Encontrar seu conector de dados do Microsoft Sentinel

Este artigo descreve como implantar conectores de dados no MIcrosoft Sentinel, listando todos os conectores de dados compatíveis prontos para uso, além de links para procedimentos genéricos de implantação e etapas adicionais necessárias para conectores específicos.

Alguns conectores de dados são implantados somente por meio de soluções. Para obter mais informações, confira Descobrir e implantar soluções e conteúdo pronto para uso do Microsoft Sentinel. Você também pode encontrar outros conectores de dados integrados à comunidade no repositório Microsoft Sentinel GitHub.

Como usar este guia

  1. Primeiro, localize e selecione o conector do seu produto, serviço ou dispositivo no menu de títulos à direita.

    A primeira informação que você verá para cada conector é seu método de ingestão de dados. O método que aparece terá um link para um dos procedimentos de implantação genérica a seguir, os quais contêm a maioria das informações necessárias para conectar suas fontes de dados ao Microsoft Sentinel:

    Método de ingestão de dados Artigo vinculado com instruções
    Integração de serviço a serviço do Azure Conectar aos serviços do Azure, Windows, Microsoft e Amazon
    CEF (Formato Comum de Evento) via Syslog Obter logs formatados por CEF do seu dispositivo ou aparelho no Microsoft Sentinel
    API do coletor de dados do Microsoft Sentinel Conectar sua fonte de dados à API do Coletor de Dados do Microsoft Sentinel para ingerir dados
    Azure Functions e a API REST Usar o Azure Functions para conectar o Microsoft Azure Sentinel à fonte de dados
    Syslog Coletar os dados das fontes baseadas no Linux usando o Syslog
    Logs personalizados Coletar dados em formatos de log personalizados no Microsoft Sentinel usando o agente do Log Analytics

    Observação

    O método de ingestão de dados de integração de serviço a serviço do Azure vincula-se a três seções diferentes de seu artigo, dependendo do tipo de conector. Cada seção de conector abaixo especifica a seção dentro desse artigo à qual ele se vincula.

  2. Ao implantar um conector específico, escolha o artigo apropriado vinculado ao seu método de ingestão de dados e use as informações e as diretrizes adicionais na seção relevante abaixo para complementar as informações deste artigo.

Dica

  • Muitos conectores de dados também podem ser implantados como parte de uma solução do Microsoft Sentinel, junto com regras de análise, pastas de trabalho e guias estratégicos relacionados. Para obter mais informações, confira o catálogo de soluções do Microsoft Sentinel.

  • Há mais conectores de dados sendo fornecidos pela comunidade do Microsoft Sentinel, os quais podem ser encontrados no Azure Marketplace. A documentação de conectores de dados da comunidade é responsabilidade da organização que criou o conector.

  • Caso tenha uma fonte de dados que não esteja listada ou que não tenha suporte no momento, você também poderá criar seu próprio conector personalizado. Para obter mais informações, confira Recursos para criar conectores personalizados do Microsoft Sentinel.

Importante

Os conectores de dados do Microsoft Sentinel mencionados estão atualmente em Versão prévia. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos do conector de dados

Cada conector de dados terá seu próprio conjunto de pré-requisitos, como permissões necessárias em seu workspace, assinatura ou política do Azure e assim por diante, ou outros requisitos para a fonte de dados do parceiro à qual você está se conectando.

Os pré-requisitos para cada conector de dados são listados na página do conector de dados relevante no Microsoft Sentinel, na guia Instruções.

Agari Phishing Defense e Brand Protection (versão prévia)

Atributo do conector Description
Método de ingestão de dados Azure Functions e a API REST

Antes da implantação: Habilitar a API do Graph de segurança (opcional).
Após a implantação: Atribuir as permissões necessárias ao aplicativo de funções
Tabela(s) do Log Analytics agari_bpalerts_log_CL
agari_apdtc_log_CL
agari_apdpolicy_log_CL
Suporte a DCR Sem suporte no momento
Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-agari-functionapp
Credenciais da API
  • ID do Cliente
  • Segredo do cliente
  • (Opcional: ID de locatário do Graph, ID do cliente do Graph, Segredo do cliente do Graph)
  • Documentação do fornecedor/
    Instruções de instalação
  • Início Rápido
  • Site de desenvolvedores do Agari
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Configurações de aplicativo
  • clientID
  • clientSecret
  • workspaceID
  • workspaceKey
  • enableBrandProtectionAPI (true/false)
  • enablePhishingResponseAPI (true/false)
  • enablePhishingDefenseAPI (true/false)
  • resGroup (inserir Grupo de recursos)
  • functionName
  • subId (inserir a ID da assinatura)
  • enableSecurityGraphSharing (true/false; veja abaixo)
    Obrigatório se enableSecurityGraphSharing estiver definido como true (veja abaixo):
  • GraphTenantId
  • GraphClientId
  • GraphClientSecret
  • logAnalyticsUri (opcional)
  • Com suporte por Agari

    Habilitar a API do Graph de segurança (opcional)

    Importante

    Caso vá executar essa etapa, faça isso antes de implantar o conector de dados.

    O Aplicativo de funções Agari permite que você compartilhe inteligência contra ameaças com o Microsoft Sentinel por meio do API do Graph de segurança. Para usar esse recurso, você precisará habilitar o conector do Sentinel Threat Intelligence Platforms e também registrar um aplicativo no Azure Active Directory.

    Esse processo dará a você três informações de uso ao implantar o Aplicativo de Funções: a ID do locatário do Graph, a ID do cliente do Graph e o segredo do cliente do Graph (confira as Configurações de aplicativo na tabela acima).

    Atribuir as permissões necessárias ao Aplicativo de funções

    O conector do Agari usa uma variável de ambiente para armazenar os tempos de acesso ao log. Para que o aplicativo escreva nessa variável, as permissões devem ser atribuídas à identidade atribuída pelo sistema.

    1. Navegar até o Aplicativo de Funções no portal do Azure
    2. Na página Aplicativo de Funções, selecione seu Aplicativo de Funções na lista e, em seguida, selecione Identidade em Configurações no menu de navegação do Aplicativo de Funções.
    3. Na guia Sistema atribuído, alterne o Status para Ativado.
    4. Selecione Salvare um botão Atribuições de função do Azure será exibido. Selecione-a.
    5. Na tela Atribuições de função do Azure, selecione Adicionar atribuição de função. Defina Escopo como Assinatura, selecione sua assinatura na lista suspensa Assinatura e defina Função como Proprietário dos dados de configuração do aplicativo.
    6. Clique em Salvar.

    AIA (Analista de IA) por Darktrace (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog

    Configurar o encaminhamento de log do CEF para o Analista de IA
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Darktrace

    Configurar o encaminhamento de log do CEF para o Analista de IA

    Configure o Darktrace para encaminhar mensagens de Syslog no formato CEF para seu workspace do Azure por meio do agente do Log Analytics.

    1. No Darktrace Threat Visualizer, navegue até a página Configurações do sistema no menu principal em Administrador.
    2. No menu à esquerda, selecione Módulos e escolha Microsoft Sentinel entre as Integrações de fluxo de trabalho disponíveis.
    3. Uma janela de configuração será aberta. Localize o CEF do Syslog do Microsoft Sentinel e selecione Novo para revelar as definições de configuração, a menos que já estejam expostas.
    4. No campo Configurações do servidor, insira a localização do encaminhador de log e, como opção, modifique a porta de comunicação. Verifique se a porta selecionada está definida como 514 e se ela é permitida por qualquer firewall intermediário.
    5. Configure os limites de alerta, fusos horários ou configurações adicionais, conforme necessário.
    6. Verifique as opções de configuração adicionais que você queira habilitar para alterar a sintaxe do Syslog.
    7. Habilite a opção Enviar alertas e salve as alterações.

    Detecção de IA da Vectra (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog

    Configurar o encaminhamento de log do CEF para a Detecção de IA da Vectra
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Com suporte por IA da Vectra

    Configurar o encaminhamento de log do CEF para a Detecção de IA da Vectra

    Configure o agente do Vectra (Série X) para encaminhar mensagens de Syslog no formato CEF para seu workspace do Microsoft Sentinel por meio do agente do Log Analytics.

