Conectar o Microsoft Sentinel a outros serviços da Microsoft por meio de conexões baseadas em configurações de diagnóstico
Este artigo descreve como se conectar ao Microsoft Sentinel por meio de conexões de configurações de diagnóstico. O Microsoft Sentinel usa a base do Azure para dar suporte interno de serviço a serviço à ingestão de dados de muitos serviços do Azure e do Microsoft 365, do Amazon Web Services e de vários serviços do Windows Server. Há alguns métodos diferentes para fazer essas conexões.
Este artigo apresenta informações comuns ao grupo de conectores de dados que usam conexões baseadas em configurações de diagnóstico. Alguns desses tipos de conectores são gerenciados pelo Azure Policy. Para os outros conectores desse tipo, siga as instruções para autônomos.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Conectores autônomos baseados em configurações de diagnóstico
Esta seção aborda os pré-requisitos e as instruções gerais de instalação para o grupo de conectores de dados que usam conexões autônomas baseadas em configurações de diagnóstico.
Pré-requisitos
Para ingerir dados no Microsoft Sentinel:
- Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
Instruções
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.
Escolha o tipo de recurso na galeria de conectores de dados e clique em Abrir página do conector no painel de visualização.
Na seção Configuração da página do conector, selecione o link para abrir a página de configuração do recurso.
Se for apresentada uma lista de recursos do tipo desejado, selecione o link de um recurso com os logs que você quer ingerir.
No menu de navegação do recurso, selecione Configurações de diagnóstico.
Selecione + Adicionar configuração de diagnóstico na parte inferior da lista.
Na tela Configurações de diagnóstico, insira um nome no campo Nome das configurações de diagnóstico.
Marque a caixa de seleção Enviar para o Log Analytics. Dois novos campos serão exibidos abaixo dela. Escolha a Assinatura e o Workspace do Log Analytics relevantes (onde o Microsoft Sentinel reside).
Marque as caixas de seleção dos tipos de logs e métricas que você quer coletar. Confira nossas opções recomendadas para cada tipo de recurso na seção do conector do recurso, na página Referência dos conectores de dados.
Selecione Salvar na parte superior da tela.
Para saber mais, confira, também, Criar configurações de diagnóstico para enviar métricas e logs de plataforma do Azure Monitor para destinos diferentes na documentação do Azure Monitor.
Conexões baseadas em configurações de diagnóstico gerenciadas pelo Azure Policy
Esta seção aborda os pré-requisitos e as instruções gerais de instalação para o grupo de conectores de dados que usam conexões baseadas em configurações de diagnóstico gerenciadas pelo Azure Policy.
Pré-requisitos
Para ingerir dados no Microsoft Sentinel:
Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
Se você quiser usar o Azure Policy para aplicar uma política de streaming de log aos seus recursos, é necessário ter a função de Proprietário no escopo de atribuição de política.
Requisitos específicos para o conector de dados:
Conector de dados Licenciamento, custos e outras informações Atividades do Azure Esse conector agora usa o pipeline de configurações de diagnóstico. Se você usa o método herdado, é necessário desconectar as assinaturas existentes antes de configurar o novo conector do log de atividades do Azure.
1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados. Na lista de conectores, selecione Atividade do Azure e clique no botão Abrir página do conector no canto inferior direito.
2. Na guia Instruções, na seção Configuração, na etapa 1, examine a lista de suas assinaturas existentes conectadas ao método herdado e desconecte todas de uma só vez com um clique no botão Desconectar tudo abaixo.
3. Continue a configuração do novo conector com as instruções nesta seção.Proteção contra DDoS do Azure - Plano de proteção do Azure DDoS Standard configurado.
- Rede virtual configurada com o Azure DDoS Standard habilitado
- Podem ser aplicados outros encargos
- O Status do conector de dados da Proteção contra DDoS do Azure muda para Conectado apenas quando os recursos protegidos estão sob ataque de negação de serviço distribuído.Conta de Armazenamento do Azure O recurso de conta de armazenamento (pai) tem dentro dele outros recursos (filho) para cada tipo de armazenamento: arquivos, tabelas, filas e blobs.
Durante a configuração do diagnóstico para uma conta de armazenamento, selecione e configure:
- O recurso da conta pai, com exportação da métrica Transação.
- Cada um dos recursos do tipo de armazenamento filho, com exportação de todos os logs e métricas.
Você verá apenas os tipos de armazenamento para os quais realmente definiu recursos.
Instruções
Os conectores desse tipo usam o Azure Policy para aplicar uma única configuração de definições de diagnóstico a uma coleção de recursos de um único tipo, definido como um escopo. Você pode ver os tipos de log ingeridos de um determinado tipo de recurso do lado esquerdo da página do conector desse recurso, em Tipos de dados.
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.
Escolha o tipo de recurso na galeria de conectores de dados e clique em Abrir página do conector no painel de visualização.
Na seção Configuração da página do conector, expanda todos os expansores que encontrar e clique no botão Iniciar o assistente de atribuição do Azure Policy.
O assistente de atribuição de política é aberto, pronto para criar uma nova política e com um nome de política preenchido previamente.
Na guia Básico, clique no botão de três pontos em Escopo para selecionar sua assinatura (e, opcionalmente, um grupo de recursos). Também é possível adicionar uma descrição.
Na guia Parâmetros :
- Desmarque a caixa de seleção Mostrar apenas parâmetros que requerem entrada.
- Se você vir os campos Efeito e Nome da configuração, não faça alterações.
- Escolha seu workspace do Microsoft Sentinel na lista suspensa doworkspace do Log Analytics.
- Os campos suspensos restantes representam os tipos de log de diagnóstico disponíveis. Deixe marcado como “Verdadeiro” todos os tipos de log que você deseja ingerir.
A política será aplicada aos recursos adicionados no futuro. Para aplicar a política em seus recursos existentes também, selecione a guia Correção e marque a caixa de seleção Criar uma tarefa de correção.
Na guia Revisar + criar, clique em Criar. Agora, sua política foi atribuída ao escopo escolhido.
Com o tipo de conector de dados, os indicadores de status de conectividade (uma faixa colorida na galeria de conectores de dados e ícones de conexão ao lado dos nomes dos tipos de dados) serão exibidos como conectados (verde) apenas se os dados tiverem sido ingeridos em algum ponto nos últimos 14 dias. Depois de 14 dias sem ingestão de dados, o conector será exibido como desconectado. No momento em que mais dados surgirem, o status conectado retornará.
Você pode localizar e consultar os dados de cada tipo de recurso usando os nomes das tabelas que aparecem na seção do conector do recurso na página Referência de conectores de dados. Para saber mais, confira Criar configurações de diagnóstico para enviar métricas e logs de plataforma do Azure Monitor para destinos diferentes na documentação do Azure Monitor.
Próximas etapas
Para obter mais informações, consulte: