows. Esta conexão permite que você crie alertas personalizados e melhore a investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityEvent |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Log Analytics será preterido, para coletar dados de VMs não Azure, é recomendável Azure Arc. Saiba mais
-
Documentação detalhada: >OBSERVAÇÃO: documentação detalhada sobre o procedimento de instalação e o uso pode ser encontrada aqui
Microsoft Copilot
Com suporte por:Microsoft
O conector de logs de Microsoft Copilot no Microsoft Sentinel permite a ingestão perfeita de logs de atividade gerados por Copilot em Microsoft Sentinel para detecção avançada de ameaças, investigação e resposta. Ele coleta telemetria de serviços de Microsoft Copilot - como dados de uso, prompts e respostas do sistema - e ingere em Microsoft Sentinel, permitindo que as equipes de segurança monitorem por uso indevido, detectem anomalias e mantenham a conformidade com as políticas organizacionais.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CopilotActivity |
Não | Yes |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Permissões de locatário: 'Administrador de Segurança' ou 'Administrador Global' no locatário do workspace.
Microsoft Dataverse
Com suporte da:Microsoft Corporation
Microsoft Dataverse é uma plataforma de dados escalonável e segura que permite que as organizações armazenem e gerenciem dados usados por aplicativos empresariais. O conector de dados Microsoft Dataverse fornece a capacidade de ingerir logs de atividades do Dataverse e do DYNAMICS 365 CRM do log de Auditoria do Microsoft Purview em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
DataverseActivity |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Permissões de locatário: 'Administrador de Segurança' ou 'Administrador Global' no locatário do workspace.
- Auditoria doMicorosft Purview: a Auditoria Microsoft Purview (Standard ou Premium) deve ser ativada.
- Dataverse de Produção: o registro em log de atividades está disponível apenas para ambientes de produção. Outros tipos, como área restrita, não dão suporte ao registro em log de atividades.
-
Configurações de Auditoria do Dataverse: as configurações de auditoria devem ser definidas globalmente e no nível de entidade/tabela. Para obter mais informações, consulte as configurações de auditoria do Dataverse.
Microsoft Defender para Aplicativos de Nuvem
Com suporte da:Microsoft Corporation
Conectando-se com Microsoft Defender for Cloud Apps você ganhará visibilidade em seus aplicativos de nuvem, obterá análise sofisticada para identificar e combater ameaças cibernéticas e controlará como seus dados viajam.
- Identifique aplicativos de nuvem de TI sombra em sua rede.
- Controlar e limitar o acesso com base em condições e contexto de sessão.
- Use políticas internas ou personalizadas para compartilhamento de dados e prevenção contra perda de dados.
- Identifique o uso de alto risco e obtenha alertas para atividades incomuns do usuário com a análise comportamental da Microsoft e recursos de detecção de anomalias, incluindo atividade de ransomware, viagem impossível, regras suspeitas de encaminhamento de email e download em massa de arquivos.
- Download em massa de arquivos
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityAlert |
Não | Não |
McasShadowItReporting |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Microsoft Defender para Ponto de Extremidade
Com suporte da:Microsoft Corporation
Microsoft Defender for Endpoint é uma plataforma de segurança projetada para prevenir, detectar, investigar e responder a ameaças avançadas. A plataforma cria alertas quando eventos de segurança suspeitos são observados em uma organização. Buscar alertas gerados em Microsoft Defender for Endpoint para Microsoft Sentinel para que você possa analisar efetivamente os eventos de segurança. Você pode criar regras, painéis e guias estratégicos para resposta imediata. Para obter mais informações, consulte a documentação Microsoft Sentinel >.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityAlert |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Defender para Identidade
Com suporte da:Microsoft Corporation
Conecte-se Microsoft Defender for Identity para obter visibilidade dos eventos e análise do usuário. Microsoft Defender for Identity identifica, detecta e ajuda a investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização. Microsoft Defender for Identity permite que analistas e profissionais de segurança da SecOp que lutam para detectar ataques avançados em ambientes híbridos para:
- Monitorar usuários, comportamento de entidade e atividades com análise baseada em aprendizado
- Proteger as identidades e as credenciais do usuário armazenadas no Active Directory
- Identificar e investigar atividades suspeitas do usuário e ataques avançados em toda a cadeia de mortes
- Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápida
Para obter mais informações, consulte a documentação Microsoft Sentinel >.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityAlert |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Defender para IoT
Com suporte da:Microsoft Corporation
Obtenha informações sobre sua segurança de IoT conectando alertas Microsoft Defender for IoT a Microsoft Sentinel. Você pode obter dados e métricas de alerta prontos para uso, incluindo tendências de alerta, alertas principais e um detalhamento dos alertas por gravidade. Você também pode obter informações sobre as recomendações fornecidas para seus hubs IoT, incluindo as recomendações principais e recomendações por gravidade. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityAlert |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Defender for Office 365 (versão prévia)
Com suporte da:Microsoft Corporation
Microsoft Defender for Office 365 protege sua organização contra ameaças mal-intencionadas representadas por mensagens de email, links (URLs) e ferramentas de colaboração. Ao ingerir alertas Microsoft Defender for Office 365 em Microsoft Sentinel, você pode incorporar informações sobre ameaças baseadas em email e URL em seus cenários mais amplos de análise de risco e de compilação de resposta adequadamente.
Os seguintes tipos de alertas serão importados:
- Um clique de URL potencialmente mal-intencionado foi detectado
- Mensagens de email que contêm malware removido após a entrega
- Mensagens de email que contêm URLs de phishing removidas após a entrega
- Email relatado pelo usuário como malware ou phishing
- Padrões suspeitos de envio de email detectados
- Usuário impedido de enviar email
Esses alertas podem ser vistos por clientes do Office no **Centro de Conformidade e Segurança do Office**.
Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityAlert |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Defender Inteligência contra Ameaças
Com suporte da:Microsoft Corporation
Microsoft Sentinel fornece a capacidade de importar a inteligência contra ameaças gerada pela Microsoft para habilitar o monitoramento, alertas e busca. Use esse conector de dados para importar indicadores de comprometimento (IOCs) de Microsoft Defender MDTI (Inteligência contra Ameaças) para Microsoft Sentinel. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs, hashes de arquivo etc.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Defender XDR
Com suporte da:Microsoft Corporation
Microsoft Defender XDR é um pacote de defesa empresarial unificado, integrado nativamente, pré e pós-violação que protege o ponto de extremidade, a identidade, o email e os aplicativos e ajuda você a detectar, prevenir, investigar e responder automaticamente a ameaças sofisticadas.
Microsoft Defender XDR pacote inclui:
- Microsoft Defender para Endpoint
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365
- Gerenciamento de ameaças e vulnerabilidades
- Microsoft Defender para Aplicativos de Nuvem
Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityIncident |
Yes | Yes |
SecurityAlert |
Yes | Yes |
DeviceEvents |
Yes | Yes |
EmailEvents |
Yes | Yes |
IdentityLogonEvents |
Yes | Yes |
CloudAppEvents |
Yes | Yes |
AlertEvidence |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Entra ID
Com suporte da:Microsoft Corporation
Obtenha insights sobre Microsoft Entra ID conectando logs de auditoria e entrada a Microsoft Sentinel para coletar insights em torno de cenários Microsoft Entra ID. Você pode saber mais sobre o uso do aplicativo, políticas de acesso condicional e detalhes relacionados à autenticação herdada usando os logs de entrada. Você pode obter informações sobre o uso da SSPR (Redefinição de Senha de Autoatendimento), atividades de Gerenciamento de Microsoft Entra ID, como usuário, grupo, função, gerenciamento de aplicativos usando nossa tabela de logs de auditoria. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SigninLogs |
Yes | Yes |
AuditLogs |
Yes | Yes |
AADNonInteractiveUserSignInLogs |
Yes | Yes |
AADServicePrincipalSignInLogs |
Yes | Yes |
AADManagedIdentitySignInLogs |
Yes | Yes |
AADProvisioningLogs |
Yes | Yes |
ADFSSignInLogs |
Yes | Yes |
AADUserRiskEvents |
Yes | Yes |
AADRiskyUsers |
Yes | Yes |
NetworkAccessTraffic |
Yes | Yes |
AADRiskyServicePrincipals |
Yes | Yes |
AADServicePrincipalRiskEvents |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Ativos da ID do Microsoft Entra
Com suporte da:Microsoft Corporation
O conector de dados de ativos do Entra ID fornece insights mais avançados sobre os dados da atividade complementando detalhes com informações de ativos. Os dados desse conector são usados para criar grafos de risco de dados no Purview. Se você tiver habilitado esses grafos, desativar esse Conector impedirá que os grafos sejam criados. Saiba mais sobre o grafo de risco de dados.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|
Suporte à regra de coleta de dados: Não há suporte no momento
Proteção contra IDs do Microsoft Entra
Com suporte da:Microsoft Corporation
Microsoft Entra ID Protection fornece uma exibição consolidada em usuários de risco, eventos de risco e vulnerabilidades, com a capacidade de corrigir o risco imediatamente e definir políticas para corrigir automaticamente eventos futuros. O serviço foi criado com base na experiência da Microsoft em proteger a identidade do consumidor e adquire grande precisão de sinal com mais de 13 bilhões de logons por dia. Integre os alertas do Microsoft Microsoft Entra ID Protection com Microsoft Sentinel para exibir dashboards, criar alertas personalizados e melhorar a investigação. Para obter mais informações, consulte a documentação Microsoft Sentinel .
Obter o Microsoft Entra ID Premium P1/P2
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityAlert |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Exchange Logs de Auditoria de Administrador por Logs de Eventos
Com suporte por:Community
[Opção 1] – Usando Azure Monitor Agent – você pode transmitir todos os eventos de Auditoria do Exchange dos computadores Windows conectados ao workspace Microsoft Sentinel usando o agente Windows. Essa conexão permite que você veja painéis de controle, crie alertas personalizados e aprimore investigações. Isso é usado por Microsoft Exchange pastas de trabalho de segurança para fornecer insights de segurança do seu ambiente do Exchange local
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Event |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Log Analytics será preterido, para coletar dados de VMs não Azure, é recomendável Azure Arc. Saiba mais
-
Documentação detalhada: >OBSERVAÇÃO: documentação detalhada sobre o procedimento de instalação e o uso pode ser encontrada aqui
Microsoft Exchange Logs de Proxy HTTP
Com suporte por:Community
[Opção 7] – Usando Azure Monitor Agent – você pode transmitir logs de Proxy HTTP e logs de eventos de segurança dos computadores Windows conectados ao seu workspace Microsoft Sentinel usando o agente Windows. Esta conexão permite que você crie alertas personalizados e melhore a investigação. Saiba mais
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ExchangeHttpProxy_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Log Analytics serão preteridos: Azure Log Analytics serão preteridos, para coletar dados de VMs não Azure, é recomendável Azure Arc. Saiba mais
-
Documentação detalhada: >OBSERVAÇÃO: documentação detalhada sobre o procedimento de instalação e o uso pode ser encontrada aqui
Microsoft Exchange Logs e Eventos
Com suporte por:Community
[Opção 2] – Usando Azure Monitor Agent – Você pode transmitir toda a Segurança do Exchange & Logs de eventos de aplicativo dos computadores Windows conectados ao workspace Microsoft Sentinel usando o agente de Windows. Esta conexão permite que você crie alertas personalizados e melhore a investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Event |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Log Analytics serão preteridos: Azure Log Analytics serão preteridos, para coletar dados de VMs não Azure, é recomendável Azure Arc. Saiba mais
-
Documentação detalhada: >OBSERVAÇÃO: documentação detalhada sobre o procedimento de instalação e o uso pode ser encontrada aqui
Microsoft Exchange Logs de Acompanhamento de Mensagens
Com suporte por:Community
[Opção 6] – Usando Azure Monitor Agent – você pode transmitir todo o Controle de Mensagens do Exchange dos computadores Windows conectados ao workspace Microsoft Sentinel usando o agente Windows. Esses logs podem ser usados para rastrear o fluxo de mensagens no seu ambiente do Exchange. Esse conector de dados baseia-se na opção 6 do Microsoft Exchange Security wiki.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
MessageTrackingLog_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Log Analytics serão preteridos: Azure Log Analytics serão preteridos, para coletar dados de VMs não Azure, é recomendável Azure Arc. Saiba mais
-
Documentação detalhada: >OBSERVAÇÃO: documentação detalhada sobre o procedimento de instalação e o uso pode ser encontrada aqui
Microsoft Power Automate
Com suporte da:Microsoft Corporation
Power Automate é um serviço da Microsoft que ajuda os usuários a criar fluxos de trabalho automatizados entre aplicativos e serviços para sincronizar arquivos, obter notificações, coletar dados e muito mais. Simplifica a automação de tarefas, aumentando a eficiência reduzindo tarefas manuais e repetitivas e aumentando a produtividade. O conector de dados do Power Automate fornece a capacidade de ingerir logs de atividade Power Automate do log de auditoria Microsoft Purview em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
PowerAutomateActivity |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Permissões de locatário: 'Administrador de Segurança' ou 'Administrador Global' no locatário do workspace.
