Encontrar seu conector de dados do Microsoft Sentinel

Este artigo descreve como implantar conectores de dados no MIcrosoft Sentinel, listando todos os conectores de dados compatíveis prontos para uso, além de links para procedimentos genéricos de implantação e etapas adicionais necessárias para conectores específicos.

Alguns conectores de dados são implantados somente por meio de soluções. Para obter mais informações, confira Descobrir e implantar soluções e conteúdo pronto para uso do Microsoft Sentinel. Você também pode encontrar outros conectores de dados integrados à comunidade no repositório Microsoft Sentinel GitHub.

Como usar este guia

1. Primeiro, localize e selecione o conector do seu produto, serviço ou dispositivo no menu de títulos à direita.

   A primeira informação que você verá para cada conector é seu método de ingestão de dados. O método que aparece terá um link para um dos procedimentos de implantação genérica a seguir, os quais contêm a maioria das informações necessárias para conectar suas fontes de dados ao Microsoft Sentinel:

   Método de ingestão de dados	Artigo vinculado com instruções
   Integração de serviço a serviço do Azure	Conectar aos serviços do Azure, Windows, Microsoft e Amazon
   CEF (Formato Comum de Evento) via Syslog	Obter logs formatados por CEF do seu dispositivo ou aparelho no Microsoft Sentinel
   API do coletor de dados do Microsoft Sentinel	Conectar sua fonte de dados à API do Coletor de Dados do Microsoft Sentinel para ingerir dados
   Azure Functions e a API REST	Usar o Azure Functions para conectar o Microsoft Azure Sentinel à fonte de dados
   Syslog	Coletar os dados das fontes baseadas no Linux usando o Syslog
   Logs personalizados	Coletar dados em formatos de log personalizados no Microsoft Sentinel usando o agente do Log Analytics

   Observação

   O método de ingestão de dados de integração de serviço a serviço do Azure vincula-se a três seções diferentes de seu artigo, dependendo do tipo de conector. Cada seção de conector abaixo especifica a seção dentro desse artigo à qual ele se vincula.

2. Ao implantar um conector específico, escolha o artigo apropriado vinculado ao seu método de ingestão de dados e use as informações e as diretrizes adicionais na seção relevante abaixo para complementar as informações deste artigo.

Dica

• Muitos conectores de dados também podem ser implantados como parte de uma solução do Microsoft Sentinel, junto com regras de análise, pastas de trabalho e guias estratégicos relacionados. Para obter mais informações, confira o catálogo de soluções do Microsoft Sentinel.

• Há mais conectores de dados sendo fornecidos pela comunidade do Microsoft Sentinel, os quais podem ser encontrados no Azure Marketplace. A documentação de conectores de dados da comunidade é responsabilidade da organização que criou o conector.

• Caso tenha uma fonte de dados que não esteja listada ou que não tenha suporte no momento, você também poderá criar seu próprio conector personalizado. Para obter mais informações, confira Recursos para criar conectores personalizados do Microsoft Sentinel.

Importante

Os conectores de dados do Microsoft Sentinel mencionados estão atualmente em Versão prévia. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos do conector de dados

Cada conector de dados terá seu próprio conjunto de pré-requisitos, como permissões necessárias em seu workspace, assinatura ou política do Azure e assim por diante, ou outros requisitos para a fonte de dados do parceiro à qual você está se conectando.

Os pré-requisitos para cada conector de dados são listados na página do conector de dados relevante no Microsoft Sentinel, na guia Instruções.

Agari Phishing Defense e Brand Protection (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Antes da implantação: Habilitar a API do Graph de segurança (opcional). Após a implantação: Atribuir as permissões necessárias ao aplicativo de funções
Tabela(s) do Log Analytics	agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-agari-functionapp
Credenciais da API	ID do Cliente Segredo do cliente (Opcional: ID de locatário do Graph, ID do cliente do Graph, Segredo do cliente do Graph)
Documentação do fornecedor/ Instruções de instalação	Início Rápido Site de desenvolvedores do Agari
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Configurações de aplicativo	clientID clientSecret workspaceID workspaceKey enableBrandProtectionAPI (true/false) enablePhishingResponseAPI (true/false) enablePhishingDefenseAPI (true/false) resGroup (inserir Grupo de recursos) functionName subId (inserir a ID da assinatura) enableSecurityGraphSharing (true/false; veja abaixo) Obrigatório se enableSecurityGraphSharing estiver definido como true (veja abaixo): GraphTenantId GraphClientId GraphClientSecret logAnalyticsUri (opcional)
Com suporte por	Agari

Habilitar a API do Graph de segurança (opcional)

Importante

Caso vá executar essa etapa, faça isso antes de implantar o conector de dados.

O Aplicativo de funções Agari permite que você compartilhe inteligência contra ameaças com o Microsoft Sentinel por meio do API do Graph de segurança. Para usar esse recurso, você precisará habilitar o conector do Sentinel Threat Intelligence Platforms e também registrar um aplicativo no Azure Active Directory.

Esse processo dará a você três informações de uso ao implantar o Aplicativo de Funções: a ID do locatário do Graph, a ID do cliente do Graph e o segredo do cliente do Graph (confira as Configurações de aplicativo na tabela acima).

Atribuir as permissões necessárias ao Aplicativo de funções

O conector do Agari usa uma variável de ambiente para armazenar os tempos de acesso ao log. Para que o aplicativo escreva nessa variável, as permissões devem ser atribuídas à identidade atribuída pelo sistema.

1. Navegar até o Aplicativo de Funções no portal do Azure
2. Na página Aplicativo de Funções, selecione seu Aplicativo de Funções na lista e, em seguida, selecione Identidade em Configurações no menu de navegação do Aplicativo de Funções.
3. Na guia Sistema atribuído, alterne o Status para Ativado.
4. Selecione Salvare um botão Atribuições de função do Azure será exibido. Selecione-a.
5. Na tela Atribuições de função do Azure, selecione Adicionar atribuição de função. Defina Escopo como Assinatura, selecione sua assinatura na lista suspensa Assinatura e defina Função como Proprietário dos dados de configuração do aplicativo.
6. Clique em Salvar.

AIA (Analista de IA) por Darktrace (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog Configurar o encaminhamento de log do CEF para o Analista de IA
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Darktrace

Configurar o encaminhamento de log do CEF para o Analista de IA

Configure o Darktrace para encaminhar mensagens de Syslog no formato CEF para seu workspace do Azure por meio do agente do Log Analytics.

1. No Darktrace Threat Visualizer, navegue até a página Configurações do sistema no menu principal em Administrador.
2. No menu à esquerda, selecione Módulos e escolha Microsoft Sentinel entre as Integrações de fluxo de trabalho disponíveis.
3. Uma janela de configuração será aberta. Localize o CEF do Syslog do Microsoft Sentinel e selecione Novo para revelar as definições de configuração, a menos que já estejam expostas.
4. No campo Configurações do servidor, insira a localização do encaminhador de log e, como opção, modifique a porta de comunicação. Verifique se a porta selecionada está definida como 514 e se ela é permitida por qualquer firewall intermediário.
5. Configure os limites de alerta, fusos horários ou configurações adicionais, conforme necessário.
6. Verifique as opções de configuração adicionais que você queira habilitar para alterar a sintaxe do Syslog.
7. Habilite a opção Enviar alertas e salve as alterações.

Detecção de IA da Vectra (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog Configurar o encaminhamento de log do CEF para a Detecção de IA da Vectra
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Com suporte por	IA da Vectra

Configurar o encaminhamento de log do CEF para a Detecção de IA da Vectra

Configure o agente do Vectra (Série X) para encaminhar mensagens de Syslog no formato CEF para seu workspace do Microsoft Sentinel por meio do agente do Log Analytics.

Na interface do Vectra, acesse Settings > Notifications e escolha a configuração Edit Syslog. Siga as instruções abaixo para concluir a conexão:

• Adicionar um destino (o nome do host do encaminhador de log)
• Definir a porta como 514
• Definir o protocolo como UDP
• Definir o formato como CEF
• Definir tipos de log (selecione todos os tipos de log disponíveis)
• Selecione Salvar

Você pode selecionar o botão Testar para forçar o envio de alguns eventos de teste ao encaminhador de log.

Para obter mais informações, confira o Guia de Syslog do Cognito Detect, que pode ser baixado na página de recursos na interface do usuário do Detect.