    Na interface do Vectra, acesse Settings > Notifications e escolha a configuração Edit Syslog. Siga as instruções abaixo para concluir a conexão:

    • Adicionar um destino (o nome do host do encaminhador de log)
    • Definir a porta como 514
    • Definir o protocolo como UDP
    • Definir o formato como CEF
    • Definir tipos de log (selecione todos os tipos de log disponíveis)
    • Selecione Salvar

    Você pode selecionar o botão Testar para forçar o envio de alguns eventos de teste ao encaminhador de log.

    Para obter mais informações, confira o Guia de Syslog do Cognito Detect, que pode ser baixado na página de recursos na interface do usuário do Detect.

    Eventos de segurança da Akamai (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: AkamaiSIEMEvent
    URL de função do Kusto: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt
    Documentação do fornecedor/
    Instruções de instalação
    Configurar integração do SIEM (Gerenciamento de informações e eventos de segurança)
    Configurar um conector do CEF.
    Com suporte por Akamai

    Alcide kAudit

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics alcide_kaudit_activity_1_CL: logs de atividades do Alcide kAudit
    alcide_kaudit_detections_1_CL: detecções do Alcide kAudit
    alcide_kaudit_selections_count_1_CL: contagens de atividades do Alcide kAudit
    alcide_kaudit_selections_details_1_CL: detalhes da atividade do Alcide kAudit
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Guia de instalação do Alcide kAudit
    Com suporte por Alcide

    Alsid para Active Directory

    Atributo do conector Description
    Método de ingestão de dados Agente do Log Analytics – logs personalizados

    Configuração extra para Alsid
    Tabela(s) do Log Analytics AlsidForADLog_CL
    Suporte a DCR Sem suporte no momento
    Alias de função do Kusto: afad_parser
    URL de função do Kusto: https://aka.ms/Sentinel-alsidforad-parser
    Com suporte por Alsid

    Configuração extra para Alsid

    1. Configurar o servidor Syslog

      Primeiro, você precisará de um servidor Syslog do Linux para o qual o Alsid para AD enviará os logs. Geralmente, você pode executar o rsyslog no Ubuntu.

      Depois, você pode configurar esse servidor como desejar, mas é recomendável que seja possível gerar logs do AFAD em um arquivo separado. Como alternativa, você pode usar um modelo de início rápido para implantar o servidor Syslog e o agente Microsoft para você. Se você usar o modelo, poderá ignorar as instruções de instalação do agente.

    2. Configurar o Alsid para enviar logs ao servidor Syslog

      No portal Alsid para AD, vá paraSistema,Configuração e, em seguida, Syslog. Neste ponto, você pode criar um novo alerta de Syslog para o servidor Syslog.

      Depois de criar um novo alerta de Syslog, verifique se os logs foram reunidos corretamente no servidor em um arquivo separado. Por exemplo, para verificar os logs, você pode usar o botão Testar a configuração na configuração de alerta de Syslog no AFAD. Caso tenha usado o modelo de início rápido, por padrão, o servidor Syslog escutará a porta 514 em UDP e 1514 no TCP, sem TLS.

    Amazon Web Services

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conectar o Microsoft Azure Sentinel com o Amazon Web Services para ingerir dados de log de serviço do AWS
    (Artigo do conector superior)
    Tabela(s) do Log Analytics AWSCloudTrail
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Amazon Web Services S3 (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conectar o Microsoft Azure Sentinel com o Amazon Web Services para ingerir dados de log de serviço do AWS
    (Artigo do conector superior)
    Tabela(s) do Log Analytics AWSCloudTrail
    AWSGuardDuty
    AWSVPCFlow
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Apache HTTP Server

    Atributo do conector Description
    Método de ingestão de dados Agente do Log Analytics – logs personalizados
    Tabela(s) do Log Analytics ApacheHTTPServer_CL
    Suporte a DCR Sem suporte no momento
    Alias de função do Kusto: ApacheHTTPServer
    URL de função do Kusto: https://aka.ms/Sentinel-apachehttpserver-parser
    Arquivo de exemplo de log personalizado: access.log ou error.log

    Apache Tomcat

    Atributo do conector Description
    Método de ingestão de dados Agente do Log Analytics – logs personalizados
    Tabela(s) do Log Analytics Tomcat_CL
    Suporte a DCR Sem suporte no momento
    Alias de função do Kusto: TomcatEvent
    URL de função do Kusto: https://aka.ms/Sentinel-ApacheTomcat-parser
    Arquivo de exemplo de log personalizado: access.log ou error.log

    Aruba ClearPass (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: ArubaClearPass
    URL de função do Kusto: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt
    Documentação do fornecedor/
    Instruções de instalação
    Siga as instruções do Aruba para configurar o ClearPass.
    Com suporte por Microsoft

    Atlassian Confluence Audit (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST
    Tabela(s) do Log Analytics Confluence_Audit_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-confluenceauditapi-functionapp
    Credenciais da API
  • ConfluenceAccessToken
  • ConfluenceUsername
  • ConfluenceHomeSiteName
  • Documentação do fornecedor/
    Instruções de instalação
  • Documentação da API
  • Requisitos e instruções para obter credenciais
  • Exibir o log de auditoria
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto ConfluenceAudit
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-confluenceauditapi-parser
    Configurações de aplicativo
  • ConfluenceUsername
  • ConfluenceAccessToken
  • ConfluenceHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Atlassian JIRA Audit (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST
    Tabela(s) do Log Analytics Jira_Audit_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-jiraauditapi-functionapp
    Credenciais da API
  • JiraAccessToken
  • JiraUsername
  • JiraHomeSiteName
  • Documentação do fornecedor/
    Instruções de instalação
  • Documentação da API – registros de auditoria
  • Requisitos e instruções para obter credenciais
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto JiraAudit
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-jiraauditapi-parser
    Configurações de aplicativo
  • JiraUsername
  • JiraAccessToken
  • JiraHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Azure Active Directory

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conectar dados do Azure Active Directory ao Microsoft Sentinel
    (Artigo do conector superior)
    Pré-requisitos de licença/
    Informações de custo
  • Licença P1 ou P2 do Azure Active Directory logs de entrada
  • Qualquer licença do Azure AD (Gratuita/O365/P1/P2) para outros tipos de log
    Podem ser aplicados outros encargos
  • Tabela(s) do Log Analytics SigninLogs
    AuditLogs
    AADNonInteractiveUserSignInLogs
    AADServicePrincipalSignInLogs
    AADManagedIdentitySignInLogs
    AADProvisioningLogs
    ADFSSignInLogs
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Azure Active Directory Identity Protection

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API
    Pré-requisitos de licença/
    Informações de custo
    Assinatura Azure AD Premium P2
    Podem ser aplicados outros encargos
    Tabela(s) do Log Analytics SecurityAlert
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Atividades do Azure

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy


    Atualizar para o novo conector de atividade do Azure
    Tabela(s) do Log Analytics AzureActivity
    Suporte a DCR Sem suporte no momento
    Com suporte por Microsoft

    Atualizar para o novo conector de atividade do Azure

    Alterações da estrutura dos dados

    Esse conector alterou seu mecanismo de back-end recentemente para coletar eventos do log de atividades. Agora ele está usando o pipeline de configurações de diagnóstico. Se você ainda estiver usando o método herdado para esse conector, é altamente recomendável atualizar para a nova versão, que fornece funcionalidade melhor e maior consistência com os logs de recursos. Confira as instruções abaixo.

    O método de configurações de diagnóstico envia os mesmos dados que o método herdado enviou do serviço de log de atividades, embora tenha havido algumas alterações na estrutura da tabela AzureActivity.

    Eis algumas das principais melhorias resultantes da mudança para o pipeline de configurações de diagnóstico:

    • Latência de ingestão aprimorada (ingestão de eventos dentro de 2-3 minutos de ocorrência em vez de 15-20 minutos).
    • Melhor confiabilidade.
    • Melhor desempenho.
    • Suporte para todas as categorias de eventos registrados pelo serviço do log de atividades (o mecanismo herdado dá suporte apenas a um subconjunto, por exemplo, não há suporte para eventos de Integridade do Serviço).
    • Gerenciamento em escala com o Azure Policy.

    Confira a Documentação do Azure Monitor para obter um tratamento mais aprofundado do Log de atividades do Azure e o pipeline de configurações de diagnóstico.