-
Auditoria doMicorosft Purview: a Auditoria Microsoft Purview (Standard ou Premium) deve ser ativada.
Microsoft Power Platform Atividade de Administrador
Com suporte da:Microsoft Corporation
Microsoft Power Platform é um pacote de código baixo/sem código que capacita desenvolvedores cidadãos e profissionais a simplificar processos de negócios, permitindo a criação de aplicativos personalizados, automação de fluxos de trabalho e análise de dados com codificação mínima. O conector de dados do Administrador do Power Platform fornece a capacidade de ingerir logs de atividades de administrador do Power Platform do log de auditoria do Microsoft Purview em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
PowerPlatformAdminActivity |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Permissões de locatário: 'Administrador de Segurança' ou 'Administrador Global' no locatário do workspace.
-
Auditoria doMicorosft Purview: a Auditoria Microsoft Purview (Standard ou Premium) deve ser ativada.
Microsoft PowerBI
Com suporte da:Microsoft Corporation
O Microsoft PowerBI é uma coleção de serviços de software, aplicativos e conectores que trabalham juntos para transformar suas fontes de dados não relacionadas em insights coerentes, visualmente imersivos e interativos. Seus dados podem estar em uma planilha do Excel, em uma coleção de data warehouses híbridos locais e baseados em nuvem ou em um armazenamento de dados de outro tipo. Esse conector permite transmitir logs de auditoria do PowerBI para Microsoft Sentinel, permitindo que você acompanhe as atividades do usuário em seu ambiente do PowerBI. Você pode filtrar os dados de auditoria por intervalo de datas, usuário, painel, tipo de relatório, conjunto de dados e tipo de atividade.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
PowerBIActivity |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Project
Com suporte por:Microsoft
Microsoft Project (MSP) é uma solução de software de gerenciamento de projetos. Dependendo do seu plano, Microsoft Project permite planejar projetos, atribuir tarefas, gerenciar recursos, criar relatórios e muito mais. Esse conector permite transmitir os logs de auditoria do Azure Project para Microsoft Sentinel para acompanhar as atividades do projeto.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ProjectActivity |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Purview
Com suporte da:Microsoft Corporation
Conecte-se a Microsoft Purview para habilitar o enriquecimento de confidencialidade de dados de Microsoft Sentinel. Os logs de rótulos de confidencialidade e classificação de dados de Microsoft Purview verificações podem ser ingeridos e visualizados por meio de pastas de trabalho, regras analíticas e muito mais. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
PurviewDataSensitivityLogs |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Proteção de Informações do Microsoft Purview
Com suporte da:Microsoft Corporation
Microsoft Purview Information Protection ajuda você a descobrir, classificar, proteger e controlar informações confidenciais onde quer que ela more ou viaje. O uso desses recursos permite que você conheça seus dados, identifique itens confidenciais e obtenha visibilidade de como eles estão sendo usados para proteger melhor seus dados. Os rótulos de confidencialidade são a capacidade fundamental que fornece ações de proteção, aplicando criptografia, restrições de acesso e marcações visuais. Integre Microsoft Purview Information Protection logs com Microsoft Sentinel para exibir dashboards, criar alertas personalizados e melhorar a investigação. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
MicrosoftPurviewInformationProtection |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Auditoria do Mimecast
Com suporte por:Mimecast
O conector de dados do Mimecast Audit fornece aos clientes a visibilidade de eventos de segurança relacionados a eventos de auditoria e autenticação dentro de Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem insights sobre a atividade do usuário, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados.
Os produtos Mimecast incluídos no conector são: Auditoria
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Audit_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: consulte a documentação para saber mais sobre a API na referência da API Rest
Com suporte por:Mimecast
O conector de dados do
Os produtos Mimecast incluídos no conector são: Auditoria &Autenticação
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
MimecastAudit_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Credenciais da API mimecast: você precisa ter as seguintes informações para configurar a integração:
- mimecastEmail: Endereço de email de um usuário administrador dedicado do Mimecast
- mimecastPassword: senha para o usuário administrador dedicado do Mimecast
- mimecastAppId: ID de aplicativo de API do aplicativo mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAppKey: Chave de Aplicativo de API do aplicativo mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAccessKey: Chave de Acesso para o usuário administrador dedicado do Mimecast
- mimecastSecretKey: Chave Secreta para o usuário administrador dedicado do Mimecast
- mimecastBaseURL: URL base da API Regional do Mimecast
A ID do Aplicativo Mimecast, a Chave do Aplicativo, juntamente com a Chave de Acesso e as chaves Secretas para o usuário administrador dedicado do Mimecast são obtidas por meio do Console de Administração mimecast: Administração | Serviços | Integrações de API e Plataforma.
A URL base da API mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupo de recursos: você precisa ter um grupo de recursos criado com uma assinatura que você usará.
- Functions app: você precisa ter um Azure App registrado para esse conector usar
- ID do aplicativo
- ID do Inquilino
- ID do cliente
- Segredo de Cliente
Treinamento de reconhecimento do Mimecast
Com suporte por:Mimecast
O conector de dados do Mimecast Awareness Training fornece aos clientes a visibilidade de eventos de segurança relacionados às tecnologias de inspeção da Proteção contra Ameaças direcionadas no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem insights sobre ameaças baseadas em email, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados.
Os produtos Mimecast incluídos no conector são:
- Detalhes do desempenho
- Detalhes da pontuação segura
- Dados do Utilizador
- Detalhes da lista de observação
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Awareness_Performance_Details_CL |
Yes | Yes |
Awareness_SafeScore_Details_CL |
Yes | Yes |
Awareness_User_Data_CL |
Yes | Yes |
Awareness_Watchlist_Details_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: consulte a documentação para saber mais sobre a API na referência da API Rest
Mimecast Cloud Integrado
Com suporte por:Mimecast
O conector de dados para Mimecast Cloud Integrated fornece aos clientes a visibilidade de eventos de segurança relacionados às tecnologias de inspeção integrada à nuvem no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem insights sobre ameaças baseadas em email, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Cloud_Integrated_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: consulte a documentação para saber mais sobre a API na referência da API Rest
Mimecast Intelligence para Microsoft – Microsoft Sentinel (usando Azure Functions)
Com suporte por:Mimecast
O conector de dados do Mimecast Intelligence para Microsoft fornece inteligência contra ameaças regionalmente coletadas das tecnologias de inspeção de emails do Mimecast, com painéis pré-criados para permitir que os analistas exibam insights sobre ameaças baseadas em emails, auxiliem na correlação de incidentes e reduzam os tempos de resposta da investigação.
Produtos e recursos mimecast necessários:
- Mimecast Secure Email Gateway
- Mimecast Threat Intelligence
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Credenciais da API mimecast: você precisa ter as seguintes informações para configurar a integração:
- mimecastEmail: Endereço de email de um usuário administrador dedicado do Mimecast
- mimecastPassword: senha para o usuário administrador dedicado do Mimecast
- mimecastAppId: ID de aplicativo de API do aplicativo mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAppKey: Chave de Aplicativo de API do aplicativo mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAccessKey: Chave de Acesso para o usuário administrador dedicado do Mimecast
- mimecastSecretKey: Chave Secreta para o usuário administrador dedicado do Mimecast
- mimecastBaseURL: URL base da API Regional do Mimecast
A ID do Aplicativo Mimecast, a Chave do Aplicativo, juntamente com a Chave de Acesso e as chaves Secretas para o usuário administrador dedicado do Mimecast são obtidas por meio do Console de Administração mimecast: Administração | Serviços | Integrações de API e Plataforma.
A URL base da API mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupo de recursos: você precisa ter um grupo de recursos criado com uma assinatura que você usará.
- Functions app: você precisa ter um Azure App registrado para esse conector usar
- ID do aplicativo
- ID do Inquilino
- ID do cliente
- Segredo de Cliente
Mimecast Secure Email Gateway
Com suporte por:Mimecast
O conector de dados para Mimecast Secure Email Gateway permite a coleta de logs fácil do Gateway de Email Seguro para a percepção de email e a atividade do usuário no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem insights sobre ameaças baseadas em email, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados. Produtos e recursos mimecast necessários:
- Mimecast Cloud Gateway
- Prevenção contra vazamento de dados do Mimecast
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Seg_Cg_CL |
Yes | Yes |
Seg_Dlp_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: consulte a documentação para saber mais sobre a API na referência da API Rest
Mimecast Secure Email Gateway (usando Azure Functions)
Com suporte por:Mimecast
O conector de dados para Mimecast Secure Email Gateway permite a coleta de logs fácil do Gateway de Email Seguro para a percepção de email e a atividade do usuário no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem insights sobre ameaças baseadas em email, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados. Produtos e recursos mimecast necessários:
- Mimecast Secure Email Gateway
- Prevenção contra vazamento de dados do Mimecast
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
MimecastSIEM_CL |
Não | Não |
MimecastDLP_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Credenciais da API mimecast: você precisa ter as seguintes informações para configurar a integração:
- mimecastEmail: Endereço de email de um usuário administrador dedicado do Mimecast
- mimecastPassword: senha para o usuário administrador dedicado do Mimecast
- mimecastAppId: ID de aplicativo de API do aplicativo mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAppKey: Chave de Aplicativo de API do aplicativo mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAccessKey: Chave de Acesso para o usuário administrador dedicado do Mimecast
- mimecastSecretKey: Chave Secreta para o usuário administrador dedicado do Mimecast
- mimecastBaseURL: URL base da API Regional do Mimecast
A ID do Aplicativo Mimecast, a Chave do Aplicativo, juntamente com a Chave de Acesso e as chaves Secretas para o usuário administrador dedicado do Mimecast são obtidas por meio do Console de Administração mimecast: Administração | Serviços | Integrações de API e Plataforma.
A URL base da API mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupo de recursos: você precisa ter um grupo de recursos criado com uma assinatura que você usará.
- Functions app: você precisa ter um Azure App registrado para esse conector usar
- ID do aplicativo
- ID do Inquilino
- ID do cliente
- Segredo de Cliente
Proteção contra Ameaças Direcionadas do Mimecast
Com suporte por:Mimecast
O conector de dados para Mimecast Targeted Threat Protection fornece aos clientes a visibilidade de eventos de segurança relacionados às tecnologias de inspeção da Proteção contra Ameaças Direcionadas no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem insights sobre ameaças baseadas em email, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados.
Os produtos Mimecast incluídos no conector são:
- Proteção de URL
- Proteção de representação
- Proteção de Anexo
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Ttp_Url_CL |
Yes | Yes |
Ttp_Attachment_CL |
Yes | Yes |
Ttp_Impersonation_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: consulte a documentação para saber mais sobre a API na referência da API Rest
Mimecast Targeted Threat Protection (usando Azure Functions)
Com suporte por:Mimecast
O conector de dados para Mimecast Targeted Threat Protection fornece aos clientes a visibilidade de eventos de segurança relacionados às tecnologias de inspeção da Proteção contra Ameaças Direcionadas no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem insights sobre ameaças baseadas em email, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados.
Os produtos Mimecast incluídos no conector são:
- Proteção de URL
- Proteção de representação
- Proteção de Anexo
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
MimecastTTPUrl_CL |
Não | Não |
MimecastTTPAttachment_CL |
Não | Não |
MimecastTTPImpersonation_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Credenciais/permissões da API REST: você precisa ter as seguintes informações para configurar a integração:
- mimecastEmail: Endereço de email de um usuário administrador dedicado do Mimecast
- mimecastPassword: senha para o usuário administrador dedicado do Mimecast
- mimecastAppId: ID de aplicativo de API do aplicativo mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAppKey: Chave de Aplicativo de API do aplicativo mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAccessKey: Chave de Acesso para o usuário administrador dedicado do Mimecast
- mimecastSecretKey: Chave Secreta para o usuário administrador dedicado do Mimecast
- mimecastBaseURL: URL base da API Regional do Mimecast
A ID do Aplicativo Mimecast, a Chave do Aplicativo, juntamente com a Chave de Acesso e as chaves Secretas para o usuário administrador dedicado do Mimecast são obtidas por meio do Console de Administração mimecast: Administração | Serviços | Integrações de API e Plataforma.