Eventos de segurança da Akamai (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	AkamaiSIEMEvent
URL de função do Kusto:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt
Documentação do fornecedor/ Instruções de instalação	Configurar integração do SIEM (Gerenciamento de informações e eventos de segurança) Configurar um conector do CEF.
Com suporte por	Akamai

Alcide kAudit

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	alcide_kaudit_activity_1_CL: logs de atividades do Alcide kAudit alcide_kaudit_detections_1_CL: detecções do Alcide kAudit alcide_kaudit_selections_count_1_CL: contagens de atividades do Alcide kAudit alcide_kaudit_selections_details_1_CL: detalhes da atividade do Alcide kAudit
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Guia de instalação do Alcide kAudit
Com suporte por	Alcide

Alsid para Active Directory

Atributo do conector	Description
Método de ingestão de dados	Agente do Log Analytics – logs personalizados Configuração extra para Alsid
Tabela(s) do Log Analytics	AlsidForADLog_CL
Suporte a DCR	Sem suporte no momento
Alias de função do Kusto:	afad_parser
URL de função do Kusto:	https://aka.ms/Sentinel-alsidforad-parser
Com suporte por	Alsid

Configuração extra para Alsid

1. Configurar o servidor Syslog

   Primeiro, você precisará de um servidor Syslog do Linux para o qual o Alsid para AD enviará os logs. Geralmente, você pode executar o rsyslog no Ubuntu.

   Depois, você pode configurar esse servidor como desejar, mas é recomendável que seja possível gerar logs do AFAD em um arquivo separado. Como alternativa, você pode usar um modelo de início rápido para implantar o servidor Syslog e o agente Microsoft para você. Se você usar o modelo, poderá ignorar as instruções de instalação do agente.

2. Configurar o Alsid para enviar logs ao servidor Syslog

   No portal Alsid para AD, vá paraSistema,Configuração e, em seguida, Syslog. Neste ponto, você pode criar um novo alerta de Syslog para o servidor Syslog.

   Depois de criar um novo alerta de Syslog, verifique se os logs foram reunidos corretamente no servidor em um arquivo separado. Por exemplo, para verificar os logs, você pode usar o botão Testar a configuração na configuração de alerta de Syslog no AFAD. Caso tenha usado o modelo de início rápido, por padrão, o servidor Syslog escutará a porta 514 em UDP e 1514 no TCP, sem TLS.

Amazon Web Services

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conectar o Microsoft Azure Sentinel com o Amazon Web Services para ingerir dados de log de serviço do AWS (Artigo do conector superior)
Tabela(s) do Log Analytics	AWSCloudTrail
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Amazon Web Services S3 (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conectar o Microsoft Azure Sentinel com o Amazon Web Services para ingerir dados de log de serviço do AWS (Artigo do conector superior)
Tabela(s) do Log Analytics	AWSCloudTrail AWSGuardDuty AWSVPCFlow
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Apache HTTP Server

Atributo do conector	Description
Método de ingestão de dados	Agente do Log Analytics – logs personalizados
Tabela(s) do Log Analytics	ApacheHTTPServer_CL
Suporte a DCR	Sem suporte no momento
Alias de função do Kusto:	ApacheHTTPServer
URL de função do Kusto:	https://aka.ms/Sentinel-apachehttpserver-parser
Arquivo de exemplo de log personalizado:	access.log ou error.log

Apache Tomcat

Atributo do conector	Description
Método de ingestão de dados	Agente do Log Analytics – logs personalizados
Tabela(s) do Log Analytics	Tomcat_CL
Suporte a DCR	Sem suporte no momento
Alias de função do Kusto:	TomcatEvent
URL de função do Kusto:	https://aka.ms/Sentinel-ApacheTomcat-parser
Arquivo de exemplo de log personalizado:	access.log ou error.log

Aruba ClearPass (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	ArubaClearPass
URL de função do Kusto:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt
Documentação do fornecedor/ Instruções de instalação	Siga as instruções do Aruba para configurar o ClearPass.
Com suporte por	Microsoft

Atlassian Confluence Audit (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST
Tabela(s) do Log Analytics	Confluence_Audit_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-confluenceauditapi-functionapp
Credenciais da API	ConfluenceAccessToken ConfluenceUsername ConfluenceHomeSiteName
Documentação do fornecedor/ Instruções de instalação	Documentação da API Requisitos e instruções para obter credenciais Exibir o log de auditoria
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	ConfluenceAudit
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-confluenceauditapi-parser
Configurações de aplicativo	ConfluenceUsername ConfluenceAccessToken ConfluenceHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Atlassian JIRA Audit (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST
Tabela(s) do Log Analytics	Jira_Audit_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-jiraauditapi-functionapp
Credenciais da API	JiraAccessToken JiraUsername JiraHomeSiteName
Documentação do fornecedor/ Instruções de instalação	Documentação da API – registros de auditoria Requisitos e instruções para obter credenciais
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	JiraAudit
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-jiraauditapi-parser
Configurações de aplicativo	JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Azure Active Directory

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conectar dados do Azure Active Directory ao Microsoft Sentinel (Artigo do conector superior)
Pré-requisitos de licença/ Informações de custo	Licença P1 ou P2 do Azure Active Directory logs de entrada Qualquer licença do Azure AD (Gratuita/O365/P1/P2) para outros tipos de log Podem ser aplicados outros encargos
Tabela(s) do Log Analytics	SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Azure Active Directory Identity Protection

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API
Pré-requisitos de licença/ Informações de custo	Assinatura Azure AD Premium P2 Podem ser aplicados outros encargos
Tabela(s) do Log Analytics	SecurityAlert
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Atividades do Azure

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy Atualizar para o novo conector de atividade do Azure
Tabela(s) do Log Analytics	AzureActivity
Suporte a DCR	Sem suporte no momento
Com suporte por	Microsoft

Atualizar para o novo conector de atividade do Azure

Alterações da estrutura dos dados

Esse conector alterou seu mecanismo de back-end recentemente para coletar eventos do log de atividades. Agora ele está usando o pipeline de configurações de diagnóstico. Se você ainda estiver usando o método herdado para esse conector, é altamente recomendável atualizar para a nova versão, que fornece funcionalidade melhor e maior consistência com os logs de recursos. Confira as instruções abaixo.

O método de configurações de diagnóstico envia os mesmos dados que o método herdado enviou do serviço de log de atividades, embora tenha havido algumas alterações na estrutura da tabela AzureActivity.

Eis algumas das principais melhorias resultantes da mudança para o pipeline de configurações de diagnóstico:

• Latência de ingestão aprimorada (ingestão de eventos dentro de 2-3 minutos de ocorrência em vez de 15-20 minutos).
• Melhor confiabilidade.
• Melhor desempenho.
• Suporte para todas as categorias de eventos registrados pelo serviço do log de atividades (o mecanismo herdado dá suporte apenas a um subconjunto, por exemplo, não há suporte para eventos de Integridade do Serviço).
• Gerenciamento em escala com o Azure Policy.

Confira a Documentação do Azure Monitor para obter um tratamento mais aprofundado do Log de atividades do Azure e o pipeline de configurações de diagnóstico.

Desconectar do pipeline antigo

Antes de configurar o novo conector do Log de atividades do Azure, você deve desconectar as assinaturas existentes do método herdado.

1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados. Na lista de conectores, selecione Atividade do Azure e clique no botão Abrir página do conector no canto inferior direito.

2. Na guia Instruções, na seção Configuração, na etapa 1, examine a lista de suas assinaturas existentes que estão conectadas ao método herdado (para que você saiba quais adicionar ao novo) e desconecte-as de uma só vez clicando no botão Desconectar tudo abaixo.

3. Continue configurando o novo conector com as instruções vinculadas na tabela acima.

Proteção contra DDoS do Azure

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico
Pré-requisitos de licença/ Informações de custo	Você precisa ter um Plano da Proteção contra DDoS do Azure Standard. Você precisa ter uma rede virtual configurada com a Proteção contra DDoS do Azure Standard habilitada Podem ser aplicados outros encargos
Tabela(s) do Log Analytics	AzureDiagnostics
Suporte a DCR	Sem suporte no momento
Diagnóstico recomendado	DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports
Com suporte por	Microsoft

Observação

O Status do Conector de Dados da Proteção contra DDoS do Azure muda para Conectado somente quando os recursos protegidos estão sob um ataque de DDoS.

Azure Defender

Consulte Microsoft Defender para Nuvem.