    Desconectar do pipeline antigo

    Antes de configurar o novo conector do Log de atividades do Azure, você deve desconectar as assinaturas existentes do método herdado.

    1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados. Na lista de conectores, selecione Atividade do Azure e clique no botão Abrir página do conector no canto inferior direito.

    2. Na guia Instruções, na seção Configuração, na etapa 1, examine a lista de suas assinaturas existentes que estão conectadas ao método herdado (para que você saiba quais adicionar ao novo) e desconecte-as de uma só vez clicando no botão Desconectar tudo abaixo.

    3. Continue configurando o novo conector com as instruções vinculadas na tabela acima.

    Proteção contra DDoS do Azure

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em configurações de diagnóstico
    Pré-requisitos de licença/
    Informações de custo
  • Você precisa ter um Plano da Proteção contra DDoS do Azure Standard.
  • Você precisa ter uma rede virtual configurada com a Proteção contra DDoS do Azure Standard habilitada
    Podem ser aplicados outros encargos
  • Tabela(s) do Log Analytics AzureDiagnostics
    Suporte a DCR Sem suporte no momento
    Diagnóstico recomendado DDoSProtectionNotifications
    DDoSMitigationFlowLogs
    DDoSMitigationReports
    Com suporte por Microsoft

    Observação

    O Status do Conector de Dados da Proteção contra DDoS do Azure muda para Conectado somente quando os recursos protegidos estão sob um ataque de DDoS.

    Azure Defender

    Consulte Microsoft Defender para Nuvem.

    Firewall do Azure

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em configurações de diagnóstico
    Tabela(s) do Log Analytics AzureDiagnostics
    Suporte a DCR Sem suporte no momento
    Diagnóstico recomendado AzureFirewallApplicationRule
    AzureFirewallNetworkRule
    AzureFirewallDnsProxy
    Com suporte por Microsoft

    Azure Information Protection (Visualização)

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure
    Tabela(s) do Log Analytics InformationProtectionLogs_CL
    Suporte a DCR Sem suporte no momento
    Com suporte por Microsoft

    Observação

    O conector de Proteção de Informações do Azure (AIP) usa o recurso logs de auditoria da AIP (versão prévia pública). A partir de 18 de março de 2022, estamos ressalvando a visualização pública dos logs de auditoria e análise da AIP, e avançaremos usando a solução de Microsoft 365 auditoria. A baixa completa está agendada para 30 de setembro de 2022.

    Para obter mais informações, confira Remover e desativar serviços.

    Cofre de Chave do Azure

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy
    Tabela(s) do Log Analytics KeyVaultData
    Suporte a DCR Sem suporte no momento
    Com suporte por Microsoft

    AKS (Serviço de Kubernetes do Azure)

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy
    Tabela(s) do Log Analytics kube-apiserver
    kube-audit
    kube-audit-admin
    kube-controller-manager
    kube-scheduler
    cluster-autoscaler
    guard
    Suporte a DCR Sem suporte no momento
    Com suporte por Microsoft

    Microsoft Purview

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em configurações de diagnóstico


    Para obter mais informações, consulte Tutorial: Integrar o Microsoft Sentinel e o Microsoft Purview.
    Tabela(s) do Log Analytics PurviewDataSensitivityLogs
    Suporte a DCR Sem suporte no momento
    Com suporte por Microsoft

    Bancos de Dados SQL do Azure

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy


    Também disponível no SQL do Azure e Microsoft Sentinel para soluções SQL PaaS
    Tabela(s) do Log Analytics SQLSecurityAuditEvents
    SQLInsights
    AutomaticTuning
    QueryStoreWaitStatistics
    Errors
    DatabaseWaitStatistics
    Tempos limite
    Blocos
    Deadlocks
    Basic
    InstanceAndAppAdvanced
    WorkloadManagement
    DevOpsOperationsAudit
    Suporte a DCR Sem suporte no momento
    Com suporte por Microsoft

    Conta de Armazenamento do Azure

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em configurações de diagnóstico


    Observações sobre a definição de configurações de diagnóstico da conta de armazenamento
    Tabela(s) do Log Analytics StorageBlobLogs
    StorageQueueLogs
    StorageTableLogs
    StorageFileLogs
    Diagnóstico recomendado Recurso da conta
  • Transação
    Recursos de blob/fila/tabela/arquivo
  • StorageRead
  • StorageWrite
  • StorageDelete
  • Transação
  • Suporte a DCR Sem suporte no momento
    Com suporte por Microsoft

    Observações sobre a definição de configurações de diagnóstico da conta de armazenamento

    O recurso de conta de armazenamento (pai) tem, dentro dele, outros recursos (filho) para cada tipo de armazenamento: arquivos, tabelas, filas e blobs.

    Ao configurar o diagnóstico para uma conta de armazenamento, você deve selecionar e configurar:

    • O recurso da conta pai, exportando a métrica Transação.
    • Cada um dos recursos do tipo de armazenamento filho, exportando todos os logs e métricas (confira a tabela acima).

    Você verá apenas os tipos de armazenamento para os quais realmente definiu recursos.

    WAF (Firewall do Aplicativo Web) do Azure

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em configurações de diagnóstico
    Tabela(s) do Log Analytics AzureDiagnostics
    Suporte a DCR Sem suporte no momento
    Diagnóstico recomendado Gateway de Aplicativo
  • ApplicationGatewayAccessLog
  • ApplicationGatewayFirewallLog
    Front Door
  • FrontdoorAccessLog
  • FrontdoorWebApplicationFirewallLog
    Política do WAF da CDN
  • WebApplicationFirewallLogs
  • Com suporte por Microsoft

    Firewall do Barracuda CloudGen

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: CGFWFirewallActivity
    URL de função do Kusto: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity
    Documentação do fornecedor/
    Instruções de instalação
    https://aka.ms/Sentinel-barracudacloudfirewall-connector
    Com suporte por Barracuda

    WAF do Barracuda

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics CommonSecurityLog (Barracuda)
    Barracuda_CL
    Documentação do fornecedor/
    Instruções de instalação
    https://aka.ms/asi-barracuda-connector
    Com suporte por Barracuda

    Consulte as instruções do Barracuda - observe as instalações atribuídas para os diferentes tipos de logs e certifique-se de adicioná-las à configuração padrão do Syslog.

    BETTER Mobile Threat Defense (MTD) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics BetterMTDDeviceLog_CL
    BetterMTDIncidentLog_CL
    BetterMTDAppLog_CL
    BetterMTDNetflowLog_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Documentação do BETTER MTD

    Configuração da Política de Ameaças, a qual define os incidentes relatados ao Microsoft Sentinel:
    1. No Console Better MTD, selecione Políticas na barra lateral.
    2. Selecione o botão Editar da Política que você está usando.
    3. Para cada tipo de Incidente que você deseja registrar, vá para o campo Enviar para integrações e selecione Sentinel.
    Com suporte por Better Mobile

    Beyond Security beSECURE

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics beSECURE_ScanResults_CL
    beSECURE_ScanEvents_CL
    beSECURE_Audit_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Acesse o menu Integração:
    1. Selecione a opção de menu Mais.
    2. Selecione o Servidor
    3. Selecione a Integração
    4. Habilitar Microsoft Sentinel
    5. Cole os valores da ID do workspace e Chave primária na configuração do beSECURE.
    6. Selecione Modificar.
    Com suporte por Beyond Security

    BlackBerry CylancePROTECT (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: CylancePROTECT
    URL de função do Kusto: https://aka.ms/Sentinel-cylanceprotect-parser
    Documentação do fornecedor/
    Instruções de instalação
    Guia do Syslog do Cylance
    Com suporte por Microsoft

    Broadcom Symantec Data Loss Prevention (DLP) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: SymantecDLP
    URL de função do Kusto: https://aka.ms/Sentinel-symantecdlp-parser
    Documentação do fornecedor/
    Instruções de instalação
    Configurando o log para uma ação do Servidor Syslog
    Com suporte por Microsoft

    CEF (Formato Comum de Evento) via AMA

    Atributo do conector Description
    Método de ingestão de dados Conexão baseada em Agente do monitor do Azure
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR Standard
    Com suporte por Microsoft

    Ponto de Verificação

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog

    Disponível na solução Check Point
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Exportador de log – exportar o log do Check Point
    Com suporte por Check Point

    Cisco ASA

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog

    Disponível na solução Cisco ASA
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Guia de Configuração da CLI da Cisco ASA Series
    Com suporte por Microsoft

    Cisco Firepower eStreamer (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog

    Configuração extra para Cisco Firepower eStreamer
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Guia de operações do eStreamer eNcore para Sentinel
    Com suporte por Cisco

    Configuração extra para Cisco Firepower eStreamer

    1. Instalar o cliente Firepower eNcore
      Instale e configure o cliente Firepower eNcore eStreamer. Para obter mais informações, consulte o guia de instalação completo da Cisco.