A URL base da API mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
MISP2Sentinel
Com suporte por:Community
Essa solução instala o conector MISP2Sentinel que permite que você envie automaticamente indicadores de ameaça do MISP para Microsoft Sentinel por meio da API REST de Indicadores de Upload. Depois de instalar a solução, configure e ative esse conector de dados seguindo as orientações na visualização Gerenciar solução.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
MongoDB Atlas Logs
Com suporte por:MongoDB
O conector MongoDBAtlas Logs oferece a capacidade de carregar logs de banco de dados do MongoDB Atlas em Microsoft Sentinel por meio da API de Administração do Atlas do MongoDB. Consulte a documentação da API para mais informações. O conector oferece a capacidade de obter uma variedade de mensagens de log de banco de dados para os hosts especificados e para o projeto especificado.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
MDBALogTable_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: a ID do cliente da conta de serviço do Atlas do MongoDB e o Segredo do Cliente são necessários. Para obter mais informações, consulte a criação de uma conta de serviço
MuleSoft Cloudhub (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados MuleSoft Cloudhub fornece a capacidade de recuperar logs de aplicativos do Cloudhub usando a API do Cloudhub e mais eventos em Microsoft Sentinel por meio da API REST. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
MuleSoft_Cloudhub_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername e MuleSoftPassword são necessários para fazer chamadas à API.
Proteção de NC
Com suporte por:archTIS
NC Protect Data Connector (archtis.com) fornece a capacidade de ingerir logs de atividades do usuário e eventos em Microsoft Sentinel. O conector fornece visibilidade dos logs e eventos de atividades do usuário do NC Protect em Microsoft Sentinel para melhorar os recursos de monitoramento e investigação
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
NCProtectUAL_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Proteção contra NC: você deve ter uma instância em execução do NC Protect para O365. Entre em contato conosco.
Alertas e eventos do Netskope
Com suporte por:Netskope
Alertas e eventos de segurança do Netskope
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
NetskopeAlerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- URL da organização Netskope: o conector de dados do Netskope exige que você forneça a URL da sua organização. Você pode encontrar a URL da sua organização entrando no portal do Netskope.
-
Chave da API do Netskope: o conector de dados do Netskope exige que você forneça uma chave de API válida. Você pode criar um seguindo a documentação do Netskope.
Conector de Dados do Netskope
Com suporte por:Netskope
O conector de dados Netskope fornece os seguintes recursos:
- NetskopeToAzureStorage:
- Obtenha os dados de Alertas e Eventos do Netskope do Netskope e ingerir para Azure armazenamento. 2. StorageToSentinel:
- Obtenha os dados de Alertas e Eventos do Netskope Azure armazenamento e ingestão para a tabela de log personalizada no workspace do Log Analytics. 3. WebTxMetrics:
- Obtenha os dados do WebTxMetrics do Netskope e ingerir para a tabela de log personalizada no workspace do Log Analytics.
Para obter mais detalhes das APIs REST, consulte as documentações abaixo:
- Documentação da API do Netskope:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Azure documentação de armazenamento: /azure/storage/common/storage-introduction 3. Documentação do Log Analytic da Microsoft: /azure/azure-monitor/logs/log-analytics-overview
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
alertscompromisedcredentialdata_CL |
Não | Não |
alertsctepdata_CL |
Não | Não |
alertsdlpdata_CL |
Não | Não |
alertsmalsitedata_CL |
Não | Não |
alertsmalwaredata_CL |
Não | Não |
alertspolicydata_CL |
Não | Não |
alertsquarantinedata_CL |
Não | Não |
alertsremediationdata_CL |
Não | Não |
alertssecurityassessmentdata_CL |
Não | Não |
alertsubadata_CL |
Não | Não |
eventsapplicationdata_CL |
Não | Não |
eventsauditdata_CL |
Não | Não |
eventsconnectiondata_CL |
Não | Não |
eventsincidentdata_CL |
Não | Não |
eventsnetworkdata_CL |
Não | Não |
eventspagedata_CL |
Não | Não |
Netskope_WebTx_metrics_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no azure active directory() e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: o Locatário do Netskope e o Token de API do Netskope são necessários. Confira a documentação para saber mais sobre a API na referência da API Rest
Conector de dados de transações da Web do Netskope
Com suporte por:Netskope
O conector de dados Netskope Web Transactions fornece a funcionalidade de uma imagem do Docker para efetuar pull dos dados de Transações Web do Netskope do Google Pubsublite, processar os dados e ingerir os dados processados para Log Analytics. Como parte desse conector de dados, duas tabelas serão formadas em Log Analytics, uma para dados de Transações Web e outra para erros encontrados durante a execução.
Para obter mais detalhes relacionados às Transações Da Web, consulte a documentação abaixo:
- Documentação do Netskope Web Transactions:
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
NetskopeWebtxData_CL |
Não | Não |
NetskopeWebtxErrors_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Compute: as permissões de leitura e gravação para Azure VMs são necessárias. Para obter mais informações, consulte Azure VMs.
- Credenciais e permissões transactionEvents: o locatário Netskope e o token de API Netskope são necessários. Para obter mais informações, consulte Eventos de Transação.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
Grupos de Segurança de Rede
Com suporte da:Microsoft Corporation
Azure NSG (grupos de segurança de rede) permite filtrar o tráfego de rede de e para Azure recursos em uma rede virtual Azure. Um grupo de segurança de rede contém regras que permitem ou negam o tráfego para uma sub-rede de rede virtual, a interface de rede ou ambos.
Ao habilitar o registro para um NSG, você pode coletar os seguintes tipos de informações do registro de recursos:
- Evento: As entradas são registradas para as quais as regras NSG são aplicadas a VMs, com base no endereço MAC.
- Contador de regras: Contém entradas para quantas vezes cada regra NSG é aplicada para negar ou permitir o tráfego. O status para essas regras é coletado a cada 300 segundos.
Esse conector permite transmitir os logs de diagnóstico do NSG para Microsoft Sentinel, permitindo que você monitore continuamente a atividade em todas as instâncias. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
NordPass
Com suporte por:NordPass
A integração do NordPass com Microsoft Sentinel SIEM por meio da API permitirá que você transfira automaticamente os dados do Log de Atividades do NordPass para Microsoft Sentinel e obtenha insights em tempo real, como atividade de item, todas as tentativas de logon e notificações de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
NordPassEventLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Verifique se o grupo resource e o workspace Log Analytics estão criados e localizados na mesma região para que você possa implantar o Azure Functions.
- Add Microsoft Sentinel ao workspace Log Analytics criado.
- Gere uma URL de API Microsoft Sentinel e token no Painel de Administração do NordPass para concluir a integração Azure Functions. Observe que você precisará da conta do NordPass Enterprise para isso.
-
Important: Esse conector usa Azure Functions para recuperar logs de atividades do NordPass em Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Para obter mais informações, consulte a página de preços do Azure Functions.
Conector de Compartilhamento de Dados Obsidian
Com suporte por:Segurança Obsidiana
O conector Obsidian Datasharing fornece a capacidade de ler dados de eventos brutos do Obsidian Datasharing no Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ObsidianActivity_CL |
Não | Não |
ObsidianThreat_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento na regra de coleta de dados (DCR). Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC
Logon único do Okta
Com suporte da:Microsoft Corporation
O conector de dados Okta Single Sign-On (SSO) fornece a capacidade de ingerir logs de auditoria e eventos da API de Log do Okta Sysem em Microsoft Sentinel. O conector de dados é criado no Microsoft Sentinel Codeless Connector Framework e usa a API de Log do Sistema Okta para buscar os eventos. O conector dá suporte a transformações de tempo de ingestão baseadas em DCR que analisam os dados de evento de segurança recebidos em colunas personalizadas para que as consultas não precisem analisá-los novamente, resultando em um melhor desempenho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
OktaSSO |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Token de API okta: um token de API okta. Siga as instruções a seguir para criar uma documentação para saber mais sobre a API de Log do Sistema okta.
Okta Single Sign-On (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector Okta Single Sign-On (SSO) fornece a capacidade de ingerir logs de auditoria e eventos da API okta em Microsoft Sentinel. O conector fornece visibilidade desses tipos de log em Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Okta_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API okta: um token de API okta é necessário. Consulte a documentação para saber mais sobre a API de Log do Sistema okta.
Com suporte por:Onapsis
Capacitar as equipes de segurança com visibilidade profunda da exploração exclusiva, do dia zero e da atividade do ator de ameaças; comportamento suspeito de usuário ou insider; downloads de dados confidenciais; violações de controle de segurança; e muito mais - tudo enriquecido pelos especialistas da SAP no Onapsis.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Onapsis_Defend_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento nas regras de coleta de dados. Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC.
Plataforma IAM do OneLogin (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados OneLogin fornece a capacidade de ingerir eventos comuns da Plataforma IAM do OneLogin em Microsoft Sentinel por meio da API REST usando o OneLogin Events API e a API Users do OneLogin. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
OneLoginEventsV2_CL |
Yes | Yes |
OneLoginUsersV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Credenciais da API IAM do OneLogin: para criar credenciais de API, siga o link do documento fornecido aqui, clique aqui.
Certifique-se de ter um tipo de conta de proprietário ou administrador de conta para criar as credenciais de API.
Depois de criar as Credenciais da API, você obterá a ID do Cliente e o Segredo do Cliente.
OneTrust
Com suporte por:OneTrust, LLC
O conector OneTrust para Microsoft Sentinel fornece a capacidade de ter visibilidade quase em tempo real de onde os dados confidenciais foram localizados ou corrigidos em todo o Google Cloud e em outras fontes de dados com suporte do OneTrust.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
OneTrustMetadataV3_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento na regra de coleta de dados (DCR). Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC
Conector de dados open systems
Com suporte por:Open Systems
A API de Logs de Sistemas Abertos Microsoft Sentinel Conector fornece a capacidade de ingerir logs do Open Systems em Microsoft Sentinel usando a API de Logs de Sistemas Abertos.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
OpenSystemsZtnaLogs_CL |
Não | Não |
OpenSystemsFirewallLogs_CL |
Não | Não |
OpenSystemsAuthenticationLogs_CL |
Não | Não |
OpenSystemsProxyLogs_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Azure Container Apps, DCRs e DCEs: são necessárias permissões para implantar Azure Container Apps, Ambientes Gerenciados, DCRs (Regras de Coleta de Dados) e DCEs (Pontos de Extremidade de Coleta de Dados). Isso normalmente é abordado por ter a função 'Colaborador' na assinatura ou no grupo de recursos.
- Permissões de atribuição de função: as permissões para criar atribuições de função (especificamente 'Monitoring Metrics Publisher' em DCRs) são necessárias para o usuário ou entidade de serviço em implantação.
- Required Credentials for ARM Template: Durante a implantação, você precisará fornecer: ponto de extremidade da API de Logs de Sistemas Abertos e connection string e credenciais da Entidade de Serviço (ID do Cliente, Segredo do Cliente, ID do Objeto/Entidade de Segurança).
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Pré-requisitos personalizados, se necessário, caso contrário, exclua essa marca alfandegária: Descrição para quaisquer pré-requisitos personalizados
Infraestrutura Oracle Cloud (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados OCI (Oracle Cloud Infrastructure) fornece a capacidade de ingerir logs OCI de OCI Stream em Microsoft Sentinel usando a API REST de streaming OCI.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
OCI_LogsV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Acesso à API de Streaming OCI: é necessário acessar a API de Streaming OCI por meio de chaves de assinatura de API.
Alertas de segurança do Orca
Com suporte por:Segurança de Orca
O conector de Alertas de Segurança orca permite exportar facilmente logs de Alertas para Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
OrcaAlerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Palo Alto Cortex XDR
Com suporte da:Microsoft Corporation
O conector de dados Palo Alto Cortex XDR permite ingerir logs da API Palo Alto Cortex XDR em Microsoft Sentinel. O conector de dados é criado no Microsoft Sentinel Codeless Connector Framework. Ele usa a API Palo Alto Cortex XDR para buscar logs e dá suporte a transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos em uma tabela personalizada para que as consultas não precisem analisá-los novamente, resultando em um melhor desempenho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
Yes | Yes |
PaloAltoCortexXDR_Endpoints_CL |
Yes | Yes |
PaloAltoCortexXDR_Audit_Management_CL |
Yes | Yes |
PaloAltoCortexXDR_Audit_Agent_CL |
Yes | Yes |
PaloAltoCortexXDR_Alerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Palo Alto Cortex Xpanse (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados Palo Alto Cortex Xpanse ingere dados de alertas em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CortexXpanseAlerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Palo Alto Prisma Cloud CSPM (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados CSPM do Palo Alto Prisma Cloud permite que você se conecte à instância do Palo Alto Prisma Cloud CSPM e ingestão de alertas (
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Palo Alto Prisma Cloud CWPP (usando a API REST)
Com suporte da:Microsoft Corporation
O conector de dados Palo Alto Prisma Cloud CWPP permite que você se conecte à instância do Palo Alto Prisma Cloud CWPP e ingera alertas em Microsoft Sentinel. O conector de dados é criado no Microsoft Sentinel's Codeless Connector Framework e usa a API de Nuvem do Prisma para buscar eventos de segurança e dá suporte a transformações de tempo de ingestion baseado em DCR que analisa os dados de evento de segurança recebidos em colunas personalizadas para que as consultas não precisem analisá-los novamente, resultando em um melhor desempenho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
PrismaCloudCompute_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Chave de API PrismaCloudCompute: um nome de usuário e senha da API do Palo Alto Prisma Cloud CWPP Monitor é necessário. Para obter mais informações, consulte Pi SIEMPrismaCloudCompute.