Firewall do Azure

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico
Tabela(s) do Log Analytics	AzureDiagnostics
Suporte a DCR	Sem suporte no momento
Diagnóstico recomendado	AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy
Com suporte por	Microsoft

Azure Information Protection (Visualização)

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure
Tabela(s) do Log Analytics	InformationProtectionLogs_CL
Suporte a DCR	Sem suporte no momento
Com suporte por	Microsoft

Observação

O conector de Proteção de Informações do Azure (AIP) usa o recurso logs de auditoria da AIP (versão prévia pública). A partir de 18 de março de 2022, estamos ressalvando a visualização pública dos logs de auditoria e análise da AIP, e avançaremos usando a solução de Microsoft 365 auditoria. A baixa completa está agendada para 30 de setembro de 2022.

Para obter mais informações, confira Remover e desativar serviços.

Cofre de Chave do Azure

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy
Tabela(s) do Log Analytics	KeyVaultData
Suporte a DCR	Sem suporte no momento
Com suporte por	Microsoft

AKS (Serviço de Kubernetes do Azure)

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy
Tabela(s) do Log Analytics	kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler cluster-autoscaler guard
Suporte a DCR	Sem suporte no momento
Com suporte por	Microsoft

Microsoft Purview

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico Para obter mais informações, consulte Tutorial: Integrar o Microsoft Sentinel e o Microsoft Purview.
Tabela(s) do Log Analytics	PurviewDataSensitivityLogs
Suporte a DCR	Sem suporte no momento
Com suporte por	Microsoft

Bancos de Dados SQL do Azure

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy Também disponível no SQL do Azure e Microsoft Sentinel para soluções SQL PaaS
Tabela(s) do Log Analytics	SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics Errors DatabaseWaitStatistics Tempos limite Blocos Deadlocks Basic InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit
Suporte a DCR	Sem suporte no momento
Com suporte por	Microsoft

Conta de Armazenamento do Azure

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico Observações sobre a definição de configurações de diagnóstico da conta de armazenamento
Tabela(s) do Log Analytics	StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs
Diagnóstico recomendado	Recurso da conta Transação Recursos de blob/fila/tabela/arquivo StorageRead StorageWrite StorageDelete Transação
Suporte a DCR	Sem suporte no momento
Com suporte por	Microsoft

Observações sobre a definição de configurações de diagnóstico da conta de armazenamento

O recurso de conta de armazenamento (pai) tem, dentro dele, outros recursos (filho) para cada tipo de armazenamento: arquivos, tabelas, filas e blobs.

Ao configurar o diagnóstico para uma conta de armazenamento, você deve selecionar e configurar:

• O recurso da conta pai, exportando a métrica Transação.
• Cada um dos recursos do tipo de armazenamento filho, exportando todos os logs e métricas (confira a tabela acima).

Você verá apenas os tipos de armazenamento para os quais realmente definiu recursos.

WAF (Firewall do Aplicativo Web) do Azure

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico
Tabela(s) do Log Analytics	AzureDiagnostics
Suporte a DCR	Sem suporte no momento
Diagnóstico recomendado	Gateway de Aplicativo ApplicationGatewayAccessLog ApplicationGatewayFirewallLog Front Door FrontdoorAccessLog FrontdoorWebApplicationFirewallLog Política do WAF da CDN WebApplicationFirewallLogs
Com suporte por	Microsoft

Firewall do Barracuda CloudGen

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	CGFWFirewallActivity
URL de função do Kusto:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity
Documentação do fornecedor/ Instruções de instalação	https://aka.ms/Sentinel-barracudacloudfirewall-connector
Com suporte por	Barracuda

WAF do Barracuda

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	CommonSecurityLog (Barracuda) Barracuda_CL
Documentação do fornecedor/ Instruções de instalação	https://aka.ms/asi-barracuda-connector
Com suporte por	Barracuda

Consulte as instruções do Barracuda - observe as instalações atribuídas para os diferentes tipos de logs e certifique-se de adicioná-las à configuração padrão do Syslog.

BETTER Mobile Threat Defense (MTD) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Documentação do BETTER MTD Configuração da Política de Ameaças, a qual define os incidentes relatados ao Microsoft Sentinel: No Console Better MTD, selecione Políticas na barra lateral. Selecione o botão Editar da Política que você está usando. Para cada tipo de Incidente que você deseja registrar, vá para o campo Enviar para integrações e selecione Sentinel.
Com suporte por	Better Mobile

Beyond Security beSECURE

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Acesse o menu Integração: Selecione a opção de menu Mais. Selecione o Servidor Selecione a Integração Habilitar Microsoft Sentinel Cole os valores da ID do workspace e Chave primária na configuração do beSECURE. Selecione Modificar.
Com suporte por	Beyond Security

BlackBerry CylancePROTECT (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	CylancePROTECT
URL de função do Kusto:	https://aka.ms/Sentinel-cylanceprotect-parser
Documentação do fornecedor/ Instruções de instalação	Guia do Syslog do Cylance
Com suporte por	Microsoft

Broadcom Symantec Data Loss Prevention (DLP) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	SymantecDLP
URL de função do Kusto:	https://aka.ms/Sentinel-symantecdlp-parser
Documentação do fornecedor/ Instruções de instalação	Configurando o log para uma ação do Servidor Syslog
Com suporte por	Microsoft

CEF (Formato Comum de Evento) via AMA

Atributo do conector	Description
Método de ingestão de dados	Conexão baseada em Agente do monitor do Azure
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR Standard
Com suporte por	Microsoft

Ponto de Verificação

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog Disponível na solução Check Point
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Exportador de log – exportar o log do Check Point
Com suporte por	Check Point

Cisco ASA

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog Disponível na solução Cisco ASA
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Guia de Configuração da CLI da Cisco ASA Series
Com suporte por	Microsoft

Cisco Firepower eStreamer (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog Configuração extra para Cisco Firepower eStreamer
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Guia de operações do eStreamer eNcore para Sentinel
Com suporte por	Cisco

Configuração extra para Cisco Firepower eStreamer

1. Instalar o cliente Firepower eNcore
   Instale e configure o cliente Firepower eNcore eStreamer. Para obter mais informações, consulte o guia de instalação completo da Cisco.

2. Baixar o Conector Firepower do GitHub
   Baixe a versão mais recente do conector Firepower eNcore para Microsoft Sentinel do Repositório GitHub da Cisco. Caso planeje usar o python3, use o conector python3 eStreamer.

3. Criar um arquivo pkcs12 usando o Endereço IP do Azure/VM
   Crie um certificado pkcs12 usando o IP público da instância de VM no Firepower, em Sistema > Integração > eStreamer. Para obter mais informações, confira o guia de instalação.

4. Testar a conectividade entre o Cliente Azure/VM e o FMC
   Copie o arquivo pkcs12 do FMC para a instância do Azure/VM e execute o utilitário de teste (./encore.sh test) para garantir que uma conexão possa ser estabelecida. Para obter mais informações, confira o guia de instalação.

5. Configurar o eNcore para transmitir dados ao agente
   Configure o eNcore para transmitir dados via TCP para o agente do Log Analytics. Essa configuração deve ser habilitada por padrão, mas portas adicionais e protocolos de streaming podem ser configurados dependendo da postura de segurança de rede. Também é possível salvar os dados no sistema de arquivos. Para obter mais informações, confira Configurar o eNcore.

Cisco Meraki (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog Disponível na solução Cisco ISE
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	CiscoMeraki
URL de função do Kusto:	https://aka.ms/Sentinel-ciscomeraki-parser
Documentação do fornecedor/ Instruções de instalação	Documentação do Meraki Device Reporting
Com suporte por	Microsoft

Cisco Umbrella (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Disponível na solução Cisco Umbrella
Tabela(s) do Log Analytics	Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
Credenciais da API	ID da chave de acesso do AWS Chave de acesso secreta do AWS Nome do bucket do AWS S3
Documentação do fornecedor/ Instruções de instalação	Registrar em log no Amazon S3
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	Cisco_Umbrella
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-ciscoumbrella-function
Configurações de aplicativo	WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Cisco UCS (Unified Computing System) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	CiscoUCS
URL de função do Kusto:	https://aka.ms/Sentinel-ciscoucs-function
Documentação do fornecedor/ Instruções de instalação	Configurar o Syslog para o Cisco UCS – Cisco
Com suporte por	Microsoft

Citrix Analytics (Segurança)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	CitrixAnalytics_SAlerts_CL​
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Conectar Citrix ao Microsoft Sentinel
Com suporte por	Citrix Systems

Citrix WAF (Web App Firewall) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Para configurar o WAF, confira a WIKI de suporte – Configuração WAF com NetScaler. Para configurar logs de CEF, confira Suporte ao log de CEF no firewall do aplicativo. Para encaminhar os logs para o proxy, confira Configurar o dispositivo Citrix ADC para log de auditoria.
Com suporte por	Citrix Systems

Cognni (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	CognniIncidents_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Conectar-se com o Cognni Acesse a página Integrações do Cognni. Selecione Conectar na caixa do Microsoft Sentinel. Cole workspaceId e sharedKey (Chave primária) nos campos da tela de integrações do Cognni. Selecione o botão Conectar para completar a configuração.
Com suporte por	Cognni

Monitoramento contínuo de ameaças para SAP (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Disponível somente depois de instalar a solução Monitoramento contínuo de ameaças para SAP
Tabela(s) do Log Analytics	Confira Referência de dados da solução SAP do Microsoft Sentinel
Documentação do fornecedor/ Instruções de instalação	Implantar o monitoramento contínuo de ameaças do SAP
Com suporte por	Microsoft

Eventos do EPV (Enterprise Password Vault) da CyberArk (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Aplicativos SIEM (Gerenciamento de informações e eventos de segurança)
Com suporte por	CyberArk

Logs de segurança do Cyberpion (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	CyberpionActionItems_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Obter a assinatura do Cyberpion Integrar alertas de segurança do Cyberpion ao Microsoft Sentinel
Com suporte por	Cyberpion

DNS (Versão Prévia)

Confira Eventos DNS do Windows por meio do AMA (versão prévia) ou Windows DNS Server (versão prévia).