    2. Baixar o Conector Firepower do GitHub
      Baixe a versão mais recente do conector Firepower eNcore para Microsoft Sentinel do Repositório GitHub da Cisco. Caso planeje usar o python3, use o conector python3 eStreamer.

    3. Criar um arquivo pkcs12 usando o Endereço IP do Azure/VM
      Crie um certificado pkcs12 usando o IP público da instância de VM no Firepower, em Sistema > Integração > eStreamer. Para obter mais informações, confira o guia de instalação.

    4. Testar a conectividade entre o Cliente Azure/VM e o FMC
      Copie o arquivo pkcs12 do FMC para a instância do Azure/VM e execute o utilitário de teste (./encore.sh test) para garantir que uma conexão possa ser estabelecida. Para obter mais informações, confira o guia de instalação.

    5. Configurar o eNcore para transmitir dados ao agente
      Configure o eNcore para transmitir dados via TCP para o agente do Log Analytics. Essa configuração deve ser habilitada por padrão, mas portas adicionais e protocolos de streaming podem ser configurados dependendo da postura de segurança de rede. Também é possível salvar os dados no sistema de arquivos. Para obter mais informações, confira Configurar o eNcore.

    Cisco Meraki (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog

    Disponível na solução Cisco ISE
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: CiscoMeraki
    URL de função do Kusto: https://aka.ms/Sentinel-ciscomeraki-parser
    Documentação do fornecedor/
    Instruções de instalação
    Documentação do Meraki Device Reporting
    Com suporte por Microsoft

    Cisco Umbrella (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Disponível na solução Cisco Umbrella
    Tabela(s) do Log Analytics Cisco_Umbrella_dns_CL
    Cisco_Umbrella_proxy_CL
    Cisco_Umbrella_ip_CL
    Cisco_Umbrella_cloudfirewall_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
    Credenciais da API
  • ID da chave de acesso do AWS
  • Chave de acesso secreta do AWS
  • Nome do bucket do AWS S3
  • Documentação do fornecedor/
    Instruções de instalação
  • Registrar em log no Amazon S3
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto Cisco_Umbrella
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-ciscoumbrella-function
    Configurações de aplicativo
  • WorkspaceID
  • WorkspaceKey
  • S3Bucket
  • AWSAccessKeyId
  • AWSSecretAccessKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Cisco UCS (Unified Computing System) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: CiscoUCS
    URL de função do Kusto: https://aka.ms/Sentinel-ciscoucs-function
    Documentação do fornecedor/
    Instruções de instalação
    Configurar o Syslog para o Cisco UCS – Cisco
    Com suporte por Microsoft

    Citrix Analytics (Segurança)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics CitrixAnalytics_SAlerts_CL​
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Conectar Citrix ao Microsoft Sentinel
    Com suporte por Citrix Systems

    Citrix WAF (Web App Firewall) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Para configurar o WAF, confira a WIKI de suporte – Configuração WAF com NetScaler.

    Para configurar logs de CEF, confira Suporte ao log de CEF no firewall do aplicativo.

    Para encaminhar os logs para o proxy, confira Configurar o dispositivo Citrix ADC para log de auditoria.
    Com suporte por Citrix Systems

    Cognni (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics CognniIncidents_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Conectar-se com o Cognni
    1. Acesse a página Integrações do Cognni.
    2. Selecione Conectar na caixa do Microsoft Sentinel.
    3. Cole workspaceId e sharedKey (Chave primária) nos campos da tela de integrações do Cognni.
    4. Selecione o botão Conectar para completar a configuração.
    Com suporte por Cognni

    Monitoramento contínuo de ameaças para SAP (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Disponível somente depois de instalar a solução Monitoramento contínuo de ameaças para SAP
    Tabela(s) do Log Analytics Confira Referência de dados da solução SAP do Microsoft Sentinel
    Documentação do fornecedor/
    Instruções de instalação
    Implantar o monitoramento contínuo de ameaças do SAP
    Com suporte por Microsoft

    Eventos do EPV (Enterprise Password Vault) da CyberArk (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Aplicativos SIEM (Gerenciamento de informações e eventos de segurança)
    Com suporte por CyberArk

    Logs de segurança do Cyberpion (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics CyberpionActionItems_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Obter a assinatura do Cyberpion
    Integrar alertas de segurança do Cyberpion ao Microsoft Sentinel
    Com suporte por Cyberpion

    DNS (Versão Prévia)

    Confira Eventos DNS do Windows por meio do AMA (versão prévia) ou Windows DNS Server (versão prévia).

    Dynamics 365

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API


    Também disponível como parte da solução 4 Dynamics 365 do Microsoft Sentinel
    Pré-requisitos de licença/
    Informações de custo
  • Licença de produção do Microsoft Dynamics 365. Não disponível para ambientes de áreas restritas.
  • Pelo menos um usuário atribuiu uma licença do Microsoft/Office 365 E1 ou superior.
    Podem ser aplicados outros encargos
  • Tabela(s) do Log Analytics Dynamics365Activity
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    ESET Enterprise Inspector (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Criar um usuário de API
    Tabela(s) do Log Analytics ESETEnterpriseInspector_CL​
    Suporte a DCR Sem suporte no momento
    Credenciais da API
  • Nome de usuário de EEI
  • Senha de EEI
  • URL base
  • Documentação do fornecedor/
    Instruções de instalação
  • Documentação da API REST do inspetor do Enterprise ESET
  • Instruções de implantação do conector Implantação de clique simples via modelo do ARM (Azure Resource Manager)
    Com suporte por ESET

    Criar um usuário de API

    1. Faça login no ESET Security Management Center/Console do ESET PROTECT com uma conta de administrador, selecione a guia Mais e a subguia Usuários.
    2. Selecione o botão ADICIONAR NOVO e adicione um usuário nativo.
    3. Crie um novo usuário para a conta de API. Opcional: selecione um Grupo inicial diferente de Todos para limitar quais detecções são ingeridas.
    4. Na guia Conjuntos de permissões, atribua o conjunto de permissões do Revisor do Enterprise Inspector.
    5. Faça logoff da conta de administrador e faça logon no console com as novas credenciais de API para validação e depois faça logoff da conta de API.

    ESET SMC (Security Management Center) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog

    Configurar os logs do ESET SMC a serem coletados
    Configurar o agente do OMS para passar dados do Eset SMC no formato de API
    Alterar a configuração do agente do OMS para capturar a marca oms.api.eset e analisar os dados estruturados
    Desabilitar a configuração automática e reiniciar o agente
    Tabela(s) do Log Analytics eset_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Documentação do servidor Syslog do ESET
    Com suporte por ESET

    Configurar os logs do ESET SMC a serem coletados

    Configurar o rsyslog para aceitar logs do seu endereço IP do Eset SMC.

        sudo -i
        # Set ESET SMC source IP address
        export ESETIP={Enter your IP address}
    
        # Create rsyslog configuration file
        cat > /etc/rsyslog.d/80-remote.conf << EOF
        \$ModLoad imudp
        \$UDPServerRun 514
        \$ModLoad imtcp
        \$InputTCPServerRun 514
        \$AllowedSender TCP, 127.0.0.1, $ESETIP
        \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
        EOF
    
        # Restart rsyslog
        systemctl restart rsyslog
    

    Configurar o agente do OMS para passar dados do Eset SMC no formato de API

    Para reconhecer facilmente os dados do Eset, envie-os por push para uma tabela separada e analise-os no agente para simplificar e acelerar a consulta do Microsoft Sentinel.

    No arquivo /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf, modifique a seção match oms.** para enviar dados como objetos de API alterando o tipo para out_oms_api.