Pathlock Inc.: Detecção e Resposta a Ameaças para SAP
Com suporte da:Pathlock Inc.
O
O conector do Pathlock é projetado especificamente para SAP e encaminha apenas eventos relevantes para segurança por padrão, minimizando o volume e o ruído dos dados, mantendo a flexibilidade para encaminhar todas as fontes de log quando necessário. Cada evento é enriquecido com o contexto do processo business, permitindo que Microsoft Sentinel solução para análise sap para distinguir padrões operacionais de ameaças reais e priorizar o que realmente importa.
Essa abordagem orientada à precisão ajuda as equipes de segurança a reduzir drasticamente falsos positivos, focar investigações e acelerar o tempo médio para detectar (MTTD) e o tempo médio para responder (MTTR). A biblioteca do Pathlock consiste em mais de 1.500 assinaturas de detecção específicas de SAP em 70+ fontes de log, e a solução revela comportamentos complexos de ataque, fraquezas de configuração e anomalias de acesso.
Ao combinar inteligência de contexto de negócios com análises avançadas, o Pathlock permite que as empresas fortaleçam a precisão da detecção, otimizem ações de resposta e mantenham controle contínuo em seus ambientes SAP — sem adicionar complexidade ou camadas redundantes de monitoramento.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ABAPAuditLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento nas regras de coleta de dados. Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC.
Logs de atividades do Perímetro 81
Com suporte por:Perimeter 81
O conector de Logs de Atividades do Perímetro 81 permite que você conecte facilmente seus logs de atividade do Perímetro 81 com Microsoft Sentinel, para exibir painéis, criar alertas personalizados e melhorar a investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Perimeter81_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Dispositivos de fósforo
Com suporte da:Phosphorus Inc.
O Conector de Dispositivo Phosphorus fornece a capacidade de Phosphorus ingerir logs de dados do dispositivo em Microsoft Sentinel por meio da API REST de Fósforo. O conector fornece visibilidade sobre os dispositivos registrados no Phosphorus. Este conector de dados extrai informações de dispositivos junto com seus alertas correspondentes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Phosphorus_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Credenciais/permissões da API REST: a Chave de API do Phosphorus é necessária. Certifique-se de que a chave de API associada ao usuário tenha as permissões Gerenciar configurações habilitadas.
Siga estas instruções para habilitar as permissões Gerenciar configurações.
- Fazer logon no aplicativo Phosphorus
- Ir para 'Configurações' –> 'Grupos'
- Selecione o grupo do qual o usuário de integração faz parte
- Navegue até "Ações do Produto" –> alterne na permissão "Gerenciar Configurações".
Ping Um (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
Esse conector ingere logs de atividades audit da plataforma de Identidade PingOne em Microsoft Sentinel usando uma Estrutura de Conector Sem Código.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Conector de dados prancer
Com suporte por:Prancer PenSuiteAI Integration
O Prancer Data Connector fornece a capacidade de ingerir dados prancer (CSPM)[https://docs.prancer.io/web/CSPM/] e PAC para processar por meio de Microsoft Sentinel. Consulte a Documentação do Prancer para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
prancer_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Inclua pré-requisitos personalizados se a conectividade exigir – caso contrário, exclua os costumes: Descrição para qualquer pré-requisito personalizado
Inteligência contra ameaças premium do Microsoft Defender
Com suporte da:Microsoft Corporation
Microsoft Sentinel fornece a capacidade de importar a inteligência contra ameaças gerada pela Microsoft para habilitar o monitoramento, alertas e busca. Use esse conector de dados para importar indicadores de comprometimento (IOCs) do Premium Microsoft Defender Threat Intelligence (MDTI) para Microsoft Sentinel. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs, hashes de arquivo etc. Observação: este é um conector pago. Para usar e ingerir dados dele, compre o SKU "Acesso à API MDTI" no Partner Center.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Segurança de email do Proofpoint on Demand (via Codeless Connector Framework)
Com suporte em:Proofpoint, Inc.
O conector de dados Proofpoint On Demand Email Security oferece a capacidade de obter dados do Proofpoint on Demand Email Protection, permite que os usuários verifiquem a rastreabilidade de mensagens, o monitoramento em atividades de email, ameaças e exfiltração de dados por invasores e ataques internos mal-intencionados. O conector oferece a capacidade de examinar eventos em sua organização de forma acelerada, obter arquivos de log de eventos em incrementos de hora em hora para atividades recentes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ProofpointPODMailLog_CL |
Yes | Yes |
ProofpointPODMessage_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Credenciais/permissões da API websocket: ProofpointClusterID e ProofpointToken são necessários. Para obter mais informações, consulte a API.
Segurança de email do Proofpoint on Demand (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados Proofpoint On Demand Email Security oferece a capacidade de obter dados do Proofpoint on Demand Email Protection, permite que os usuários verifiquem a rastreabilidade de mensagens, o monitoramento em atividades de email, ameaças e exfiltração de dados por invasores e ataques internos mal-intencionados. O conector oferece a capacidade de examinar eventos em sua organização de forma acelerada, obter arquivos de log de eventos em incrementos de hora em hora para atividades recentes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ProofpointPODMailLog_CL |
Yes | Yes |
ProofpointPODMessage_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Credenciais/permissões da API websocket: ProofpointClusterID e ProofpointToken são necessários. Para obter mais informações, consulte a API.
Proofpoint TAP (via Codeless Connector Framework)
Com suporte em:Proofpoint, Inc.
O conector Proofpoint Targeted Attack Protection (TAP) fornece a capacidade de ingerir logs e eventos tap do Proofpoint em Microsoft Sentinel. O conector fornece visibilidade dos eventos Mensagem e Clique em Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Yes | Yes |
ProofPointTAPMessagesBlockedV2_CL |
Yes | Yes |
ProofPointTAPClicksPermittedV2_CL |
Yes | Yes |
ProofPointTAPClicksBlockedV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Chave de API TAP do Proofpoint: uma entidade de serviço e segredo da API TAP do Proofpoint é necessário para acessar a API SIEM do Proofpoint. Para obter mais informações, consulte a API SIEM do Proofpoint.
Proofpoint TAP (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector Proofpoint Targeted Attack Protection (TAP) fornece a capacidade de ingerir logs e eventos tap do Proofpoint em Microsoft Sentinel. O conector fornece visibilidade dos eventos Mensagem e Clique em Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Yes | Yes |
ProofPointTAPMessagesBlockedV2_CL |
Yes | Yes |
ProofPointTAPClicksPermittedV2_CL |
Yes | Yes |
ProofPointTAPClicksBlockedV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Chave de API TAP do Proofpoint: uma entidade de serviço e segredo da API TAP do Proofpoint é necessário para acessar a API SIEM do Proofpoint. Para obter mais informações, consulte a API SIEM do Proofpoint.
QscoutAppEventsConnector (via Codeless Connector Framework)
Com suporte por:Quokka
Ingerir eventos de aplicativo Qscout em Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
QscoutAppEvents_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- ID da organização do Qscout: a API requer a ID da sua organização no Qscout.
-
Chave de API da Organização do Qscout: a API requer a chave de API da sua organização no Qscout.
Qualys VM KnowledgeBase (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector Qualys Vulnerability Management (VM) KnowledgeBase (KB) fornece a capacidade de ingerir os dados de vulnerabilidade mais recentes do Qualys KB em Microsoft Sentinel.
Esses dados podem ser usados para correlacionar e enriquecer as detecções de vulnerabilidade encontradas pelo conector de dados Qualys Vulnerability Management (VM).
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
QualysKB_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Chave de API qualys: um nome de usuário e senha da API de VM do Qualys é necessário. Para obter mais informações, consulte a API de VM do Qualys.
Gerenciamento de Vulnerabilidades do Qualys (por meio do Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados Qualys Vulnerability Management (VM) fornece a capacidade de ingerir dados de detecção de host de vulnerabilidade em Microsoft Sentinel por meio da API do Qualys. O conector dá visibilidade dos dados de detecção de host de verificações de vulnerabilidade.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
QualysHostDetectionV3_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Acesso à API e funções: verifique se o usuário da VM do Qualys tem uma função de Leitor ou superior. Se a função for Leitor, verifique se o acesso à API está habilitado para a conta. Não há suporte para a função de auditor para acessar a API. Para obter mais detalhes, consulte a API de Detecção de Host da VM do Qualys e o documento comparação de função de usuário .
Radiflow iSID via AMA
Com suporte por:Radiflow
O iSID permite o monitoramento não disruptivo de redes ICS distribuídas para mudanças na topologia e no comportamento, usando vários pacotes de segurança, cada um oferecendo uma capacidade única referente a um tipo específico de atividade de rede
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
RadiflowEvent |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Rapid7 Insight Platform Vulnerability Management Reports (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados Rapid7 Insight Report fornece a capacidade de ingerir relatórios de verificação e dados de vulnerabilidade em Microsoft Sentinel por meio da API REST da plataforma Rapid7 Insight (Gerenciada na nuvem). Consulte a documentação de API para obter mais informações. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
Não | Não |
NexposeInsightVMCloud_vulnerabilities_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais da API REST: InsightVMAPIKey é necessário para a API REST. Para obter mais informações, consulte a API. Verifique todos os requisitos e siga as instruções para obter credenciais
Conector de Logs de Administração RSA ID Plus
Com suporte da equipe desuporte da RSA
O Conector do RSA ID Plus AdminLogs fornece a capacidade de ingerir Eventos de Auditoria do Console de Administração doCloud em Microsoft Sentinel usando APIs de Administrador de Nuvem.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Autenticação de API da ID RSA Plus: para acessar as APIs de administrador, é necessário um token JWT codificado em Base64URL válido, assinado com a chave de API de Administração Herdada do cliente.
Rubrik Security Cloud data connector (usando Azure Functions)
Com suporte por:Rubrik
O conector de dados do Rubrik Security Cloud permite que as equipes de operações de segurança integrem insights dos serviços de Observabilidade de Dados da Rubrik em Microsoft Sentinel. Os insights incluem a identificação do comportamento anormal do sistema de arquivos associado a ransomware e exclusão em massa, a avaliação do raio de explosão de um ataque de ransomware e operadores de dados confidenciais para priorizar e investigar mais rapidamente possíveis incidentes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Rubrik_Anomaly_Data_CL |
Yes | Yes |
Rubrik_Ransomware_Data_CL |
Yes | Yes |
Rubrik_ThreatHunt_Data_CL |
Yes | Yes |
Rubrik_Events_Data_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
Segurança de SaaS
Com suporte da:Valence Security
Conecta a plataforma de segurança SaaS do Valence Azure Log Analytics por meio da interface da API REST
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ValenceAlert_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
SailPoint IdentityNow (usando Azure Functions)
Com suporte por:SailPoint
O conector de dados SailPoint IdentityNow fornece a capacidade de ingerir eventos de pesquisa [SailPoint IdentityNow] em Microsoft Sentinel por meio da API REST. O conector fornece aos clientes a capacidade de extrair informações de auditoria do locatário do IdentityNow. O objetivo é tornar ainda mais fácil trazer eventos de atividade e governança do usuário do IdentityNow para Microsoft Sentinel para melhorar os insights de sua solução de monitoramento de eventos e incidentes de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SailPointIDN_Events_CL |
Yes | Yes |
SailPointIDN_Triggers_CL |
Não | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais de Autenticação da API do SailPoint IdentityNow: TENANT_ID, CLIENT_ID e CLIENT_SECRET são necessários para autenticação.