Dynamics 365

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API Também disponível como parte da solução 4 Dynamics 365 do Microsoft Sentinel
Pré-requisitos de licença/ Informações de custo	Licença de produção do Microsoft Dynamics 365. Não disponível para ambientes de áreas restritas. Pelo menos um usuário atribuiu uma licença do Microsoft/Office 365 E1 ou superior. Podem ser aplicados outros encargos
Tabela(s) do Log Analytics	Dynamics365Activity
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

ESET Enterprise Inspector (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Criar um usuário de API
Tabela(s) do Log Analytics	ESETEnterpriseInspector_CL​
Suporte a DCR	Sem suporte no momento
Credenciais da API	Nome de usuário de EEI Senha de EEI URL base
Documentação do fornecedor/ Instruções de instalação	Documentação da API REST do inspetor do Enterprise ESET
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager)
Com suporte por	ESET

Criar um usuário de API

1. Faça login no ESET Security Management Center/Console do ESET PROTECT com uma conta de administrador, selecione a guia Mais e a subguia Usuários.
2. Selecione o botão ADICIONAR NOVO e adicione um usuário nativo.
3. Crie um novo usuário para a conta de API. Opcional: selecione um Grupo inicial diferente de Todos para limitar quais detecções são ingeridas.
4. Na guia Conjuntos de permissões, atribua o conjunto de permissões do Revisor do Enterprise Inspector.
5. Faça logoff da conta de administrador e faça logon no console com as novas credenciais de API para validação e depois faça logoff da conta de API.

ESET SMC (Security Management Center) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog Configurar os logs do ESET SMC a serem coletados Configurar o agente do OMS para passar dados do Eset SMC no formato de API Alterar a configuração do agente do OMS para capturar a marca oms.api.eset e analisar os dados estruturados Desabilitar a configuração automática e reiniciar o agente
Tabela(s) do Log Analytics	eset_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Documentação do servidor Syslog do ESET
Com suporte por	ESET

Configurar os logs do ESET SMC a serem coletados

Configurar o rsyslog para aceitar logs do seu endereço IP do Eset SMC.

    sudo -i
    # Set ESET SMC source IP address
    export ESETIP={Enter your IP address}

    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-remote.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $ESETIP
    \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
    EOF

    # Restart rsyslog
    systemctl restart rsyslog

Configurar o agente do OMS para passar dados do Eset SMC no formato de API

Para reconhecer facilmente os dados do Eset, envie-os por push para uma tabela separada e analise-os no agente para simplificar e acelerar a consulta do Microsoft Sentinel.

No arquivo /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf, modifique a seção match oms.** para enviar dados como objetos de API alterando o tipo para out_oms_api.

O item a seguir é um exemplo da seção match oms.** completa:

    <match oms.** docker.**>
      type out_oms_api
      log_level info
      num_threads 5
      run_in_background false

      omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
      cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
      key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key

      buffer_chunk_limit 15m
      buffer_type file
      buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer

      buffer_queue_limit 10
      buffer_queue_full_action drop_oldest_chunk
      flush_interval 20s
      retry_limit 10
      retry_wait 30s
      max_retry_wait 9m
    </match>

Alterar a configuração do agente do OMS para capturar a marca oms.api.eset e analisar os dados estruturados

Modificar o arquivo /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf.

Por exemplo:

    <source>
      type syslog
      port 25224
      bind 127.0.0.1
      protocol_type udp
      tag oms.api.eset
    </source>

    <filter oms.api.**>
      @type parser
      key_name message
      format /(?<message>.*?{.*})/
    </filter>

    <filter oms.api.**>
      @type parser
      key_name message
      format json
    </filter>

Desabilitar a configuração automática e reiniciar o agente

Por exemplo:

    # Disable changes to configuration files from Portal
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

    # Restart agent
    sudo /opt/microsoft/omsagent/bin/service_control restart

    # Check agent logs
    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

Configurar o Eset SMC para enviar logs ao conector

Configure os logs do Eset usando o estilo BSD e o formato JSON.

• Vá para a configuração do servidor Syslog configurar o Host (seu conector), o Formato BSD e o Transporte TCP
• Vá para a seção Registrar em log e habilite o JSON

Para obter mais informações, confira a documentação do Eset.

Exabeam Advanced Analytics (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	ExabeamEvent
URL de função do Kusto:	https://aka.ms/Sentinel-Exabeam-parser
Documentação do fornecedor/ Instruções de instalação	Configurar notificações de atividade do sistema de análise avançada
Com suporte por	Microsoft

ExtraHop Reveal(x)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Conector SIEM de detecção de ExtraHop
Com suporte por	ExtraHop

F5 BIG-IP

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Integrar o F5 BIG-IP com o Microsoft Sentinel
Com suporte por	Redes F5

Redes F5 (ASM)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Configurar o Log de eventos de segurança do aplicativo
Com suporte por	Redes F5

Forcepoint CASB (Cloud Access Security Broker) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Forcepoint CASB e Microsoft Sentinel
Com suporte por	Forcepoint

Forcepoint CSG (Cloud Security Gateway) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Forcepoint Cloud Security Gateway e Microsoft Sentinel
Com suporte por	Forcepoint

Forcepoint DLP (Data Loss Prevention) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	ForcepointDLPEvents_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Forcepoint Data Loss Prevention e Microsoft Sentinel
Com suporte por	Forcepoint

Forcepoint NGFW (Next Generation Firewall) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Forcepoint Next-Gen Firewall e Microsoft Sentinel
Com suporte por	Forcepoint

ForgeRock CAUD (Common Audit) para CEF (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Instale isso primeiro! ForgeRock CAUD (Common Audit) para o Microsoft Sentinel
Com suporte por	ForgeRock

Fortinet

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog Enviar logs da Fortinet para o encaminhador de log Disponível na solução Fortinet Fortigate
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Biblioteca de documentos da Fortinet Escolha sua versão e use os PDFs do Manual e da Referência de mensagem de log.
Com suporte por	Fortinet

Enviar logs da Fortinet para o encaminhador de log

Abra a CLI no seu dispositivo Fortinet e execute os seguintes comandos:

config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end

• Substitua o endereço IP do servidor pelo endereço IP do encaminhador de logs.
• Defina a porta syslog para 514 ou para a porta definida no daemon do Syslog no encaminhador.
• Para habilitar o CEF nas versões iniciais do FortiOS, talvez seja necessário executar o conjunto de comando desabilitar CSV.

GitHub (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel Disponível somente depois de instalar a solução Monitoramento contínuo de ameaças para GitHub.
Tabela(s) do Log Analytics	GitHubAuditLogPolling_CL
Suporte a DCR	Sem suporte no momento
Credenciais da API	Token de acesso do GitHub
Instruções de implantação do conector	Configuração extra para o GitHub conector
Com suporte por	Microsoft

Configuração extra para o GitHub conector

Pré-requisito: você deve ter uma conta corporativa do GitHub e uma organização acessível para se conectar ao GitHub do Microsoft Sentinel.

1. Instale o Monitoramento contínuo de ameaças para GitHub no workspace do Microsoft Sentinel. Para obter mais informações, confira Descobrir e implantar centralmente soluções e conteúdo pronto para uso do Microsoft Sentinel (versão prévia).

2. Crie um token de acesso pessoal do GitHub para uso no conector do Microsoft Sentinel. Para obter mais informações, consulte a documentação do GitHub relevante.

