Oi Anderson Toledo!
Bem-vindo ao Microsoft Q&A!
Para configurar o envio de logs de segurança do SQL Server para o Microsoft Sentinel, você pode seguir os passos abaixo:
Habilitar Auditoria no SQL Server:
No SQL Server Management Studio (SSMS), vá para "Security" > "Audits".
Crie uma nova auditoria e configure-a para registrar eventos de segurança desejados, como alterações de permissões, logins, etc.
Configurar a Auditoria para Gravar Eventos no Log de Aplicações do Windows:
Configure a auditoria para gravar eventos no log de aplicações do Windows. Isso pode ser feito nas propriedades da auditoria, selecionando "Application Log" como destino.
Instalar o Agente de Monitoramento do Azure (MMA):
Baixe e instale o Microsoft Monitoring Agent (MMA) no servidor onde o SQL Server está instalado.
Configure o MMA para se conectar ao seu workspace do Log Analytics no Azure.
Configurar o Conector de Eventos de Segurança no Sentinel:
No portal do Azure, vá para o Microsoft Sentinel e selecione seu workspace.
Adicione um novo conector de dados e selecione "Security Events".
Configure o conector para coletar logs de eventos de segurança do Windows.
Verificar a Ingestão de Logs no Sentinel:
Após configurar o conector, verifique se os logs estão sendo ingeridos corretamente no Microsoft Sentinel.
Você pode usar consultas KQL (Kusto Query Language) para analisar os logs e criar alertas personalizados. Para mais detalhes, você pode consultar a documentação oficial da Microsoft sobre monitoramento do SQL Server com o Azure Sentinel.
Espero que essas dicas ajudem a resolver o problema! Se precisar de mais assistência, estou à disposição.
Saudações
Jonathan.
-----------
Sua opinião é muito importante para nós! Se esta resposta resolveu sua consulta, por favor clique em ‘YES‘. Isso nos ajuda a melhorar continuamente a qualidade e relevância de nossas soluções. Obrigado pela sua colaboração!