Salesforce Service Cloud (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados do Salesforce Service Cloud fornece a capacidade de ingerir informações sobre os eventos operacionais do Salesforce em Microsoft Sentinel por meio da API REST. O conector fornece a capacidade de examinar eventos da organização de modo acelerado, obter arquivos de log de eventos em incrementos de hora para atividades recentes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SalesforceServiceCloudV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Acesso à API de Nuvem do Serviço salesforce: o acesso à API de Nuvem do Serviço Salesforce por meio de um aplicativo conectado é necessário.
Samsung Knox Asset Intelligence
Com suporte da:Samsung Electronics Co., Ltd.
O Samsung Knox Asset Intelligence Data Connector permite centralizar seus logs e eventos de segurança móvel para exibir insights personalizados usando o modelo de pasta de trabalho e identificar incidentes com base em modelos de Regras de Análise.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Samsung_Knox_Audit_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Aplicativo Entra: um aplicativo Entra precisa ser registrado e provisionado com a função 'Microsoft Metrics Publisher' e configurado com Certificado ou Segredo do Cliente como credenciais para transferência segura de dados. Confira o tutorial de ingestão de logs para saber mais sobre a criação, o registro e a configuração de credenciais do Aplicativo Entra.
SAP BTP
Com suporte da:Microsoft Corporation
O SAP BTP (SAP Business Technology Platform) reúne gerenciamento de dados, análise, inteligência artificial, desenvolvimento de aplicativos, automação e integração em um ambiente unificado.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SAPBTPAuditLog_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
ID do cliente e segredo do cliente para a API de Recuperação de Auditoria: habilitar o acesso à API no BTP.
Sap Enterprise Threat Detection, cloud edition
Com suporte por:SAP
O conector de dados SAP Enterprise Threat Detection, cloud edition (ETD) permite a ingestão de alertas de segurança do ETD em Microsoft Sentinel, oferecendo suporte à correlação cruzada, alertas e busca de ameaças.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SAPETDAlerts_CL |
Yes | Yes |
SAPETDInvestigations_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
ID do cliente e segredo do cliente para a API de Recuperação de ETD: habilitar o acesso à API no ETD.
SAP LogServ (RISE), edição privada do S/4HANA Cloud
Com suporte por:SAP
O SAP LogServ é um serviço SAP Enterprise Cloud Services (ECS) voltado para coleta, armazenamento, encaminhamento e acesso de logs. O LogServ centraliza os logs de todos os sistemas, aplicativos e serviços ECS usados por um cliente registrado.
Os principais recursos incluem:
Coleção de logs quase em tempo real: com a capacidade de se integrar ao Microsoft Sentinel como solução SIEM.
O LogServ complementa o monitoramento e as detecções de ameaças da camada de aplicativo SAP existentes em Microsoft Sentinel com os tipos de log pertencentes ao SAP ECS como o provedor do sistema. Isso inclui logs como: SAP Security Audit Log (AS ABAP), banco de dados HANA, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, SO, Gateway SAP, Banco de Dados de terceiros, Rede, DNS, Proxy, Firewall
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SAPLogServ_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento nas regras de coleta de dados. Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC.
SAP S/4HANA Cloud Edição Pública
Com suporte por:SAP
O conector de dados DO SAP S/4HANA Cloud Public Edition (GROW com SAP) permite a ingestão do log de auditoria de segurança do SAP na Solução Microsoft Sentinel para SAP, oferecendo suporte à correlação cruzada, alertas e busca de ameaças. Procurando mecanismos de autenticação alternativos? Consulte a.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ABAPAuditLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
ID do cliente e segredo do cliente para a API de Recuperação de Auditoria: habilitar o acesso à API no BTP.
Solução SecurityBridge para SAP
Com suporte por:SecurityBridge
O SecurityBridge aprimora a segurança do SAP integrando-se perfeitamente com Microsoft Sentinel, permitindo o monitoramento em tempo real e a detecção de ameaças em ambientes SAP. Essa integração permite que os SOCs (Centros de Operações de Segurança) consolidem eventos de segurança sap com outros dados organizacionais, fornecendo uma exibição unificada do cenário de ameaças. Aproveitando a análise da IA e o Copilot de Segurança da Microsoft, o SecurityBridge identifica padrões de ataque sofisticados e vulnerabilidades em aplicativos SAP, incluindo verificação de código ABAP e avaliações de configuração. A solução dá suporte a implantações escalonáveis em cenários complexos do SAP, seja no local, na nuvem ou em ambientes híbridos. Ao fazer a ponte entre as equipes de segurança de TI e SAP, a SecurityBridge capacita as organizações a detectar, investigar e responder proativamente a ameaças, aprimorando a postura geral de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ABAPAuditLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento nas regras de coleta de dados. Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC.
Logs de raios semperis
Com suporte por:Semperis
O conector Semperis Lightning usa o Azure Functions para ingerir dados de segurança de identidade do Semperis Lightning no Microsoft Sentinel. O conector implanta uma Função do Azure e coleta dados em tabelas personalizadas do Log Analytics para investigação e busca de ameaças.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
LightningTier0Nodes_CL |
Não | Não |
LightningAttackPaths_CL |
Não | Não |
LightningIOEResults_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais da API do Semperis Lightning: uma chave de API Semperis Lightning e uma zona selecionada (na ou eu) são necessárias para autenticar o conector no Semperis Lightning.
SentinelOne
Com suporte da:Microsoft Corporation
O conector de dados SentinelOne permite a ingestão de logs da API SentinelOne em Microsoft Sentinel. O conector de dados é criado no Microsoft Sentinel Codeless Connector Framework. Ele usa a API SentinelOne para buscar logs e dá suporte a transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos em uma tabela personalizada para que as consultas não precisem analisá-los novamente, resultando em um melhor desempenho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SentinelOneActivities_CL |
Yes | Yes |
SentinelOneAgents_CL |
Yes | Yes |
SentinelOneGroups_CL |
Yes | Yes |
SentinelOneThreats_CL |
Yes | Yes |
SentinelOneAlerts_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
SentinelOne (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados SentinelOne fornece a capacidade de ingerir objetos comuns do servidor SentinelOne, como Ameaças, Agentes, Aplicativos, Atividades, Políticas, Grupos e mais eventos em Microsoft Sentinel por meio da API REST. Consulte a documentação da API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview para obter mais informações. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SentinelOne_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: SentinelOneAPIToken é necessário. Consulte a documentação para obter mais informações sobre a API no
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.
Segurança Web Seráfica
Com suporte por:Seraphic Security
O conector de dados do Seraphic Web Security fornece a capacidade de ingerir Seraphic Web Security eventos e alertas em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SeraphicWebSecurity_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- chave de API Seraphic: chave de API para Microsoft Sentinel conectada ao locatário do Seraphic Web Security. Para obter essa chave de API para seu locatário , leia esta documentação.
Console de Administração do Silverfort
Com suporte por:Silverfort
A solução Silverfort conector do Console de Administração de ITDR permite a ingestão de eventos silverfort e o logon em Microsoft Sentinel. O Silverfort fornece eventos baseados em syslog e registro em log usando o Common Event Format (CEF). Ao encaminhar seus dados de CEF do Console de Administração de ITDR do Silverfort para Microsoft Sentinel, você pode aproveitar a pesquisa e a correlação do Sentinels, alertas e enriquecimento de inteligência contra ameaças nos dados do Silverfort. Entre em contato com a equipe do Silverfort ou confira a documentação do Silverfort para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommonSecurityLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
SlackAudit (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados SlackAudit fornece a capacidade de ingerir logs de auditoria Slack em Microsoft Sentinel por meio da API REST. Consulte a documentação de API para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SlackAuditV2_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
UserName, Chave de API do SlackAudit & Tipo de ação: para gerar o Token de Acesso, crie um novo aplicativo no Slack e, em seguida, adicione os escopos necessários e configure a URL de redirecionamento. Para obter instruções detalhadas sobre como gerar o token de acesso, o nome de usuário e o limite de nomes de ação, consulte o link.
Snowflake (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados snowflake fornece a capacidade de ingerir logs de histórico snowflake Login, Query History LogsUser-Grant Logs, Role-Grant Logs, Load History Logs, Materialized View Refresh History Logs, Roles Logs, Tables Logs, Table Storage Metrics Logs, Users Logs em Microsoft Sentinel usando a API SQL snowflake. Consulte a documentação da API SQL do Snowflake para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SnowflakeLogin_CL |
Yes | Yes |
SnowflakeQuery_CL |
Yes | Yes |
SnowflakeUserGrant_CL |
Yes | Yes |
SnowflakeRoleGrant_CL |
Yes | Yes |
SnowflakeLoad_CL |
Yes | Yes |
SnowflakeMaterializedView_CL |
Yes | Yes |
SnowflakeRoles_CL |
Yes | Yes |
SnowflakeTables_CL |
Yes | Yes |
SnowflakeTableStorageMetrics_CL |
Yes | Yes |
SnowflakeUsers_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Conector de dados de logs de auditoria do SOC Prime Platform
Com suporte por:SOC Prime
O conector de dados SOC Prime Audit Logs permite a ingestão de logs da API da Plataforma SoC Prime em Microsoft Sentinel. O conector de dados é criado no Microsoft Sentinel Codeless Connector Framework. Ele usa a API da Plataforma Prime do SOC para buscar logs de auditoria da plataforma SOC Prime e dá suporte a transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos em uma tabela personalizada, resultando em um melhor desempenho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SOCPrimeAuditLogs_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Conector de Dados Sonrai
Com suporte por:N/A
Use esse conector de dados para se integrar ao Sonrai Security e obter tíquetes sonrai enviados diretamente para Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Sonrai_Tickets_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Sophos Endpoint Protection (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados Sophos Endpoint Protection fornece a capacidade de ingerir eventos Sophos em Microsoft Sentinel. Consulte a documentação do Sophos Central Administração para mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SophosEP_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: o token de API é necessário. Para obter mais informações, consulte o token de API
Sophos Endpoint Protection (usando a API REST)
Com suporte da:Microsoft Corporation
O conector de dados Sophos Endpoint Protection fornece a capacidade de ingerir eventos Sophos e alertas Sophos em Microsoft Sentinel. Consulte a documentação do Sophos Central Administração para mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SophosEPEvents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
-
Acesso à API do Sophos Endpoint Protection: o acesso à API do Sophos Endpoint Protection por meio de uma entidade de serviço é necessário.
Bolsa Integrada de Defesa Cibernética Symantec
Com suporte da:Microsoft Corporation
O conector do Symantec ICDx permite que você conecte facilmente seus logs de soluções de segurança da Symantec com Microsoft Sentinel, para exibir painéis, criar alertas personalizados e melhorar a investigação. Isso proporciona mais insights sobre a rede da sua organização e aprimora as funcionalidades de operação de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SymantecICDx_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Conector de Integração do Synqly
Com suporte por:Synqly
O conector do Synqly fornece a capacidade de enviar por push eventos de segurança de integrações do Synqly ao Microsoft Sentinel usando a API de Ingestão de Logs do Azure. Os eventos são normalizados automaticamente nas tabelas ASIM (Modelo avançado de informações de segurança) para uso com análises, pastas de trabalho e consultas de busca do Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- ID do Microsoft Entra: função de Desenvolvedor de Aplicativos (ou superior) para criar registros de aplicativo.
-
Microsoft Azure: Função administrador de acesso do usuário ou proprietário no grupo de recursos para implantar o DCR e atribuir a função de Editor de Métricas de Monitoramento.
Syslog via AMA
Com suporte da:Microsoft Corporation
O Syslog é um protocolo de registro de eventos em log que é comum para o Linux. Os aplicativos enviarão mensagens que podem ser armazenadas no computador local ou entregues a um coletor de Syslog. Quando o Agent para Linux está instalado, ele configura o daemon do Syslog local para encaminhar mensagens para o agente. Em seguida, o agente envia a mensagem para o espaço de trabalho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Syslog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Credenciais comprometidas por ImplicitRed
Com suporte por:Data443 Risk Mitigation, Inc.
Ingerir descobertas de credenciais comprometidas do ImplicitRed usando o CCF (Common Connector Framework).
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
TacitRed_Findings_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
TacitRed API Key: chave de API armazenada em Azure Key Vault ou fornecida no momento da implantação.