3. Na área Conectores de dados do Microsoft Sentinel, pesquise e localize o conector do GitHub. À direita, selecione a página Abrir página do conector.

4. Na guia Instruções, na área Configuração, insira os seguintes detalhes:

   • Nome da organização: insira o nome da organização à qual você deseja se conectar.
   • Chave de API: insira o token de acesso pessoal do GitHub que você criou anteriormente neste procedimento.

5. Selecione Conexão para começar a ingerir seus logs do GitHub para o Microsoft Sentinel.

Google Workspace (G-Suite) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Configuração extra para a API do Google Reports
Tabela(s) do Log Analytics	GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
Credenciais da API	GooglePickleString
Documentação do fornecedor/ Instruções de instalação	Documentação da API Obtenha credenciais em Executar a delegação de autoridade em todo o domínio do Google Workspace Converter o arquivo token.pickle na cadeia de caracteres pickle
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	GWorkspaceActivityReports
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
Configurações de aplicativo	GooglePickleString WorkspaceID workspaceKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Configuração extra para a API do Google Reports

Adicione http://localhost:8081/ em URIs de redirecionamento autorizado ao criar credenciais de aplicativo Web.

1. Siga as instruções para obter o credentials.json.
2. Para obter a cadeia de caracteres pickle do Google, execute esse script python (no mesmo caminho do credentials.json).
3. Copie a saída da cadeia de caracteres pickle entre aspas simples e salve. Ela será necessária para implantar o Aplicativo de funções.

Illusive AMS (Attack Management System) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Guia do administrador de redes do Illusive
Com suporte por	Illusive Networks

Imperva WAF Gateway (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog Disponível na solução Imperva Cloud WAF
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Etapas para habilitar o registro de alertas do Imperva WAF Gateway ao Microsoft Sentinel
Com suporte por	Imperva

Infoblox NIOS (Network Identity Operating System) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog disponível na solução InfoBlox Threat Defense
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	InfobloxNIOS
URL de função do Kusto:	https://aka.ms/sentinelgithubparsersinfoblox
Documentação do fornecedor/ Instruções de instalação	Guia de implantação do NIOS SNMP e Syslog
Com suporte por	Microsoft

Juniper SRX (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	JuniperSRX
URL de função do Kusto:	https://aka.ms/Sentinel-junipersrx-parser
Documentação do fornecedor/ Instruções de instalação	Configurar o log de tráfego (logs de política de segurança) para dispositivos de branch do SRX Configurar o log do sistema
Com suporte por	Juniper Networks

Lookout Mobile Threat Defense (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Disponível somente após a instalação da solução Lookout Mobile Threat Defense para o Microsoft Sentinel
Tabela(s) do Log Analytics	Lookout_CL
Suporte a DCR	Sem suporte no momento
Credenciais da API	Chave do aplicativo Lookout
Documentação do fornecedor/ Instruções de instalação	Guia de instalação (logon obrigatório) Documentação da API (logon obrigatório) Lookout Mobile Endpoint Security
Com suporte por	Lookout

Microsoft 365 Defender

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conectar dados do Microsoft 365 Defender com o Microsoft Sentinel (Artigo do conector superior)
Pré-requisitos de licença/ Informações de custo	Licença válida para Microsoft 365 Defender
Tabela(s) do Log Analytics	Alertas: SecurityAlert SecurityIncident Defender para eventos do Ponto de Extremidade: DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Defender para eventos do Office 365: EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents Eventos do Defender para Identidade: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents Eventos do Defender para Aplicativos de Nuvem: CloudAppEvents Alertas do Defender como eventos: AlertInfo AlertEvidence
Suporte a DCR	Sem suporte no momento
Com suporte por	Microsoft

IRM (Gerenciamento de Risco Interno) do Microsoft Purview (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API Também disponível na solução IRM (Gerenciamento de Risco Interno) do Microsoft Purview
Licença e outros pré-requisitos	Assinatura válida para Microsoft 365 E5/A5/G5, ou a Conformidade associada, ou os complementos de IRM. Gerenciamento de Risco Interno do Microsoft Purview totalmente integrado e políticas de IRM definidas e produzindo alertas. IRM do Microsoft 365 configurado para habilitar a exportação de alertas IRM para a API de atividade de gerenciamento do Office 365 para receber os alertas por meio do conector do Microsoft Sentinel.)
Tabela(s) do Log Analytics	SecurityAlert
Filtro de consulta de dados	SecurityAlert | where ProductName == "Microsoft Purview Insider Risk Management"
Com suporte por	Microsoft

Microsoft Defender para Nuvem

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conectar alertas de segurança do Microsoft Defender para Nuvem (Artigo do conector superior)
Tabela(s) do Log Analytics	SecurityAlert
Com suporte por	Microsoft

Microsoft Defender for Cloud Apps

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API Para logs do Cloud Discovery, habilite o Microsoft Sentinel como seu SIEM nos Aplicativos Microsoft Defender para Nuvem
Tabela(s) do Log Analytics	SecurityAlert – para alertas McasShadowItReporting – para logs do Cloud Discovery
Com suporte por	Microsoft

Microsoft Defender para ponto de extremidade

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API
Pré-requisitos de licença/ Informações de custo	Validar licença para a implantação do Microsoft Defender para Ponto de Extremidade
Tabela(s) do Log Analytics	SecurityAlert
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Microsoft Defender para Identidade

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API
Tabela(s) do Log Analytics	SecurityAlert
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Microsoft Defender para IoT

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API
Tabela(s) do Log Analytics	SecurityAlert
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Microsoft Defender para Office 365

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API
Pré-requisitos de licença/ Informações de custo	Você deve ter uma licença válida para Office 365 ATP Plan 2
Tabela(s) do Log Analytics	SecurityAlert
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Microsoft Office 365

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API
Pré-requisitos de licença/ Informações de custo	Sua implantação do Office 365 deve estar no mesmo locatário que o seu workspace do Microsoft Sentinel. Podem ser aplicados outros encargos.
Tabela(s) do Log Analytics	OfficeActivity
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Microsoft Power BI (Versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API
Pré-requisitos de licença/ Informações de custo	Sua implantação do Office 365 deve estar no mesmo locatário que o seu workspace do Microsoft Sentinel. Podem ser aplicados outros encargos.
Tabela(s) do Log Analytics	PowerBIActivity
Com suporte por	Microsoft

Microsoft Project (Versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões com base em API
Pré-requisitos de licença/ Informações de custo	Sua implantação do Office 365 deve estar no mesmo locatário que o seu workspace do Microsoft Sentinel. Podem ser aplicados outros encargos.
Tabela(s) do Log Analytics	ProjectActivity
Com suporte por	Microsoft

Microsoft Sysmon para Linux (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Syslog, com analisadores ASIM com base em funções do Kusto
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Morphisec UTPP (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	Morphisec
URL de função do Kusto	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/
Com suporte por	Morphisec

Netskope (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST
Tabela(s) do Log Analytics	Netskope_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-netskope-functioncode
Credenciais da API	Token da API da Netskope
Documentação do fornecedor/ Instruções de instalação	Plataforma Netskope Cloud Security Documentação da API do Netskope Obter um token da API
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	Netskope
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-netskope-parser
Configurações de aplicativo	apikey workspaceID workspaceKey uri (depende da região, segue o esquema: https://<Tenant Name>.goskope.com) timeInterval (definir como 5) logTypes logAnalyticsUri (opcional)
Com suporte por	Microsoft

NGINX HTTP Server (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Agente do Log Analytics – logs personalizados
Tabela(s) do Log Analytics	NGINX_CL
Suporte a DCR	Sem suporte no momento
Alias de função do Kusto:	NGINXHTTPServer
URL de função do Kusto	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/NGINX%20HTTP%20Server/Parsers/NGINXHTTPServer.txt
Documentação do fornecedor/ Instruções de instalação	Module ngx_http_log_module
Arquivo de exemplo de log personalizado:	access.log ou error.log
Com suporte por	Microsoft

NXLog BSM (Basic Security Module) macOS (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	BSMmacOS_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Guia do Usuário do NXLog Microsoft Sentinel
Com suporte por	NXLog

NXLog DNS Logs (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	DNS_Logs_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Guia do Usuário do NXLog Microsoft Sentinel
Com suporte por	NXLog

NXLog LinuxAudit (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	LinuxAudit_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Guia do Usuário do NXLog Microsoft Sentinel
Com suporte por	NXLog

Okta Single Sign-On (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST
Tabela(s) do Log Analytics	Okta_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/sentineloktaazurefunctioncodev2
Credenciais da API	Token da API
Documentação do fornecedor/ Instruções de instalação	Documentação da API de log do sistema Okta Criar um token de API Conexão SSO do Okta para o Microsoft Sentinel
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Configurações de aplicativo	apiToken workspaceID workspaceKey uri (segue o esquema https://<OktaDomain>/api/v1/logs?since=. Identifique seu namespace de domínio.) logAnalyticsUri (opcional)
Com suporte por	Microsoft

Onapsis Platform (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog, com uma função de pesquisa e enriquecimento do Kusto Configurar o Onapsis para enviar logs de CEF para o encaminhador de logs
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	incident_lookup
URL de função do Kusto	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt
Com suporte por	Onapsis

Configurar o Onapsis para enviar logs de CEF para o encaminhador de logs

Confira a ajuda do Onapsis no produto para configurar o encaminhamento de logs do agente de Log Analytics.