    O item a seguir é um exemplo da seção match oms.** completa:

        <match oms.** docker.**>
          type out_oms_api
          log_level info
          num_threads 5
          run_in_background false
    
          omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
          cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
          key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
    
          buffer_chunk_limit 15m
          buffer_type file
          buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
    
          buffer_queue_limit 10
          buffer_queue_full_action drop_oldest_chunk
          flush_interval 20s
          retry_limit 10
          retry_wait 30s
          max_retry_wait 9m
        </match>
    

    Alterar a configuração do agente do OMS para capturar a marca oms.api.eset e analisar os dados estruturados

    Modificar o arquivo /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf.

    Por exemplo:

        <source>
          type syslog
          port 25224
          bind 127.0.0.1
          protocol_type udp
          tag oms.api.eset
        </source>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format /(?<message>.*?{.*})/
        </filter>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format json
        </filter>
    

    Desabilitar a configuração automática e reiniciar o agente

    Por exemplo:

        # Disable changes to configuration files from Portal
        sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
    
        # Restart agent
        sudo /opt/microsoft/omsagent/bin/service_control restart
    
        # Check agent logs
        tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    

    Configurar o Eset SMC para enviar logs ao conector

    Configure os logs do Eset usando o estilo BSD e o formato JSON.

    • Vá para a configuração do servidor Syslog configurar o Host (seu conector), o Formato BSD e o Transporte TCP
    • Vá para a seção Registrar em log e habilite o JSON

    Para obter mais informações, confira a documentação do Eset.

    Exabeam Advanced Analytics (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: ExabeamEvent
    URL de função do Kusto: https://aka.ms/Sentinel-Exabeam-parser
    Documentação do fornecedor/
    Instruções de instalação
    Configurar notificações de atividade do sistema de análise avançada
    Com suporte por Microsoft

    ExtraHop Reveal(x)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Conector SIEM de detecção de ExtraHop
    Com suporte por ExtraHop

    F5 BIG-IP

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics F5Telemetry_LTM_CL
    F5Telemetry_system_CL
    F5Telemetry_ASM_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Integrar o F5 BIG-IP com o Microsoft Sentinel
    Com suporte por Redes F5

    Redes F5 (ASM)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Configurar o Log de eventos de segurança do aplicativo
    Com suporte por Redes F5

    Forcepoint CASB (Cloud Access Security Broker) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Forcepoint CASB e Microsoft Sentinel
    Com suporte por Forcepoint

    Forcepoint CSG (Cloud Security Gateway) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Forcepoint Cloud Security Gateway e Microsoft Sentinel
    Com suporte por Forcepoint

    Forcepoint DLP (Data Loss Prevention) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics ForcepointDLPEvents_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Forcepoint Data Loss Prevention e Microsoft Sentinel
    Com suporte por Forcepoint

    Forcepoint NGFW (Next Generation Firewall) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Forcepoint Next-Gen Firewall e Microsoft Sentinel
    Com suporte por Forcepoint

    ForgeRock CAUD (Common Audit) para CEF (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Instale isso primeiro! ForgeRock CAUD (Common Audit) para o Microsoft Sentinel
    Com suporte por ForgeRock

    Fortinet

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog

    Enviar logs da Fortinet para o encaminhador de log

    Disponível na solução Fortinet Fortigate
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Biblioteca de documentos da Fortinet
    Escolha sua versão e use os PDFs do Manual e da Referência de mensagem de log.
    Com suporte por Fortinet

    Enviar logs da Fortinet para o encaminhador de log

    Abra a CLI no seu dispositivo Fortinet e execute os seguintes comandos:

    config log syslogd setting
    set status enable
    set format cef
    set port 514
    set server <ip_address_of_Forwarder>
    end
    
    • Substitua o endereço IP do servidor pelo endereço IP do encaminhador de logs.
    • Defina a porta syslog para 514 ou para a porta definida no daemon do Syslog no encaminhador.
    • Para habilitar o CEF nas versões iniciais do FortiOS, talvez seja necessário executar o conjunto de comando desabilitar CSV.

    GitHub (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel

    Disponível somente depois de instalar a solução Monitoramento contínuo de ameaças para GitHub.
    Tabela(s) do Log Analytics GitHubAuditLogPolling_CL
    Suporte a DCR Sem suporte no momento
    Credenciais da API Token de acesso do GitHub
    Instruções de implantação do conector Configuração extra para o GitHub conector
    Com suporte por Microsoft

    Configuração extra para o GitHub conector

    Pré-requisito: você deve ter uma conta corporativa do GitHub e uma organização acessível para se conectar ao GitHub do Microsoft Sentinel.

    1. Instale o Monitoramento contínuo de ameaças para GitHub no workspace do Microsoft Sentinel. Para obter mais informações, confira Descobrir e implantar centralmente soluções e conteúdo pronto para uso do Microsoft Sentinel (versão prévia).

    2. Crie um token de acesso pessoal do GitHub para uso no conector do Microsoft Sentinel. Para obter mais informações, consulte a documentação do GitHub relevante.

    3. Na área Conectores de dados do Microsoft Sentinel, pesquise e localize o conector do GitHub. À direita, selecione a página Abrir página do conector.

    4. Na guia Instruções, na área Configuração, insira os seguintes detalhes:

      • Nome da organização: insira o nome da organização à qual você deseja se conectar.
      • Chave de API: insira o token de acesso pessoal do GitHub que você criou anteriormente neste procedimento.
    5. Selecione Conexão para começar a ingerir seus logs do GitHub para o Microsoft Sentinel.

    Google Workspace (G-Suite) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Configuração extra para a API do Google Reports
    Tabela(s) do Log Analytics GWorkspace_ReportsAPI_admin_CL
    GWorkspace_ReportsAPI_calendar_CL
    GWorkspace_ReportsAPI_drive_CL
    GWorkspace_ReportsAPI_login_CL
    GWorkspace_ReportsAPI_mobile_CL
    GWorkspace_ReportsAPI_token_CL
    GWorkspace_ReportsAPI_user_accounts_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
    Credenciais da API
  • GooglePickleString
  • Documentação do fornecedor/
    Instruções de instalação
  • Documentação da API
  • Obtenha credenciais em Executar a delegação de autoridade em todo o domínio do Google Workspace
  • Converter o arquivo token.pickle na cadeia de caracteres pickle
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto GWorkspaceActivityReports
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
    Configurações de aplicativo
  • GooglePickleString
  • WorkspaceID
  • workspaceKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Configuração extra para a API do Google Reports

    Adicione http://localhost:8081/ em URIs de redirecionamento autorizado ao criar credenciais de aplicativo Web.

    1. Siga as instruções para obter o credentials.json.
    2. Para obter a cadeia de caracteres pickle do Google, execute esse script python (no mesmo caminho do credentials.json).
    3. Copie a saída da cadeia de caracteres pickle entre aspas simples e salve. Ela será necessária para implantar o Aplicativo de funções.

    Illusive AMS (Attack Management System) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Guia do administrador de redes do Illusive
    Com suporte por Illusive Networks

    Imperva WAF Gateway (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog

    Disponível na solução Imperva Cloud WAF
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Etapas para habilitar o registro de alertas do Imperva WAF Gateway ao Microsoft Sentinel
    Com suporte por Imperva

    Infoblox NIOS (Network Identity Operating System) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog

    disponível na solução InfoBlox Threat Defense
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: InfobloxNIOS
    URL de função do Kusto: https://aka.ms/sentinelgithubparsersinfoblox
    Documentação do fornecedor/
    Instruções de instalação
    Guia de implantação do NIOS SNMP e Syslog
    Com suporte por Microsoft

    Juniper SRX (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: JuniperSRX
    URL de função do Kusto: https://aka.ms/Sentinel-junipersrx-parser
    Documentação do fornecedor/
    Instruções de instalação
    Configurar o log de tráfego (logs de política de segurança) para dispositivos de branch do SRX
    Configurar o log do sistema
    Com suporte por Juniper Networks

    Lookout Mobile Threat Defense (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Disponível somente após a instalação da solução Lookout Mobile Threat Defense para o Microsoft Sentinel
    Tabela(s) do Log Analytics Lookout_CL
    Suporte a DCR Sem suporte no momento
    Credenciais da API
  • Chave do aplicativo Lookout
  • Documentação do fornecedor/
    Instruções de instalação
  • Guia de instalação (logon obrigatório)
  • Documentação da API (logon obrigatório)
  • Lookout Mobile Endpoint Security
  • Com suporte por Lookout