Talon Insights
Com suporte da:Talon Security
O conector de Logs de Segurança do Talon permite que você conecte facilmente seus eventos talon e logs de auditoria com Microsoft Sentinel, para exibir painéis, criar alertas personalizados e melhorar a investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Talon_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Team Cymru Scout Data Connector (usando Azure Functions)
Com suporte por:Team Cymru
O conector de dados TeamCymruScout permite que os usuários tragam dados de uso de IP, domínio e conta do Team Cymru Scout em Microsoft Sentinel para enriquecimento.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
Não | Não |
Cymru_Scout_IP_Data_Foundation_CL |
Não | Não |
Cymru_Scout_IP_Data_Details_CL |
Não | Não |
Cymru_Scout_IP_Data_Communications_CL |
Não | Não |
Cymru_Scout_IP_Data_PDNS_CL |
Não | Não |
Cymru_Scout_IP_Data_Fingerprints_CL |
Não | Não |
Cymru_Scout_IP_Data_OpenPorts_CL |
Não | Não |
Cymru_Scout_IP_Data_x509_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_Details_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_Certs_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
Não | Não |
Cymru_Scout_Account_Usage_Data_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Permission para atribuir uma função ao aplicativo registrado: é necessária permissão para atribuir uma função ao aplicativo registrado no Microsoft Entra ID.
-
Credenciais/permissões do Team Cymru Scout: as credenciais da conta do Team Cymru Scout (Nome de usuário, senha) são necessárias.
Exposição de identidade utilizável
Com suporte por:Tenable
O conector tenable Identity Exposure permite que indicadores de exposição, indicadores de ataque e logs de fluxo de trilha sejam ingeridos em Microsoft Sentinel. Os diferentes livros de trabalho e analisadores de dados permitem manipular mais facilmente logs e monitorar seu ambiente de Active Directory. Os modelos analíticos permitem automatizar respostas sobre diferentes eventos, exposições e ataques.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Acesso à Configuração tenableIE: permissões para configurar o mecanismo de alerta do syslog
Tenable Vulnerability Management (usando Azure Functions)
Com suporte por:Tenable
O conector de dados TVM fornece a capacidade de ingerir dados de vulnerabilidades de Ativo, Vulnerabilidade, Conformidade, WAS e vulnerabilidades WAS em Microsoft Sentinel usando APIs REST de TVM. Consulte a documentação de API para obter mais informações. O conector fornece a capacidade de coletar dados que ajudam a examinar possíveis riscos de segurança, insights sobre seus ativos de computação, diagnosticar problemas de configuração e muito mais
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Tenable_VM_Asset_CL |
Yes | Yes |
Tenable_VM_Vuln_CL |
Yes | Yes |
Tenable_VM_Compliance_CL |
Yes | Yes |
Tenable_WAS_Asset_CL |
Yes | Yes |
Tenable_WAS_Vuln_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: um TenableAccessKey e um TenableSecretKey são necessários para acessar a API REST tenable. Para obter mais informações, consulte a API. Verifique todos os requisitos e siga as instruções para obter as credenciais.
Microsoft Defender para Nuvem baseado em locatário
Com suporte da:Microsoft Corporation
Microsoft Defender for Cloud é uma ferramenta de gerenciamento de segurança que permite detectar e responder rapidamente a ameaças em cargas de trabalho Azure, híbridas e de várias nuvens. Esse conector permite que você transmita seus alertas de segurança MDC de Microsoft 365 Defender para Microsoft Sentinel, para que você possa aproveitar as vantagens das correlações XDR conectando os pontos em seus recursos de nuvem, dispositivos e identidades e exibir os dados em pastas de trabalho, consultas e investigar e responder a incidentes. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityAlert |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
TheHive (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados TheHive fornece a capacidade de ingerir dados da plataforma de resposta a incidentes de segurança theHive no Microsoft Sentinel por meio da API REST. Consulte a documentação de API para obter mais informações. O conector fornece a capacidade de obter casos, tarefas e alertas do TheHive e visualizá-los no Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
TheHiveData |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Acesso à API do AHive: o acesso à API do TheHive versão 4 e superior é necessário para a API do TheHive.
Theom
Com suporte por:Theom
O Theom Data Connector permite que as organizações conectem seu ambiente Theom ao Microsoft Sentinel. Essa solução permite que os usuários recebam alertas sobre riscos de segurança de dados, criem e enriqueçam incidentes, verifiquem estatísticas e disparem guias estratégicos soar em Microsoft Sentinel
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
TheomAlerts_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Inteligência contra ameaças – TAXII
Com suporte da:Microsoft Corporation
Microsoft Sentinel integra-se às fontes de dados TAXII 2.0 e 2.1 para habilitar o monitoramento, alertas e busca usando sua inteligência contra ameaças. Use esse conector para enviar os tipos de objeto STIX com suporte de servidores TAXII para Microsoft Sentinel. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs e hashes de arquivo. Para obter mais informações, consulte a documentação Microsoft Sentinel >.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Plataformas de Inteligência contra Ameaças
Com suporte da:Microsoft Corporation
Microsoft Sentinel integra-se com fontes de dados Microsoft Graph Security API para habilitar o monitoramento, alertas e busca usando sua inteligência contra ameaças. Use esse conector para enviar indicadores de ameaça para Microsoft Sentinel da TIP (Plataforma de Inteligência contra Ameaças), como o Threat Connect, o Palo Alto Networks MindMeld, o MISP ou outros aplicativos integrados. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs e hashes de arquivo. Para obter mais informações, consulte a documentação Microsoft Sentinel >.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
API de upload de inteligência contra ameaças (versão prévia)
Com suporte da:Microsoft Corporation
Microsoft Sentinel oferece uma API de plano de dados para trazer inteligência contra ameaças de sua TIP (Plataforma de Inteligência contra Ameaças), como Threat Connect, Palo Alto Networks MineMeld, MISP ou outros aplicativos integrados. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs, hashes de arquivo e endereços de e-mail. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Transmit Security Connector (usando Azure Functions)
Com suporte por:Transmitir Segurança
O conector de dados [Transmit Security] fornece a capacidade de ingerir eventos comuns de transmissão Security API em Microsoft Sentinel por meio da API REST. Consulte a documentação da API para obter mais informações. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
TransmitSecurityActivity_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
ID do cliente da API REST: TransmitSecurityClientID é necessário. Consulte a documentação para obter mais informações sobre a API no
https://developer.transmitsecurity.com/. -
Segredo do cliente da API REST: TransmitSecurityClientSecret é necessário. Consulte a documentação para obter mais informações sobre a API no
https://developer.transmitsecurity.com/.
Trellix Endpoint Security (via Codeless Connector Framework)
Com suporte da:Microsoft Corporation
O conector de dados do Trellix Endpoint Security permite que você ingera eventos de segurança do Trellix ePO (ePolicy Orchestrator) no Microsoft Sentinel. Esse conector usa a autenticação de credenciais do cliente OAuth2 e lida automaticamente com a paginação para coletar dados abrangentes de segurança de ponto de extremidade, incluindo detecções de ameaças, informações do analisador, detalhes do sistema de origem e destino e ações de resposta a ameaças.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
TrellixEvents |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Trend Vision One (usando Azure Functions)
Com suporte por:Trend Micro
O conector Trend Vision One permite que você conecte facilmente seus dados de alerta do Workbench com Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação. Isso proporciona mais insights sobre a rede e os sistemas da organização, além de aprimorar as funcionalidades da operação de segurança.
O conector do Trend Vision One tem suporte em Microsoft Sentinel nas seguintes regiões: Leste da Austrália, Sudeste da Austrália, Sul do Brasil, Canadá Central, Leste do Canadá, Índia Central, EUA Central, Leste da Ásia, Leste dos EUA, Leste dos EUA 2, França Central, Leste do Japão, Centro da Coreia, Centro-Norte dos EUA, Norte da Europa, Leste da Noruega, Norte da África do Sul, Centro-Sul dos EUA, Sudeste Asiático, Suécia Central, Norte da Suíça, Norte dos Emirados Árabes Unidos, Sul do Reino Unido, Oeste do Reino Unido, Oeste da Europa, Oeste dos EUA, Oeste dos EUA 2, Oeste dos EUA 3.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
Não | Não |
TrendMicro_XDR_RCA_Task_CL |
Não | Não |
TrendMicro_XDR_RCA_Result_CL |
Não | Não |
TrendMicro_XDR_OAT_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Token de API do Trend Vision One: um token de API do Trend Vision One é necessário. Consulte a documentação para saber mais sobre a API do Trend Vision One.
Segurança do Tropico – Alertas
Com suporte por:TROPICO Security
Ingerir alertas de segurança da Plataforma de Segurança Tropico no formato de Localização de Segurança do OCSF.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
{{graphQueriesTableName}} |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Segurança do Tropico – Eventos
Com suporte por:TROPICO Security
Ingerir eventos de segurança da Plataforma de Segurança Tropico no formato de Localização de Segurança do OCSF.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
{{graphQueriesTableName}} |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Segurança do Tropico – Incidentes
Com suporte por:TROPICO Security
Ingerir incidentes de sessão de invasor da Plataforma de Segurança Tropico.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
{{graphQueriesTableName}} |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Conector push do Varonis Purview
Com suporte por:Varonis
O conector Varonis Purview fornece a capacidade de sincronizar recursos de Varonis para Microsoft Purview.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
varonisresources_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento na regra de coleta de dados (DCR). Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC
Varonis SaaS
Com suporte por:Varonis
O Varonis SaaS fornece a capacidade de ingerir alertas Varonis em Microsoft Sentinel.
O Varonis prioriza a visibilidade profunda dos dados, os recursos de classificação e a correção automatizada para acesso a dados. O Varonis cria uma única visão priorizada do risco para seus dados, para que você possa eliminar de forma proativa e sistemática o risco de ameaças internas e ataques cibernéticos.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
VaronisAlerts_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
Vectra XDR (usando Azure Functions)
Suporte para:Vectra
O conector Vectra XDR oferece a capacidade de ingerir dados de Detecções, Auditorias, Pontuação de Entidade, Bloqueio, Integridade e Entidades em Microsoft Sentinel por meio da API REST do Vectra. Consulte a documentação da API: https://support.vectra.ai/s/article/KB-VS-1666 para obter mais informações.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Detections_Data_CL |
Yes | Yes |
Audits_Data_CL |
Yes | Yes |
Entity_Scoring_Data_CL |
Yes | Yes |
Lockdown_Data_CL |
Yes | Yes |
Health_Data_CL |
Yes | Yes |
Entities_Data_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: a ID do cliente vectra e o segredo do cliente são necessários para coleta de dados de integridade, pontuação de entidade, entidades, detecções, bloqueio e auditoria. Consulte a documentação para obter mais informações sobre a API no
https://support.vectra.ai/s/article/KB-VS-1666.
Veeam Data Connector (usando Azure Functions)
Com suporte do:Veeam Software
O Veeam Data Connector permite ingerir dados de telemetria veeam de várias tabelas personalizadas em Microsoft Sentinel.
O conector suporta integração com as plataformas Veeam Backup & Replication, Veeam ONE e Coveware para fornecer monitoramento abrangente e análises de segurança. Os dados são coletados por meio de Azure Functions e armazenados em tabelas de Log Analytics personalizadas com DCR (Regras de Coleta de Dados) dedicadas e Pontos de Extremidade de Coleta de Dados (DCE).
Tabelas personalizadas incluíam:
- VeeamMalwareEvents_CL: Eventos de detecção de malware do Backup e Replicação do Veeam
- VeeamSecurityComplianceAnalyzer_CL: Resultados do Analisador de Segurança e Conformidade coletados de componentes de infraestrutura de backup do Veeam
- VeeamAuthorizationEvents_CL: eventos de autorização e autenticação
- VeeamOneTriggeredAlarms_CL: Alarmes disparados de servidores Veeam ONE
- VeeamCovewareFindings_CL: Descobertas de segurança da solução Coveware
- VeeamSessions_CL: sessões do Veeam
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
VeeamMalwareEvents_CL |
Yes | Yes |
VeeamSecurityComplianceAnalyzer_CL |
Yes | Yes |
VeeamOneTriggeredAlarms_CL |
Yes | Yes |
VeeamAuthorizationEvents_CL |
Yes | Yes |
VeeamCovewareFindings_CL |
Yes | Yes |
VeeamSessions_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Acesso à infraestrutura veeam: é necessário acessar a API REST de Backup do Veeam & Replicação e a plataforma de monitoramento veeam ONE. Isso inclui credenciais de autenticação adequadas e conectividade de rede.
VersasecCms
Suporte para:Versasec Support
O conector de dados VersasecCms permite a ingestão de logs em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
VersasecCmsSysLogs_CL |
Não | Não |
VersasecCmsErrorLogs_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
VirtualMetric DataStream para Microsoft Sentinel
Com suporte por:VirtualMetric
O conector VirtualMetric DataStream implanta regras de coleta de dados para ingerir telemetria de segurança em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommonSecurityLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- App Registration ou Azure Managed Identity: o VirtualMetric DataStream requer uma identidade de ID de Entra para autenticar e enviar logs para Microsoft Sentinel. Você pode escolher entre criar um Registro de Aplicativo com a ID do Cliente e o Segredo do Cliente ou usar Azure Identidade Gerenciada para segurança aprimorada sem gerenciamento de credenciais.