1. Vá para Configuração > Integrações terceirizadas > Defender Alarmes e seguir as instruções do Microsoft Sentinel.
2. Verifique se o Console do Onapsis pode acessar o computador do encaminhador de log onde o agente está instalado. Os logs devem ser enviados para a porta 514 usando o TCP.

One Identity Safeguard (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Guia de administração do One Identity Safeguard for Privileged Sessions
Com suporte por	One Identity

Oracle WebLogic Server (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Agente do Log Analytics – logs personalizados
Tabela(s) do Log Analytics	OracleWebLogicServer_CL
Suporte a DCR	Sem suporte no momento
Alias de função do Kusto:	OracleWebLogicServerEvent
URL de função do Kusto:	https://aka.ms/Sentinel-OracleWebLogicServer-parser
Documentação do fornecedor/ Instruções de instalação	Documentação do Oracle WebLogic Server
Arquivo de exemplo de log personalizado:	server.log
Com suporte por	Microsoft

Orca Security (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	OrcaAlerts_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Integração do Microsoft Sentinel
Com suporte por	Orca Security

OSSEC (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	OSSECEvent
URL de função do Kusto:	https://aka.ms/Sentinel-OSSEC-parser
Documentação do fornecedor/ Instruções de instalação	Documentação do OSSEC Enviar alertas via Syslog
Com suporte por	Microsoft

Redes Palo Alto

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog Também disponível nas soluções Palo Alto PAN-OS e Prisma
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Guias de configuração do CEF (Common Event Format) Configurar o monitoramento do Syslog
Com suporte por	Palo Alto Networks

Perimeter 81 Activity Logs (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	Perimeter81_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Documentação do Perimeter 81
Com suporte por	Perimeter 81

Proofpoint On Demand (POD) Email Security (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Também disponível na solução Proofpoint POD
Tabela(s) do Log Analytics	ProofpointPOD_message_CL ProofpointPOD_maillog_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-proofpointpod-functionapp
Credenciais da API	ProofpointClusterID ProofpointToken
Documentação do fornecedor/ Instruções de instalação	Entrar na comunidade do Proofpoint Documentação e instruções da API do Proofpoint
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	ProofpointPOD
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-proofpointpod-parser
Configurações de aplicativo	ProofpointClusterID ProofpointToken WorkspaceID WorkspaceKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Proofpoint TAP (Targeted Attack Protection) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Também disponível na solução Proofpoint TAP
Tabela(s) do Log Analytics	ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/sentinelproofpointtapazurefunctioncode
Credenciais da API	Nome de usuário da API Senha da API
Documentação do fornecedor/ Instruções de instalação	Documentação da API do SIEM do Proofpoint
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Configurações de aplicativo	apiUsername apiUsername uri (definido como https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300) WorkspaceID WorkspaceKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Pulse Connect Secure (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	PulseConnectSecure
URL de função do Kusto:	https://aka.ms/sentinelgithubparserspulsesecurevpn
Documentação do fornecedor/ Instruções de instalação	Configurando Syslog
Com suporte por	Microsoft

Qualys VM KB (KnowledgeBase) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Configuração extra para Qualys VM KB Também disponível na solução Qualys VM
Tabela(s) do Log Analytics	QualysKB_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-qualyskb-functioncode
Credenciais da API	Nome de usuário da API Senha da API
Documentação do fornecedor/ Instruções de instalação	Guia do usuário da API do QualysVM
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	QualysKB
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-qualyskb-parser
Configurações de aplicativo	apiUsername apiUsername uri (por região; confira lista de servidor de API. Segue o esquema https://<API Server>/api/2.0. WorkspaceID WorkspaceKey filterParameters (adicione-o ao final do URI, delimitado por &. Sem espaços.) logAnalyticsUri (opcional)
Com suporte por	Microsoft

Configuração extra para Qualys VM KB

1. Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários.
2. Selecione o menu suspenso Novo e selecione Usuários.
3. Crie um nome de usuário e uma senha para a conta de API.
4. Na guia Funções de usuário, verifique se a função da conta está definida como Gerente e que haja permissão de acesso para a GUI e a API
5. Faça logoff da conta de administrador e faça logon no console com as novas credenciais de API para validação e depois faça logoff da conta de API.
6. Faça logon novamente no console usando uma conta de administrador e modifique as Funções de Usuário das contas de API, removendo o acesso à GUI.
7. Salvar todas as alterações.

Qualys VM (Vulnerability Management) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Configuração extra para Qualys VM Implantação manual – depois de configurar o Aplicativo de funções
Tabela(s) do Log Analytics	QualysHostDetection_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/sentinelqualysvmazurefunctioncode
Credenciais da API	Nome de usuário da API Senha da API
Documentação do fornecedor/ Instruções de instalação	Guia do usuário da API do QualysVM
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Configurações de aplicativo	apiUsername apiUsername uri (por região; confira lista de servidor de API. Segue o esquema https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=. WorkspaceID WorkspaceKey filterParameters (adicione-o ao final do URI, delimitado por &. Sem espaços.) timeInterval (defina-o como 5. Se você modificá-lo, altere o gatilho do temporizador do aplicativo de funções de acordo.) logAnalyticsUri (opcional)
Com suporte por	Microsoft

Configuração extra para Qualys VM

1. Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários.
2. Selecione o menu suspenso Novo e selecione Usuários.
3. Crie um nome de usuário e uma senha para a conta de API.
4. Na guia Funções de usuário, verifique se a função da conta está definida como Gerente e que haja permissão de acesso para a GUI e a API
5. Faça logoff da conta de administrador e faça logon no console com as novas credenciais de API para validação e depois faça logoff da conta de API.
6. Faça logon novamente no console usando uma conta de administrador e modifique as Funções de Usuário das contas de API, removendo o acesso à GUI.
7. Salvar todas as alterações.

Implantação manual – depois de configurar o Aplicativo de funções

Configurar o arquivo host.json

Devido à grande quantidade em potencial de dados de detecção de host do Qualys que estão sendo ingeridos, é possível que o tempo de execução ultrapasse o tempo limite padrão do Aplicativo de funções de cinco (5) minutos. Aumente a duração do tempo limite padrão para o máximo de dez (10) minutos, no Plano de consumo, para fornecer mais tempo para a execução do Aplicativo de funções.

1. No Aplicativo de funções, selecione o nome do Aplicativo de funções e selecione a páginaEditor do Serviço de Aplicativo.
2. Selecione Ir para abrir o editor e, em seguida, selecione o arquivo host.json no diretório wwwroot.
3. Adicione a linha "functionTimeout": "00:10:00", acima da linha managedDependancy.
4. Verifique se SALVO aparece no canto superior direito do editor e depois saia do editor.

Se for necessária uma duração de tempo limite maior, cogite atualizar para um Plano do Serviço de Aplicativo.

Salesforce Service Cloud (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST
Tabela(s) do Log Analytics	SalesforceServiceCloud_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
Credenciais da API	Nome de usuário da API do Salesforce Senha da API do Salesforce Token de segurança do Salesforce Chave do consumidor do Salesforce Segredo do consumidor do Salesforce
Documentação do fornecedor/ Instruções de instalação	Guia do desenvolvedor da API REST do Salesforce Em Configurar autorização, use o método ID da sessão em vez de OAuth.
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	SalesforceServiceCloud
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-SalesforceServiceCloud-parser
Configurações de aplicativo	SalesforceUser SalesforcePass SalesforceSecurityToken SalesforceConsumerKey SalesforceConsumerSecret WorkspaceID WorkspaceKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Eventos de segurança por meio do Agente Herdado (Windows)

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas no agente do Log Analytics (herdado)
Tabela(s) do Log Analytics	SecurityEvents
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Para obter mais informações, consulte:

• Conjuntos de eventos de segurança do Windows que podem ser enviados para o Microsoft Sentinel
• Configuração de pasta de trabalho de protocolos não seguros
• Eventos de Segurança do Windows via o conector do AMA baseado no AMA (Agente do Azure Monitor)
• Configurar o conector de Eventos de segurança/Eventos de Segurança do Windows para detecção de logon anômalo de RDP.