    Microsoft 365 Defender

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conectar dados do Microsoft 365 Defender com o Microsoft Sentinel
    (Artigo do conector superior)
    Pré-requisitos de licença/
    Informações de custo
    Licença válida para Microsoft 365 Defender
    Tabela(s) do Log Analytics Alertas:
    SecurityAlert
    SecurityIncident
    Defender para eventos do Ponto de Extremidade:
    DeviceEvents
    DeviceFileEvents
    DeviceImageLoadEvents
    DeviceInfo
    DeviceLogonEvents
    DeviceNetworkEvents
    DeviceNetworkInfo
    DeviceProcessEvents
    DeviceRegistryEvents
    DeviceFileCertificateInfo
    Defender para eventos do Office 365:
    EmailAttachmentInfo
    EmailUrlInfo
    EmailEvents
    EmailPostDeliveryEvents
    Eventos do Defender para Identidade:
    IdentityDirectoryEvents
    IdentityInfo
    IdentityLogonEvents
    IdentityQueryEvents
    Eventos do Defender para Aplicativos de Nuvem:
    CloudAppEvents
    Alertas do Defender como eventos:
    AlertInfo
    AlertEvidence
    Suporte a DCR Sem suporte no momento
    Com suporte por Microsoft

    IRM (Gerenciamento de Risco Interno) do Microsoft Purview (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API


    Também disponível na solução IRM (Gerenciamento de Risco Interno) do Microsoft Purview
    Licença e outros pré-requisitos
    Tabela(s) do Log Analytics SecurityAlert
    Filtro de consulta de dados SecurityAlert
    | where ProductName == "Microsoft Purview Insider Risk Management"
    Com suporte por Microsoft

    Microsoft Defender para Nuvem

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conectar alertas de segurança do Microsoft Defender para Nuvem
    (Artigo do conector superior)
    Tabela(s) do Log Analytics SecurityAlert
    Com suporte por Microsoft

    Microsoft Defender for Cloud Apps

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API


    Para logs do Cloud Discovery, habilite o Microsoft Sentinel como seu SIEM nos Aplicativos Microsoft Defender para Nuvem
    Tabela(s) do Log Analytics SecurityAlert – para alertas
    McasShadowItReporting – para logs do Cloud Discovery
    Com suporte por Microsoft

    Microsoft Defender para ponto de extremidade

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API
    Pré-requisitos de licença/
    Informações de custo
    Validar licença para a implantação do Microsoft Defender para Ponto de Extremidade
    Tabela(s) do Log Analytics SecurityAlert
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Microsoft Defender para Identidade

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API
    Tabela(s) do Log Analytics SecurityAlert
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Microsoft Defender para IoT

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API
    Tabela(s) do Log Analytics SecurityAlert
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Microsoft Defender para Office 365

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API
    Pré-requisitos de licença/
    Informações de custo
    Você deve ter uma licença válida para Office 365 ATP Plan 2
    Tabela(s) do Log Analytics SecurityAlert
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Microsoft Office 365

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API
    Pré-requisitos de licença/
    Informações de custo
    Sua implantação do Office 365 deve estar no mesmo locatário que o seu workspace do Microsoft Sentinel.
    Podem ser aplicados outros encargos.
    Tabela(s) do Log Analytics OfficeActivity
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Microsoft Power BI (Versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API
    Pré-requisitos de licença/
    Informações de custo
    Sua implantação do Office 365 deve estar no mesmo locatário que o seu workspace do Microsoft Sentinel.
    Podem ser aplicados outros encargos.
    Tabela(s) do Log Analytics PowerBIActivity
    Com suporte por Microsoft

    Microsoft Project (Versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões com base em API
    Pré-requisitos de licença/
    Informações de custo
    Sua implantação do Office 365 deve estar no mesmo locatário que o seu workspace do Microsoft Sentinel.
    Podem ser aplicados outros encargos.
    Tabela(s) do Log Analytics ProjectActivity
    Com suporte por Microsoft

    Microsoft Sysmon para Linux (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Syslog, com analisadores ASIM com base em funções do Kusto
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Morphisec UTPP (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: Morphisec
    URL de função do Kusto https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/
    Com suporte por Morphisec

    Netskope (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST
    Tabela(s) do Log Analytics Netskope_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-netskope-functioncode
    Credenciais da API
  • Token da API da Netskope
  • Documentação do fornecedor/
    Instruções de instalação
  • Plataforma Netskope Cloud Security
  • Documentação da API do Netskope
  • Obter um token da API
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto Netskope
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-netskope-parser
    Configurações de aplicativo
  • apikey
  • workspaceID
  • workspaceKey
  • uri (depende da região, segue o esquema: https://<Tenant Name>.goskope.com)
  • timeInterval (definir como 5)
  • logTypes
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    NGINX HTTP Server (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Agente do Log Analytics – logs personalizados
    Tabela(s) do Log Analytics NGINX_CL
    Suporte a DCR Sem suporte no momento
    Alias de função do Kusto: NGINXHTTPServer
    URL de função do Kusto https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/NGINX%20HTTP%20Server/Parsers/NGINXHTTPServer.txt
    Documentação do fornecedor/
    Instruções de instalação
    Module ngx_http_log_module
    Arquivo de exemplo de log personalizado: access.log ou error.log
    Com suporte por Microsoft

    NXLog BSM (Basic Security Module) macOS (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics BSMmacOS_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Guia do Usuário do NXLog Microsoft Sentinel
    Com suporte por NXLog

    NXLog DNS Logs (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics DNS_Logs_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Guia do Usuário do NXLog Microsoft Sentinel
    Com suporte por NXLog

    NXLog LinuxAudit (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics LinuxAudit_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Guia do Usuário do NXLog Microsoft Sentinel
    Com suporte por NXLog

    Okta Single Sign-On (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST
    Tabela(s) do Log Analytics Okta_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/sentineloktaazurefunctioncodev2
    Credenciais da API
  • Token da API
  • Documentação do fornecedor/
    Instruções de instalação
  • Documentação da API de log do sistema Okta
  • Criar um token de API
  • Conexão SSO do Okta para o Microsoft Sentinel
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Configurações de aplicativo
  • apiToken
  • workspaceID
  • workspaceKey
  • uri (segue o esquema https://<OktaDomain>/api/v1/logs?since=. Identifique seu namespace de domínio.)
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Onapsis Platform (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog, com uma função de pesquisa e enriquecimento do Kusto

    Configurar o Onapsis para enviar logs de CEF para o encaminhador de logs
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: incident_lookup
    URL de função do Kusto https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt
    Com suporte por Onapsis

    Configurar o Onapsis para enviar logs de CEF para o encaminhador de logs

    Confira a ajuda do Onapsis no produto para configurar o encaminhamento de logs do agente de Log Analytics.

    1. Vá para Configuração > Integrações terceirizadas > Defender Alarmes e seguir as instruções do Microsoft Sentinel.
    2. Verifique se o Console do Onapsis pode acessar o computador do encaminhador de log onde o agente está instalado. Os logs devem ser enviados para a porta 514 usando o TCP.