-
Atribuição de função de grupo de recursos: a identidade escolhida (Registro de Aplicativo ou Identidade Gerenciada) deve ser atribuída ao grupo de recursos que contém o Ponto de Extremidade de Coleta de Dados com as seguintes funções: Monitorando o Editor de Métricas (para ingestão de log) e o Leitor de Monitoramento (para ler a configuração do fluxo).
VirtualMetric DataStream para Microsoft Sentinel data lake
Com suporte por:VirtualMetric
O conector do VirtualMetric DataStream implanta regras de coleta de dados para ingerir telemetria de segurança em Microsoft Sentinel data lake.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommonSecurityLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- App Registration ou Azure Managed Identity: o VirtualMetric DataStream requer uma identidade de ID de Entra para autenticar e enviar logs para Microsoft Sentinel data lake. Você pode escolher entre criar um Registro de Aplicativo com a ID do Cliente e o Segredo do Cliente ou usar Azure Identidade Gerenciada para segurança aprimorada sem gerenciamento de credenciais.
-
Atribuição de função de grupo de recursos: a identidade escolhida (Registro de Aplicativo ou Identidade Gerenciada) deve ser atribuída ao grupo de recursos que contém o Ponto de Extremidade de Coleta de Dados com as seguintes funções: Monitorando o Editor de Métricas (para ingestão de log) e o Leitor de Monitoramento (para ler a configuração do fluxo).
Proxy do Diretor VirtualMetric
Com suporte por:VirtualMetric
O Proxy do VirtualMetric Director implanta um aplicativo de funções Azure para fazer uma ponte segura do VirtualMetric DataStream com serviços de Azure, incluindo Microsoft Sentinel, Azure Data Explorer e Azure Storage.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommonSecurityLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Function App: um aplicativo de funções Azure deve ser implantado para hospedar o Proxy de Diretor. Requer permissões de leitura, gravação e exclusão em recursos Microsoft.Web/sites em seu grupo de recursos para criar e gerenciar o Aplicativo de Funções.
- Configuração do VirtualMetric DataStream: você precisa do VirtualMetric DataStream configurado com credenciais de autenticação para se conectar ao Proxy de Diretor. O Proxy de Diretor atua como uma ponte segura entre o VirtualMetric DataStream e os serviços de Azure.
-
Target Azure Services: configure seus serviços de Azure de destino, como pontos de extremidade de coleta de dados Microsoft Sentinel, clusters de Azure Data Explorer ou contas Azure Storage em que o Proxy de Diretor encaminhará dados.
VMRayThreatIntelligence (usando Azure Functions)
Com suporte por:VMRay
O conector VMRayThreatIntelligence gera e fornece automaticamente inteligência de ameaças para todas as submissões ao VMRay, melhorando a detecção de ameaças e a resposta a incidentes no Sentinel. Essa integração fluida capacita as equipes a enfrentar proativamente ameaças emergentes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ThreatIntelligenceIndicator |
Yes | Não |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Subscription: Azure Assinatura com função de proprietário é necessária para registrar um aplicativo no azure active directory() e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: a chave de API VMRay é necessária.
VMware Carbon Black Cloud (usando Azure Functions)
Com suporte por:Microsoft
O conector VMware Carbon Black Cloud fornece a capacidade de ingerir dados Carbon Black em Microsoft Sentinel. O conector fornece visibilidade dos logs de Auditoria, Notificação e Eventos em Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CarbonBlackEvents_CL |
Não | Não |
CarbonBlackNotifications_CL |
Não | Não |
CarbonBlackAuditLogs_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Chave(s) da API Preto do VMware Carbon: API Carbon Black e/ou Chave(s) de API de Nível SIEM são necessárias. Consulte a documentação para saber mais sobre a API Carbon Black.
- Uma ID de API de nível de acesso e chave de nível de API Carbon Black é necessária para logs de auditoria e eventos .
- Uma ID de API de nível de acesso siem preto carbon e chave é necessária para alertas de notificação .
-
Credenciais/permissões da API REST do Amazon S3: ID da chave de acesso do AWS, chave de acesso secreta da AWS, nome do bucket do AWS S3, nome da pasta no bucket do AWS S3 são necessários para a API REST do Amazon S3.
Nuvem Negra do VMware Carbon por meio do AWS S3
Com suporte por:Microsoft
O VMware Carbon Black Cloud por meio do conector de dados do AWS S3 fornece a capacidade de ingerir eventos de watchlist, alertas, autenticação e pontos de extremidade por meio do AWS S3 e transmiti-los para tabelas normalizadas asIM. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CarbonBlack_Alerts_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Ambiente: Você deve ter os seguintes recursos do AWS definidos e configurados: S3, SQS (Simple Queue Service), funções IAM e políticas de permissões
-
Ambiente: você deve ter a conta preta carbon e as permissões necessárias para criar um buckets do AWS S3 encaminhados a dados.
Para obter mais informações, consulte Carbon Black Data Forwarder Docs
Windows Eventos DNS via AMA
Com suporte da:Microsoft Corporation
O conector de log DNS Windows permite filtrar e transmitir facilmente todos os logs de análise de seus servidores DNS Windows para seu workspace Microsoft Sentinel usando o AMA (agente de monitoramento de Azure). Ter esses dados no Microsoft Sentinel ajuda a identificar problemas e ameaças à segurança, como:
- Tentando resolver nomes de domínio mal-intencionados.
- Registros de recursos obsoletos.
- Nomes de domínio frequentes e clientes DNS falantes.
- Ataques executados no servidor DNS.
Você pode obter as seguintes informações sobre seus servidores DNS Windows de Microsoft Sentinel:
- Todos os logs centralizados em um único lugar.
- Solicitação de carregamento em servidores DNS.
- Falhas de registro de DNS dinâmico.
Windows eventos DNS são compatíveis com o ASIM (Advanced SIEM Information Model) e transmitem dados para a tabela ASimDnsActivityLogs. Saiba mais.
Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ASimDnsActivityLogs |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Windows Firewall
Com suporte da:Microsoft Corporation
Windows Firewall é um aplicativo do Microsoft Windows que filtra informações que chegam ao seu sistema da Internet e bloqueiam programas potencialmente prejudiciais. O software impede que a maioria dos programas se comunique por meio do firewall. Os usuários simplesmente adicionam um programa à lista de programas permitidos para que ele se comunique pelo firewall. Ao usar uma rede pública, Windows Firewall também pode proteger o sistema bloqueando todas as tentativas não solicitadas de se conectar ao seu computador. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|
Suporte à regra de coleta de dados: Não há suporte no momento
Windows Firewall via AMA
Com suporte da:Microsoft Corporation
Windows Firewall é um aplicativo do Microsoft Windows que filtra informações que chegam ao seu sistema da Internet e bloqueiam programas potencialmente prejudiciais. O software de firewall impede que a maioria dos programas se comunique por meio do firewall. Para transmitir os logs de aplicativo do Firewall Windows coletados de seus computadores, use o AMA (agente Azure Monitor) para transmitir esses logs para o workspace Microsoft Sentinel.
Um DCE (ponto de extremidade de coleta de dados) configurado é necessário para ser vinculado à regra de coleta de dados (DCR) criada para a AMA coletar logs. Para esse conector, um DCE é criado automaticamente na mesma região que o workspace. Se você já usa um DCE armazenado na mesma região, é possível alterar o DCE criado padrão e usar o existente por meio da API. Os DCEs podem estar localizados em seus recursos com o prefixo SentinelDCE no nome do recurso.
Para obter mais informações, consulte os seguintes artigos:
- pontos de extremidade da coleção Data no Azure Monitor
- Microsoft Sentinel documentação
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|
Suporte à regra de coleta de dados: Não há suporte no momento
Windows Eventos Encaminhados
Com suporte da:Microsoft Corporation
Você pode transmitir todos os logs do WEF (Encaminhamento de Eventos) Windows dos servidores Windows conectados ao workspace Microsoft Sentinel usando o AGENTE Azure Monitor (AMA). Essa conexão permite que você veja painéis de controle, crie alertas personalizados e aprimore investigações. Isso proporciona mais insights sobre a rede da sua organização e aprimora as funcionalidades de operação de segurança. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
WindowsEvent |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Windows Security Eventos via AMA
Com suporte da:Microsoft Corporation
Você pode transmitir todos os eventos de segurança dos computadores Windows conectados ao workspace Microsoft Sentinel usando o agente Windows. Essa conexão permite que você veja painéis de controle, crie alertas personalizados e aprimore investigações. Isso proporciona mais insights sobre a rede da sua organização e aprimora as funcionalidades de operação de segurança. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityEvent |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
API de Elementos do WithSecure (Função do Azure)
Com suporte por:WithSecure
O WithSecure Elements é a plataforma unificada de segurança cibernética baseada em nuvem projetada para reduzir riscos, complexidade e ineficiência.
Aumente a segurança desde os pontos de extremidade até os aplicativos em nuvem. Proteja-se contra todos os tipos de ameaças cibernéticas, desde ataques direcionados até ransomware de dia zero.
A WithSecure Elements combina funcionalidades avançadas de segurança preditiva, preventiva e responsiva, todas gerenciadas e monitoradas por meio de uma única central de segurança. Nossa estrutura modular e modelos de preços flexíveis dão a você a liberdade de evoluir. Com a nossa experiência e conhecimento, você sempre estará capacitado e nunca estará sozinho.
Com a integração Microsoft Sentinel, você pode correlacionar segundos de segurança dados da solução WithSecure Elements com dados de outras fontes, permitindo uma visão geral avançada de todo o seu ambiente e uma reação mais rápida às ameaças.
Com essa solução Azure a Função é implantada em seu locatário, sondando periodicamente para os eventos de segurança de Elementos do WithSecure.
Para obter mais informações, visite nosso site em: https://www.withsecure.com.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
WsSecurityEvents_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais de cliente da API de Elementos do WithSecure: as credenciais do cliente são necessárias.
Confira a documentação para saber mais.
Wiz (usando Azure Functions)
Com suporte por:Wiz
O conector wiz permite que você envie facilmente os logs de Wiz Issues, Vulnerability Findings e Audit para Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
Não | Não |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
Não | Não |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais da Conta de Serviço wiz: verifique se você tem a ID do cliente da conta de serviço Wiz e o segredo do cliente, a URL do ponto de extremidade de API e a URL de autenticação. As instruções podem ser encontradas na documentação do Wiz.
Atividade do usuário do Workday
Com suporte da:Microsoft Corporation
O conector de dados Workday Atividade do Usuário fornece a capacidade de ingerir logs de atividade do usuário da API Workday em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ASimAuditEventLogs |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Acesso à API de Atividade do Usuário do Workday: o acesso à API de atividade do usuário do Workday por meio do Oauth é necessário. O cliente de API precisa ter o escopo: Sistema e precisa ser autorizado por uma conta com permissões de Auditoria do Sistema.
Workplace do Facebook (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados Workplace fornece a capacidade de ingerir eventos comuns do Workplace em Microsoft Sentinel por meio de Webhooks. Webhooks permitem que aplicativos de integração personalizados assinem eventos no local de trabalho e recebam atualizações em tempo real. Quando ocorre uma alteração no Workplace, uma solicitação de HTTPS POST é enviada com informações de evento para uma URL do conector de dados de chamada. Consulte a documentação do Webhooks para obter mais informações. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Workplace_Facebook_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões de webhooks: WorkplaceAppSecret, WorkplaceVerifyToken, URL de retorno de chamada são necessárias para trabalhar webhooks. Consulte a documentação para saber mais sobre como configurar webhooks, configurar permissões.
Plataforma de Segurança XBOW (por meio do Azure Function)
Com suporte por:XBOW
O conector de dados XBOW ingere instantâneos de ativo, descobertas de vulnerabilidade e atividade de avaliação da Plataforma de Segurança XBOW no Microsoft Sentinel. Uma Função do Azure pesquisa a API XBOW em um temporizador e envia instantâneos JSON de ativo para XbowAssets_CL, descobertas enriquecidas (com evidências, receitas de PoC, impacto e mitigações) em XbowFindings_CLeventos XbowAssessments_CLde ciclo de vida de avaliação, usando a API de Ingestão do Azure Monitor (DCE/DCR).
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
XbowAssets_CL |
Não | Não |
XbowFindings_CL |
Não | Não |
XbowAssessments_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Token de API XBOW: um Token de Acesso Pessoal XBOW é necessário. Gere um no console XBOW emConfigurações de Tokens > de Acesso Pessoal. Escopo do token para a organização que você deseja monitorar.