SentinelOne (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Configuração extra para SentinelOne
Tabela(s) do Log Analytics	SentinelOne_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-SentinelOneAPI-functionapp
Credenciais da API	SentinelOneAPIToken SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net)
Documentação do fornecedor/ Instruções de instalação	https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview Ver as instruções abaixo
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	SentinelOne
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-SentinelOneAPI-parser
Configurações de aplicativo	SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Configuração extra para SentinelOne

Siga as instruções para obter as credenciais.

1. Faça logon no Console de gerenciamento do SentinelOne com credenciais do Usuário administrador.
2. No Console de gerenciamento, selecione Configurações.
3. Na exibição CONFIGURAÇÕES, selecione USUÁRIOS
4. Selecione Novo usuário.
5. Insira as informações do novo usuário do console.
6. Na Função, selecione Administrador.
7. Selecione SALVAR.
8. Salve as credenciais do novo usuário para usar no conector de dados.

SonicWall Firewall (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Log > Syslog Selecione facility local4 e ArcSight como o formato Syslog.
Com suporte por	SonicWall

Sophos Cloud Optix (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	SophosCloudOptix_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Integrar com o Microsoft Sentinel, pulando a primeira etapa. Exemplos de consulta do Sophos
Com suporte por	Sophos

Sophos XG Firewall (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	SophosXGFirewall
URL de função do Kusto:	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Sophos%20XG%20Firewall/Parsers/SophosXGFirewall.txt
Documentação do fornecedor/ Instruções de instalação	Adicionar um servidor Syslog
Com suporte por	Microsoft

secRMM da Squadra Technologies

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	secRMM_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Guia do administrador do Microsoft Sentinel do secRMM
Com suporte por	Squadra Technologies

Squid Proxy (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Agente do Log Analytics – logs personalizados
Tabela(s) do Log Analytics	SquidProxy_CL
Suporte a DCR	Sem suporte no momento
Alias de função do Kusto:	SquidProxy
URL de função do Kusto	https://aka.ms/Sentinel-squidproxy-parser
Arquivo de exemplo de log personalizado:	access.log ou cache.log
Com suporte por	Microsoft

Symantec ICDx (Integrated Cyber Defense Exchange)

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel
Tabela(s) do Log Analytics	SymantecICDx_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Configurar encaminhadores do Microsoft Sentinel (Log Analytics)
Com suporte por	Broadcom Symantec

Symantec ProxySG (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	SymantecProxySG
URL de função do Kusto:	https://aka.ms/sentinelgithubparserssymantecproxysg
Documentação do fornecedor/ Instruções de instalação	Enviar logs de acesso para um servidor Syslog
Com suporte por	Microsoft

Symantec VIP (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	SymantecVIP
URL de função do Kusto:	https://aka.ms/sentinelgithubparserssymantecvip
Documentação do fornecedor/ Instruções de instalação	Configurar o Syslog
Com suporte por	Microsoft

Thycotic Secret Server (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Proteger o registro em log do Syslog/CEF
Com suporte por	Thycotic

Deep Security da Trend Micro

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	TrendMicroDeepSecurity
URL de função do Kusto	https://aka.ms/TrendMicroDeepSecurityFunction
Documentação do fornecedor/ Instruções de instalação	Encaminhar eventos de Deep Security para um servidor Syslog ou SIEM
Com suporte por	Trend Micro

Trend Micro TippingPoint (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	TrendMicroTippingPoint
URL de função do Kusto	https://aka.ms/Sentinel-trendmicrotippingpoint-function
Documentação do fornecedor/ Instruções de instalação	Enviar mensagens Syslog no formato ArcSight CEF Format v4.2.
Com suporte por	Trend Micro

Trend Micro Vision One (XDR) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST
Tabela(s) do Log Analytics	TrendMicro_XDR_CL
Suporte a DCR	Sem suporte no momento
Credenciais da API	Token da API
Documentação do fornecedor/ Instruções de instalação	API do Trend Micro Vision One Obter chaves de API para acesso de terceiros
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager)
Com suporte por	Trend Micro

VMware Carbon Black Endpoint Standard (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST
Tabela(s) do Log Analytics	CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/sentinelcarbonblackazurefunctioncode
Credenciais da API	Nível de acesso da API (para logs de Auditoria e de Eventos): ID da API Chave de API Nível de acesso do SIEM (para eventos de Notificação): ID da API do SIEM API principal do SIEM
Documentação do fornecedor/ Instruções de instalação	Documentação da API do Carbon Black Criar uma chave de API
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Configurações de aplicativo	apiId apiKey WorkspaceID WorkspaceKey uri (por região. Confira a lista de opções. Segue o esquema: https://<API URL>.conferdeploy.net.) timeInterval (definir como 5) SIEMapiId (se em ingestão de eventos de Notificação) SIEMapiKey (se em ingestão de eventos de Notificação) logAnalyticsUri (opcional)
Com suporte por	Microsoft

VMware ESXi (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	VMwareESXi
URL de função do Kusto:	https://aka.ms/Sentinel-vmwareesxi-parser
Documentação do fornecedor/ Instruções de instalação	Habilitar o Syslog no ESXi 3.5 e 4.x Configurar o Syslog em hosts ESXi
Com suporte por	Microsoft

WatchGuard Firebox (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	syslog
Tabela(s) do Log Analytics	Syslog
Suporte a DCR	DCR de transformação do workspace
Alias de função do Kusto:	WatchGuardFirebox
URL de função do Kusto:	https://aka.ms/Sentinel-watchguardfirebox-parser
Documentação do fornecedor/ Instruções de instalação	Guia de Integração do Microsoft Sentinel
Com suporte por	Tecnologias WatchGuard

WireX Network Forensics Platform (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Entre em contato com o suporte da WireX para configurar sua solução NFP para enviar mensagens do Syslog no formato CEF.
Com suporte por	WireX Systems

Eventos de DNS do Windows por meio do AMA (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexão baseada em Agente do Azure Monitor
Tabela(s) do Log Analytics	DnsEvents DnsInventory
Suporte a DCR	DCR Standard
Com suporte por	Microsoft

Servidor DNS do Windows (Versão prévia)

Este conector usa o agente herdado. Recomendamos que você use o conector DNS por meio de AMA acima.

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas no agente do Log Analytics (herdado)
Tabela(s) do Log Analytics	DnsEvents DnsInventory
Suporte a DCR	DCR de transformação do workspace
Com suporte por	Microsoft

Solução de problemas do conector de dados do servidor DNS do Windows

Se os eventos do DNS não aparecerem no Microsoft Sentinel:

1. Certifique-se de que os logs de análise de DNS em seus servidores estão habilitados.
2. Vá para a Análise de DNS do Azure.
3. Na área Configuração, altere qualquer uma das configurações e salve as alterações. Altere as configurações novamente se necessário e salve as alterações novamente.
4. Verifique sua Análise de DNS do Azure para verificar se os eventos e consultas são exibidos corretamente.

Para obter mais informações, consulte Coletar insights sobre sua infraestrutura DNS com a solução Análise de DNS versão prévia.

Eventos Encaminhados do Windows (Versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em agente do Azure Monitor Instruções adicionais para implantar o conector de Eventos Encaminhados do Windows
Pré-requisitos	Você deve ter a WEC (Coleção de Eventos do Windows) habilitada e em execução. Instale o Agente do Azure Monitor no computador da WEC.
prefixo de consultas xPath	"ForwardedEvents!*"
Tabela(s) do Log Analytics	WindowsEvents
Suporte a DCR	DCR Standard
Com suporte por	Microsoft

Instruções adicionais para implantar o conector de Eventos Encaminhados do Windows

É recomendável instalar os analisadores do ASIM (Modelo de Informações de Segurança Avançado) para garantir o suporte completo à normalização de dados. Você pode implantar esses analisadores do Azure-Sentinelrepositório de GitHub usando o botão Implantar no Azure localizado nele.