    One Identity Safeguard (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Guia de administração do One Identity Safeguard for Privileged Sessions
    Com suporte por One Identity

    Oracle WebLogic Server (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Agente do Log Analytics – logs personalizados
    Tabela(s) do Log Analytics OracleWebLogicServer_CL
    Suporte a DCR Sem suporte no momento
    Alias de função do Kusto: OracleWebLogicServerEvent
    URL de função do Kusto: https://aka.ms/Sentinel-OracleWebLogicServer-parser
    Documentação do fornecedor/
    Instruções de instalação
    Documentação do Oracle WebLogic Server
    Arquivo de exemplo de log personalizado: server.log
    Com suporte por Microsoft

    Orca Security (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics OrcaAlerts_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Integração do Microsoft Sentinel
    Com suporte por Orca Security

    OSSEC (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: OSSECEvent
    URL de função do Kusto: https://aka.ms/Sentinel-OSSEC-parser
    Documentação do fornecedor/
    Instruções de instalação
    Documentação do OSSEC
    Enviar alertas via Syslog
    Com suporte por Microsoft

    Redes Palo Alto

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog

    Também disponível nas soluções Palo Alto PAN-OS e Prisma
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Guias de configuração do CEF (Common Event Format)
    Configurar o monitoramento do Syslog
    Com suporte por Palo Alto Networks

    Perimeter 81 Activity Logs (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics Perimeter81_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Documentação do Perimeter 81
    Com suporte por Perimeter 81

    Proofpoint On Demand (POD) Email Security (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Também disponível na solução Proofpoint POD
    Tabela(s) do Log Analytics ProofpointPOD_message_CL
    ProofpointPOD_maillog_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-proofpointpod-functionapp
    Credenciais da API
  • ProofpointClusterID
  • ProofpointToken
  • Documentação do fornecedor/
    Instruções de instalação
  • Entrar na comunidade do Proofpoint
  • Documentação e instruções da API do Proofpoint
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto ProofpointPOD
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-proofpointpod-parser
    Configurações de aplicativo
  • ProofpointClusterID
  • ProofpointToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Proofpoint TAP (Targeted Attack Protection) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Também disponível na solução Proofpoint TAP
    Tabela(s) do Log Analytics ProofPointTAPClicksPermitted_CL
    ProofPointTAPClicksBlocked_CL
    ProofPointTAPMessagesDelivered_CL
    ProofPointTAPMessagesBlocked_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/sentinelproofpointtapazurefunctioncode
    Credenciais da API
  • Nome de usuário da API
  • Senha da API
  • Documentação do fornecedor/
    Instruções de instalação
  • Documentação da API do SIEM do Proofpoint
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Configurações de aplicativo
  • apiUsername
  • apiUsername
  • uri (definido como https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300)
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Pulse Connect Secure (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: PulseConnectSecure
    URL de função do Kusto: https://aka.ms/sentinelgithubparserspulsesecurevpn
    Documentação do fornecedor/
    Instruções de instalação
    Configurando Syslog
    Com suporte por Microsoft

    Qualys VM KB (KnowledgeBase) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Configuração extra para Qualys VM KB

    Também disponível na solução Qualys VM
    Tabela(s) do Log Analytics QualysKB_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-qualyskb-functioncode
    Credenciais da API
  • Nome de usuário da API
  • Senha da API
  • Documentação do fornecedor/
    Instruções de instalação
  • Guia do usuário da API do QualysVM
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto QualysKB
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-qualyskb-parser
    Configurações de aplicativo
  • apiUsername
  • apiUsername
  • uri (por região; confira lista de servidor de API. Segue o esquema https://<API Server>/api/2.0.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (adicione-o ao final do URI, delimitado por &. Sem espaços.)
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Configuração extra para Qualys VM KB

    1. Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários.
    2. Selecione o menu suspenso Novo e selecione Usuários.
    3. Crie um nome de usuário e uma senha para a conta de API.
    4. Na guia Funções de usuário, verifique se a função da conta está definida como Gerente e que haja permissão de acesso para a GUI e a API
    5. Faça logoff da conta de administrador e faça logon no console com as novas credenciais de API para validação e depois faça logoff da conta de API.
    6. Faça logon novamente no console usando uma conta de administrador e modifique as Funções de Usuário das contas de API, removendo o acesso à GUI.
    7. Salvar todas as alterações.

    Qualys VM (Vulnerability Management) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Configuração extra para Qualys VM
    Implantação manual – depois de configurar o Aplicativo de funções
    Tabela(s) do Log Analytics QualysHostDetection_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/sentinelqualysvmazurefunctioncode
    Credenciais da API
  • Nome de usuário da API
  • Senha da API
  • Documentação do fornecedor/
    Instruções de instalação
  • Guia do usuário da API do QualysVM
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Configurações de aplicativo
  • apiUsername
  • apiUsername
  • uri (por região; confira lista de servidor de API. Segue o esquema https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (adicione-o ao final do URI, delimitado por &. Sem espaços.)
  • timeInterval (defina-o como 5. Se você modificá-lo, altere o gatilho do temporizador do aplicativo de funções de acordo.)
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Configuração extra para Qualys VM

    1. Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários.
    2. Selecione o menu suspenso Novo e selecione Usuários.
    3. Crie um nome de usuário e uma senha para a conta de API.
    4. Na guia Funções de usuário, verifique se a função da conta está definida como Gerente e que haja permissão de acesso para a GUI e a API
    5. Faça logoff da conta de administrador e faça logon no console com as novas credenciais de API para validação e depois faça logoff da conta de API.
    6. Faça logon novamente no console usando uma conta de administrador e modifique as Funções de Usuário das contas de API, removendo o acesso à GUI.
    7. Salvar todas as alterações.

    Implantação manual – depois de configurar o Aplicativo de funções

    Configurar o arquivo host.json

    Devido à grande quantidade em potencial de dados de detecção de host do Qualys que estão sendo ingeridos, é possível que o tempo de execução ultrapasse o tempo limite padrão do Aplicativo de funções de cinco (5) minutos. Aumente a duração do tempo limite padrão para o máximo de dez (10) minutos, no Plano de consumo, para fornecer mais tempo para a execução do Aplicativo de funções.

    1. No Aplicativo de funções, selecione o nome do Aplicativo de funções e selecione a páginaEditor do Serviço de Aplicativo.
    2. Selecione Ir para abrir o editor e, em seguida, selecione o arquivo host.json no diretório wwwroot.
    3. Adicione a linha "functionTimeout": "00:10:00", acima da linha managedDependancy.
    4. Verifique se SALVO aparece no canto superior direito do editor e depois saia do editor.

    Se for necessária uma duração de tempo limite maior, cogite atualizar para um Plano do Serviço de Aplicativo.

    Salesforce Service Cloud (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST
    Tabela(s) do Log Analytics SalesforceServiceCloud_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
    Credenciais da API
  • Nome de usuário da API do Salesforce
  • Senha da API do Salesforce
  • Token de segurança do Salesforce
  • Chave do consumidor do Salesforce
  • Segredo do consumidor do Salesforce
  • Documentação do fornecedor/
    Instruções de instalação
    Guia do desenvolvedor da API REST do Salesforce
    Em Configurar autorização, use o método ID da sessão em vez de OAuth.
    Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto SalesforceServiceCloud
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-SalesforceServiceCloud-parser
    Configurações de aplicativo
  • SalesforceUser
  • SalesforcePass
  • SalesforceSecurityToken
  • SalesforceConsumerKey
  • SalesforceConsumerSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Eventos de segurança por meio do Agente Herdado (Windows)

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas no agente do Log Analytics (herdado)
    Tabela(s) do Log Analytics SecurityEvents
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Para obter mais informações, consulte:

    SentinelOne (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Configuração extra para SentinelOne
    Tabela(s) do Log Analytics SentinelOne_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-SentinelOneAPI-functionapp
    Credenciais da API
  • SentinelOneAPIToken
  • SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net)
  • Documentação do fornecedor/
    Instruções de instalação
  • https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview
  • Ver as instruções abaixo
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto SentinelOne
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-SentinelOneAPI-parser
    Configurações de aplicativo
  • SentinelOneAPIToken
  • SentinelOneUrl
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Configuração extra para SentinelOne

    Siga as instruções para obter as credenciais.

    1. Faça logon no Console de gerenciamento do SentinelOne com credenciais do Usuário administrador.
    2. No Console de gerenciamento, selecione Configurações.
    3. Na exibição CONFIGURAÇÕES, selecione USUÁRIOS
    4. Selecione Novo usuário.
    5. Insira as informações do novo usuário do console.
    6. Na Função, selecione Administrador.
    7. Selecione SALVAR.
    8. Salve as credenciais do novo usuário para usar no conector de dados.