- ID da organização XBOW: A ID da organização de sua conta XBOW. Localize-o na URL do console XBOW ou por meio da API.
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
- Pré-requisitos personalizados, se necessário, caso contrário, exclua essa marca alfandegária: Descrição para quaisquer pré-requisitos personalizados
-
Registro de Aplicativo do Azure AD: é necessário um Registro de Aplicativo do Azure AD (entidade de serviço). Você deve atribuir manualmente a função Editor de Métricas de Monitoramento na DCR (Regra de Coleta de Dados) a esse Registro de Aplicativo após a implantação.
Segmento De Redes Zero (Push)
Com suporte por:Zero Networks
O conector de push segmento de redes zero permite que zero redes enviem auditorias, atividades de rede, atividades de identidade e atividades RPC diretamente para o Microsoft Sentinel em tempo real. Implantar o conector para criar uma DCR (Regra de Coleta de Dados) e um aplicativo do Microsoft Entra; em seguida, configure seu aplicativo de Redes Zero com os detalhes da conexão para enviar eventos por push.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ZNAudit_CL |
Não | Não |
ZNNetworkActivity_CL |
Não | Não |
ZNIdentityActivity_CL |
Não | Não |
ZNRPCActivity_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- Microsoft Entra: permissão para criar um registro de aplicativo no Microsoft Entra ID. Normalmente, requer a função de Desenvolvedor de Aplicativos do Entra ID ou superior.
-
Microsoft Azure: permissão para atribuir a função editor de métricas de monitoramento na regra de coleta de dados (DCR). Normalmente, requer Azure função de Administrador de Acesso do Usuário ou proprietário do RBAC.
Auditoria de segmento de redes zero
Com suporte por:Zero Networks
O Zero Networks Segment Audit data connector fornece a capacidade de ingerir eventos de Auditoria de Redes Zero em Microsoft Sentinel por meio da API REST. Esse conector de dados usa Microsoft Sentinel capacidade de sondagem nativa.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Token de API de Redes Zero: ZeroNetworksAPIToken é necessário para a API REST. Consulte o Guia da API e siga as instruções para obter credenciais.
ZeroFox CTI
Com suporte por:ZeroFox
Os conectores de dados CTI do ZeroFox fornecem a capacidade de ingerir os diferentes alertas de inteligência contra ameaças cibernéticas ZeroFox em Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
Não | Não |
ZeroFox_CTI_botnet_CL |
Não | Não |
ZeroFox_CTI_breaches_CL |
Não | Não |
ZeroFox_CTI_C2_CL |
Não | Não |
ZeroFox_CTI_compromised_credentials_CL |
Não | Não |
ZeroFox_CTI_credit_cards_CL |
Não | Não |
ZeroFox_CTI_dark_web_CL |
Não | Não |
ZeroFox_CTI_discord_CL |
Não | Não |
ZeroFox_CTI_disruption_CL |
Não | Não |
ZeroFox_CTI_email_addresses_CL |
Não | Não |
ZeroFox_CTI_exploits_CL |
Não | Não |
ZeroFox_CTI_irc_CL |
Não | Não |
ZeroFox_CTI_malware_CL |
Não | Não |
ZeroFox_CTI_national_ids_CL |
Não | Não |
ZeroFox_CTI_phishing_CL |
Não | Não |
ZeroFox_CTI_phone_numbers_CL |
Não | Não |
ZeroFox_CTI_ransomware_CL |
Não | Não |
ZeroFox_CTI_telegram_CL |
Não | Não |
ZeroFox_CTI_threat_actors_CL |
Não | Não |
ZeroFox_CTI_vulnerabilities_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API ZeroFox: Nome de usuário zeroFox, Token de Acesso Pessoal ZeroFox são necessários para a API REST do CTI do ZeroFox.
ZeroFox Enterprise – Alertas (CCF de sondagem)
Com suporte por:ZeroFox
Coleta alertas da API ZeroFox.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ZeroFoxAlertPoller_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
Defesa contra ameaças móveis do Zimperium
Com suporte por:Zimperium
O conector de Defesa contra Ameaças Móveis do Zimperium oferece a capacidade de conectar o log de ameaças do Zimperium com Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar a investigação. Isso proporciona mais insights sobre o panorama de ameaças móveis da sua organização e aprimora suas funcionalidades de operação de segurança.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ZimperiumThreatLog_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Zoom Reports (usando Azure Functions)
Com suporte da:Microsoft Corporation
O conector de dados Zoom Reports fornece a capacidade de ingerir eventos Zoom Reports em Microsoft Sentinel por meio da API REST. Consulte a documentação de API para obter mais informações. O conector permite que a recuperação de eventos avalie possíveis riscos de segurança, monitore a colaboração e diagnostice e solucione problemas de configuração.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Zoom_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API REST: AccountID, ClientID e ClientSecret são necessários para a API do Zoom. Para obter mais informações, consulte a API do Zoom.
Siga as instruções para configurações da API de Zoom.
Conector de Relatórios de Zoom (por meio da Estrutura do Conector Sem Código)
Com suporte da:Microsoft Corporation
O conector de dados do Zoom Reports permite ingerir dados do Zoom Reports no Microsoft Sentinel por meio da API REST do Zoom v2, permitindo que você monitore e audite o uso do Zoom em toda a sua organização. Esse conector usa credenciais de conta OAuth de servidor para servidor para autenticação e dá suporte à ingestão de vários tipos de relatório, incluindo Relatórios de Uso Diário para estatísticas de reunião e métricas de uso, Relatórios de Usuário para informações de host de usuário ativo/inativo, Relatórios de Telefonia para estatísticas de uso de telefonia, Relatórios de Uso de Gravação de Nuvem para armazenamento em nuvem e uso de gravação, Logs de Operações para operações administrativas e trilha de auditoria, e Logs de Atividades para atividades de entrada/saída do usuário. Cada tipo de relatório é coletado em uma configuração de sondagem separada com suporte automático de paginação usando NextPageToken. O conector de dados é criado no Microsoft Sentinel Codeless Connector Framework e dá suporte a transformações de tempo de ingestão baseadas em DCR para desempenho de consulta otimizado.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
ZoomV2_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
-
Acesso à API de zoom: acesso à API REST do Zoom v2 com credenciais de conta
Conectores de dados do Sentinel preteridos
Note
A tabela a seguir lista os conectores de dados preteridos e herdados. Conectores preteridos não têm mais suporte.
[Preterido] GitHub Enterprise Audit Log
Com suporte da:Microsoft Corporation
O conector de log de auditoria GitHub fornece a capacidade de ingerir GitHub logs em Microsoft Sentinel. Ao conectar GitHub logs de auditoria em Microsoft Sentinel, você pode exibir esses dados em pastas de trabalho, usá-los para criar alertas personalizados e melhorar o processo de investigação.
Note: Se você pretendia ingerir GitHub eventos inscritos em Microsoft Sentinel, consulte GitHub (usando Webhooks) Conector da galeria "Data Connectors".
OBSERVAÇÃO: Esse conector de dados foi preterido, considere mover para o conector de dados CCF disponível na solução que substitui a ingestão por meio da API do Coletor de Dados HTTP preterida.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
GitHubAuditLogPolling_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- GitHub token de acesso pessoal da API: você precisa de um token de acesso pessoal GitHub para habilitar a sondagem para o log de auditoria da organização. Você pode usar um token clássico com escopo 'read:org' OU um token refinado com escopo 'Administração: somente leitura'.
-
GitHub tipo Enterprise: esse conector funcionará apenas com GitHub Enterprise Cloud; ele não oferecerá suporte GitHub Enterprise Server.
[Preterido] Infoblox SOC Insight Data Connector via Legacy Agent
Com suporte por:Infoblox
O Conector de Dados do Infoblox SOC Insight permite que você conecte facilmente seus dados do Infoblox BloxOne SOC Insight com Microsoft Sentinel. Ao conectar seus logs a Microsoft Sentinel, você pode aproveitar a pesquisa e a correlação, alertas e enriquecimento de inteligência contra ameaças para cada log.
Esse conector de dados ingere logs cdc do Infoblox SOC Insight em seu workspace Log Analytics usando o agente de Log Analytics herdado.
A Microsoft recomenda a instalação do Infoblox SOC Insight Data Connector via AMA Connector. O conector herdado usa o agente Log Analytics que está prestes a ser preterido por Aug 31, 2024, e só deve ser instalado onde não há suporte para AMA.
Usar MMA e AMA no mesmo computador pode causar duplicação de log e custo extra de ingestão. Mais detalhes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
CommonSecurityLog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
[Preterido] Sentinela
Com suporte por:Lookout
O conector de dados Lookout fornece a capacidade de ingerir eventos Lookout em Microsoft Sentinel por meio da API de Risco Móvel. Consulte a documentação de API para obter mais informações. O conector de dados lookout fornece a capacidade de obter eventos que ajudam a examinar possíveis riscos de segurança e muito mais.
OBSERVAÇÃO: Esse conector de dados foi preterido, considere mover para o conector de dados CCF disponível na solução que substitui a ingestão por meio da API do Coletor de Dados HTTP preterida.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Lookout_CL |
Não | Não |
Suporte à regra de coleta de dados: Não há suporte no momento
Pré-requisitos:
- permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação para Azure Functions criar um Aplicativo de Funções. Para obter mais informações, consulte Azure Functions.
-
Credenciais/permissões da API de Risco Móvel: EnterpriseName & ApiKey são necessários para a API de Risco Móvel. Para obter mais informações, consulte a API. Verifique todos os requisitos e siga as instruções para obter as credenciais.
[Preterido] Microsoft Exchange Logs e Eventos
Com suporte por:Community
Preterido, use os dataconnectors 'ESI-Opt'. Você pode transmitir todos os eventos de Auditoria do Exchange, logs do IIS, logs de Proxy HTTP e logs de eventos de segurança dos computadores Windows conectados ao workspace Microsoft Sentinel usando o agente Windows. Essa conexão permite que você veja painéis de controle, crie alertas personalizados e aprimore investigações. Isso é usado por Microsoft Exchange pastas de trabalho de segurança para fornecer insights de segurança do seu ambiente do Exchange local
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Event |
Yes | Não |
SecurityEvent |
Yes | Yes |
W3CIISLog |
Yes | Não |
MessageTrackingLog_CL |
Yes | Yes |
ExchangeHttpProxy_CL |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Pré-requisitos:
- Azure Log Analytics será preterido, para coletar dados de VMs não Azure, é recomendável Azure Arc. Saiba mais
-
Documentação detalhada: >OBSERVAÇÃO: documentação detalhada sobre o procedimento de instalação e o uso pode ser encontrada aqui
Eventos de segurança por meio do Agente Herdado
Com suporte da:Microsoft Corporation
Você pode transmitir todos os eventos de segurança dos computadores Windows conectados ao workspace Microsoft Sentinel usando o agente Windows. Essa conexão permite que você veja painéis de controle, crie alertas personalizados e aprimore investigações. Isso proporciona mais insights sobre a rede da sua organização e aprimora as funcionalidades de operação de segurança. Para obter mais informações, consulte a documentação Microsoft Sentinel.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityEvent |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Microsoft Defender para Nuvem baseado em assinatura (Herdado)
Com suporte da:Microsoft Corporation
Microsoft Defender for Cloud é uma ferramenta de gerenciamento de segurança que permite detectar e responder rapidamente a ameaças em cargas de trabalho Azure, híbridas e de várias nuvens. Esse conector permite transmitir alertas de segurança de Microsoft Defender for Cloud para Microsoft Sentinel, para que você possa exibir dados do Defender em pastas de trabalho, consultá-los para produzir alertas e investigar e responder a incidentes.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
SecurityAlert |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Syslog via Agente Herdado
Com suporte da:Microsoft Corporation
O Syslog é um protocolo de registro de eventos em log que é comum para o Linux. Os aplicativos enviarão mensagens que podem ser armazenadas no computador local ou entregues a um coletor de Syslog. Quando o Agent para Linux está instalado, ele configura o daemon do Syslog local para encaminhar mensagens para o agente. Em seguida, o agente envia a mensagem para o espaço de trabalho.
Tabelas do Log Analytics:
| Table | Suporte ao DCR | Ingestão somente de lago |
|---|---|---|
Syslog |
Yes | Yes |
Suporte à regra de coleta de dados:DCR de transformação do workspace
Próximas etapas
Para obter mais informações, consulte:
- Microsoft Sentinel catálogo de soluções
- integração de inteligência Threat no Microsoft Sentinel