Firewall do Windows

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas no agente do Log Analytics (herdado)
Tabela(s) do Log Analytics	WindowsFirewall
Com suporte por	Microsoft

Eventos de Segurança do Windows via AMA

Atributo do conector	Description
Método de ingestão de dados	Integração de serviço a serviço do Azure: Conexões baseadas em agente do Azure Monitor
prefixo de consultas xPath	"Security!*"
Tabela(s) do Log Analytics	SecurityEvents
Suporte a DCR	DCR Standard
Com suporte por	Microsoft

Consulte também:

• Eventos DNS do Windows por meio do conector AMA (versão prévia): usa o Agente do Azure Monitor para transmitir e filtrar eventos de logs de servidor do DNS (Sistema de Nomes de Domínio) do Windows.
• Eventos de segurança por meio do conector de agente herdado.

Configurar o conector de Eventos de segurança/Eventos de Segurança do Windows para detecção de logon anômalo de RDP

Importante

A detecção de logon de RDP anômala está atualmente na visualização pública. Esse recurso é fornecido sem um Contrato de Nível de Serviço e não é recomendado para cargas de trabalho de produção. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.

O Microsoft Sentinel pode aplicar o ML (aprendizado de máquina) aos dados de eventos de segurança para identificar a atividade de logon de protocolo RDP anômala. Os cenários incluem:

• IP incomum: o endereço IP raramente ou nunca foi observado nos últimos 30 dias

• Localização geográfica incomum: o endereço IP, a cidade, o país e o ASN raramente ou nunca foram observados nos últimos 30 dias

• Novo usuário: um novo usuário faz logon por meio de um endereço IP e localização geográfica, e não se esperava que ambos ou um deles fosse(m) visto(s) com base nos dados dos 30 dias anteriores.

Instruções de configuração

1. Você precisa estar coletando dados de logon de RDP (ID do evento 4624) por meio dos conectores de dados de Eventos de segurança ou Eventos de Segurança do Windows. Verifique se você selecionou um conjunto de eventos além de "Nenhum" ou criou uma regra de coleta de dados que inclui essa ID de evento para transmiti-la para o Microsoft Sentinel.

2. No portal do Microsoft Sentinel, selecione Análise e, em seguida, selecione a guia Modelos de regra. Escolha a regra Detecção de logon de RDP anômala (versão prévia) e mova o controle deslizante Status para Habilitado.

   Observação

   Como o algoritmo de machine learning exige um valor de dados de 30 dias para criar um perfil de linha de base de comportamento do usuário, você precisa permitir que 30 dias de dados de Eventos de segurança do Windows sejam coletados antes que qualquer incidente possa ser detectado.

Workplace from Facebook (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST Configurar webhooks Adicionar a URL de retorno de chamada à configuração do Webhook
Tabela(s) do Log Analytics	Workplace_Facebook_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip
Credenciais da API	WorkplaceAppSecret WorkplaceVerifyToken
Documentação do fornecedor/ Instruções de instalação	Configurar webhooks Configurar permissões
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	Workplace_Facebook
URL de função do Kusto/ Instruções de configuração do analisador	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt
Configurações de aplicativo	WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Configurar webhooks

1. Faça logon no Workplace com credenciais de Usuário administrador.
2. No painel do administrador, selecione Integrações.
3. Na exibição Todas as integrações, selecione Criar integração personalizada.
4. Insira o nome e a descrição e selecione Criar.
5. No painel Detalhes da integração, mostre o segredo do aplicativo e copie-o.
6. No painel Permissões de integração, defina todas as permissões de leitura. Confira a página de permissão para obter detalhes.

Adicionar a URL de retorno de chamada à configuração do Webhook

1. Abra a página Aplicativo de funções e vá para a lista Funções, selecione Obter a URL de função e copie-a.
2. Volte ao Workplace from Facebook. No painel Configurar webhooks, em cada guia, defina a URL de chamada de retorno como a URL de função que você copiou na última etapa e o Token de verificação como o mesmo valor recebido durante a implantação automática ou inserido durante a implantação manual.
3. Selecione Salvar.

Zimperium Mobile Thread Defense (versão prévia)

O conector de dados do Zimperium Mobile Threat Defense conecta o log de ameaças do Zimperium ao Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar a investigação. Esse conector proporciona mais insights sobre o panorama de ameaças móveis da sua organização e aprimora suas funcionalidades de operação de segurança.

Para obter mais informações, consulte Conectar Zimperium ao Microsoft Sentinel.

Atributo do conector	Description
Método de ingestão de dados	API do coletor de dados do Microsoft Sentinel Configurar e conectar o Zimperium MTD
Tabela(s) do Log Analytics	ZimperiumThreatLog_CL ZimperiumMitigationLog_CL
Suporte a DCR	Sem suporte no momento
Documentação do fornecedor/ Instruções de instalação	Portal de suporte ao cliente do Zimperium (logon obrigatório)
Com suporte por	Zimperium

Configurar e conectar o Zimperium MTD

1. No zConsole, selecione Gerenciar na barra de navegação.
2. Selecione a guia Integrações.
3. Selecione o botão Relatório de Ameaças e no botão Adicionar Integrações.
4. Crie a integração:
   1. Nas integrações disponíveis, selecione Microsoft Sentinel.
   2. Insira a ID do workspace e a chave primária, selecione Avançar.
   3. Preencha um nome para a integração do Microsoft Sentinel.
   4. Selecione um Nível de filtro para os dados de ameaça que você deseja enviar por push ao Microsoft Sentinel.
   5. Selecione Concluir.

Zoom Reports (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Azure Functions e a API REST
Tabela(s) do Log Analytics	Zoom_CL
Suporte a DCR	Sem suporte no momento
Código do Aplicativo de Funções do Azure	https://aka.ms/Sentinel-ZoomAPI-functionapp
Credenciais da API	ZoomApiKey ZoomApiSecret
Documentação do fornecedor/ Instruções de instalação	Obter credenciais usando o JWT com Zoom
Instruções de implantação do conector	Implantação de clique simples via modelo do ARM (Azure Resource Manager) Implantação manual
Alias de função do Kusto	Zoom
URL de função do Kusto/ Instruções de configuração do analisador	https://aka.ms/Sentinel-ZoomAPI-parser
Configurações de aplicativo	ZoomApiKey ZoomApiSecret WorkspaceID WorkspaceKey logAnalyticsUri (opcional)
Com suporte por	Microsoft

Zscaler

Atributo do conector	Description
Método de ingestão de dados	CEF (Formato Comum de Evento) via Syslog
Tabela(s) do Log Analytics	CommonSecurityLog
Suporte a DCR	DCR de transformação do workspace
Documentação do fornecedor/ Instruções de instalação	Guia de implantação do Zscaler e do Microsoft Sentinel
Com suporte por	Zscaler

ZPA (Zscaler Private Access) (versão prévia)

Atributo do conector	Description
Método de ingestão de dados	Agente do Log Analytics – logs personalizados Configuração extra do Zscaler Private Access
Tabela(s) do Log Analytics	ZPA_CL
Suporte a DCR	Sem suporte no momento
Alias de função do Kusto:	ZPAEvent
URL de função do Kusto	https://aka.ms/Sentinel-zscalerprivateaccess-parser
Documentação do fornecedor/ Instruções de instalação	Documentação do Zscaler Private Access Também veja abaixo
Com suporte por	Microsoft

Configuração extra do Zscaler Private Access

Siga as etapas de configuração abaixo para obter logs do Zscaler Private Access no Microsoft Sentinel. Para obter mais informações, consulte a Documentação do Azure Monitor. Os logs do Zscaler Private Access são fornecidos por meio do LSS (Serviço de streaming de log). Confira a documentação do LSS para obter informações detalhadas.

1. Configurar Recebedores de log. Enquanto o Recebedor de log é recebido, escolha JSON como Modelo de log.

2. Baixar o arquivo de configuração zpa.conf.

   wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
   

3. Entre no servidor em que você instalou o agente do Log Analytics do Azure.

4. Copie zpa.conf na pasta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

5. Edite o zpa.conf da seguinte maneira:

   1. Especifique a porta que você definiu para que os Receptores de log do Zscaler encaminhem os logs (linha 4)
   2. Substitua workspace_id pelo valor real da sua ID do Workspace (linhas 14,15,16,19)

6. Salve as alterações e reinicie o agente do Azure Log Analytics para serviços Linux com o comando a seguir:

   sudo /opt/microsoft/omsagent/bin/service_control restart
   

Você encontra o valor da sua ID do workspace na página do conector do ZScaler Private Access ou na página de gerenciamento dos seus agentes de workspace do Log Analytics.

Próximas etapas

Para obter mais informações, consulte:

• Catálogo de soluções do Microsoft Sentinel no Azure Marketplace
• Catálogo de soluções do Microsoft Sentinel
• Integração da inteligência contra ameaças no Microsoft Sentinel