    SonicWall Firewall (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Log > Syslog
    Selecione facility local4 e ArcSight como o formato Syslog.
    Com suporte por SonicWall

    Sophos Cloud Optix (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics SophosCloudOptix_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Integrar com o Microsoft Sentinel, pulando a primeira etapa.
    Exemplos de consulta do Sophos
    Com suporte por Sophos

    Sophos XG Firewall (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: SophosXGFirewall
    URL de função do Kusto: https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Sophos%20XG%20Firewall/Parsers/SophosXGFirewall.txt
    Documentação do fornecedor/
    Instruções de instalação
    Adicionar um servidor Syslog
    Com suporte por Microsoft

    secRMM da Squadra Technologies

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics secRMM_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Guia do administrador do Microsoft Sentinel do secRMM
    Com suporte por Squadra Technologies

    Squid Proxy (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Agente do Log Analytics – logs personalizados
    Tabela(s) do Log Analytics SquidProxy_CL
    Suporte a DCR Sem suporte no momento
    Alias de função do Kusto: SquidProxy
    URL de função do Kusto https://aka.ms/Sentinel-squidproxy-parser
    Arquivo de exemplo de log personalizado: access.log ou cache.log
    Com suporte por Microsoft

    Symantec ICDx (Integrated Cyber Defense Exchange)

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel
    Tabela(s) do Log Analytics SymantecICDx_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Configurar encaminhadores do Microsoft Sentinel (Log Analytics)
    Com suporte por Broadcom Symantec

    Symantec ProxySG (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: SymantecProxySG
    URL de função do Kusto: https://aka.ms/sentinelgithubparserssymantecproxysg
    Documentação do fornecedor/
    Instruções de instalação
    Enviar logs de acesso para um servidor Syslog
    Com suporte por Microsoft

    Symantec VIP (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: SymantecVIP
    URL de função do Kusto: https://aka.ms/sentinelgithubparserssymantecvip
    Documentação do fornecedor/
    Instruções de instalação
    Configurar o Syslog
    Com suporte por Microsoft

    Thycotic Secret Server (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Proteger o registro em log do Syslog/CEF
    Com suporte por Thycotic

    Deep Security da Trend Micro

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: TrendMicroDeepSecurity
    URL de função do Kusto https://aka.ms/TrendMicroDeepSecurityFunction
    Documentação do fornecedor/
    Instruções de instalação
    Encaminhar eventos de Deep Security para um servidor Syslog ou SIEM
    Com suporte por Trend Micro

    Trend Micro TippingPoint (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: TrendMicroTippingPoint
    URL de função do Kusto https://aka.ms/Sentinel-trendmicrotippingpoint-function
    Documentação do fornecedor/
    Instruções de instalação
    Enviar mensagens Syslog no formato ArcSight CEF Format v4.2.
    Com suporte por Trend Micro

    Trend Micro Vision One (XDR) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST
    Tabela(s) do Log Analytics TrendMicro_XDR_CL
    Suporte a DCR Sem suporte no momento
    Credenciais da API
  • Token da API
  • Documentação do fornecedor/
    Instruções de instalação
  • API do Trend Micro Vision One
  • Obter chaves de API para acesso de terceiros
  • Instruções de implantação do conector Implantação de clique simples via modelo do ARM (Azure Resource Manager)
    Com suporte por Trend Micro

    VMware Carbon Black Endpoint Standard (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST
    Tabela(s) do Log Analytics CarbonBlackEvents_CL
    CarbonBlackAuditLogs_CL
    CarbonBlackNotifications_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
    Credenciais da API Nível de acesso da API (para logs de Auditoria e de Eventos):
  • ID da API
  • Chave de API

    Nível de acesso do SIEM (para eventos de Notificação):
  • ID da API do SIEM
  • API principal do SIEM
  • Documentação do fornecedor/
    Instruções de instalação
  • Documentação da API do Carbon Black
  • Criar uma chave de API
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Configurações de aplicativo
  • apiId
  • apiKey
  • WorkspaceID
  • WorkspaceKey
  • uri (por região. Confira a lista de opções. Segue o esquema: https://<API URL>.conferdeploy.net.)
  • timeInterval (definir como 5)
  • SIEMapiId (se em ingestão de eventos de Notificação)
  • SIEMapiKey (se em ingestão de eventos de Notificação)
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    VMware ESXi (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: VMwareESXi
    URL de função do Kusto: https://aka.ms/Sentinel-vmwareesxi-parser
    Documentação do fornecedor/
    Instruções de instalação
    Habilitar o Syslog no ESXi 3.5 e 4.x
    Configurar o Syslog em hosts ESXi
    Com suporte por Microsoft

    WatchGuard Firebox (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados syslog
    Tabela(s) do Log Analytics Syslog
    Suporte a DCR DCR de transformação do workspace
    Alias de função do Kusto: WatchGuardFirebox
    URL de função do Kusto: https://aka.ms/Sentinel-watchguardfirebox-parser
    Documentação do fornecedor/
    Instruções de instalação
    Guia de Integração do Microsoft Sentinel
    Com suporte por Tecnologias WatchGuard

    WireX Network Forensics Platform (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Entre em contato com o suporte da WireX para configurar sua solução NFP para enviar mensagens do Syslog no formato CEF.
    Com suporte por WireX Systems

    Eventos de DNS do Windows por meio do AMA (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexão baseada em Agente do Azure Monitor
    Tabela(s) do Log Analytics DnsEvents
    DnsInventory
    Suporte a DCR DCR Standard
    Com suporte por Microsoft

    Servidor DNS do Windows (Versão prévia)

    Este conector usa o agente herdado. Recomendamos que você use o conector DNS por meio de AMA acima.

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas no agente do Log Analytics (herdado)
    Tabela(s) do Log Analytics DnsEvents
    DnsInventory
    Suporte a DCR DCR de transformação do workspace
    Com suporte por Microsoft

    Solução de problemas do conector de dados do servidor DNS do Windows

    Se os eventos do DNS não aparecerem no Microsoft Sentinel:

    1. Certifique-se de que os logs de análise de DNS em seus servidores estão habilitados.
    2. Vá para a Análise de DNS do Azure.
    3. Na área Configuração, altere qualquer uma das configurações e salve as alterações. Altere as configurações novamente se necessário e salve as alterações novamente.
    4. Verifique sua Análise de DNS do Azure para verificar se os eventos e consultas são exibidos corretamente.

    Para obter mais informações, consulte Coletar insights sobre sua infraestrutura DNS com a solução Análise de DNS versão prévia.

    Eventos Encaminhados do Windows (Versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em agente do Azure Monitor


    Instruções adicionais para implantar o conector de Eventos Encaminhados do Windows
    Pré-requisitos Você deve ter a WEC (Coleção de Eventos do Windows) habilitada e em execução.
    Instale o Agente do Azure Monitor no computador da WEC.
    prefixo de consultas xPath "ForwardedEvents!*"
    Tabela(s) do Log Analytics WindowsEvents
    Suporte a DCR DCR Standard
    Com suporte por Microsoft

    Instruções adicionais para implantar o conector de Eventos Encaminhados do Windows

    É recomendável instalar os analisadores do ASIM (Modelo de Informações de Segurança Avançado) para garantir o suporte completo à normalização de dados. Você pode implantar esses analisadores do Azure-Sentinelrepositório de GitHub usando o botão Implantar no Azure localizado nele.

    Firewall do Windows

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas no agente do Log Analytics (herdado)
    Tabela(s) do Log Analytics WindowsFirewall
    Com suporte por Microsoft

    Eventos de Segurança do Windows via AMA

    Atributo do conector Description
    Método de ingestão de dados Integração de serviço a serviço do Azure:
    Conexões baseadas em agente do Azure Monitor
    prefixo de consultas xPath "Security!*"
    Tabela(s) do Log Analytics SecurityEvents
    Suporte a DCR DCR Standard
    Com suporte por Microsoft

    Consulte também:

    Configurar o conector de Eventos de segurança/Eventos de Segurança do Windows para detecção de logon anômalo de RDP

    Importante

    A detecção de logon de RDP anômala está atualmente na visualização pública. Esse recurso é fornecido sem um Contrato de Nível de Serviço e não é recomendado para cargas de trabalho de produção. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.

    O Microsoft Sentinel pode aplicar o ML (aprendizado de máquina) aos dados de eventos de segurança para identificar a atividade de logon de protocolo RDP anômala. Os cenários incluem:

    • IP incomum: o endereço IP raramente ou nunca foi observado nos últimos 30 dias

    • Localização geográfica incomum: o endereço IP, a cidade, o país e o ASN raramente ou nunca foram observados nos últimos 30 dias

    • Novo usuário: um novo usuário faz logon por meio de um endereço IP e localização geográfica, e não se esperava que ambos ou um deles fosse(m) visto(s) com base nos dados dos 30 dias anteriores.

    Instruções de configuração

    1. Você precisa estar coletando dados de logon de RDP (ID do evento 4624) por meio dos conectores de dados de Eventos de segurança ou Eventos de Segurança do Windows. Verifique se você selecionou um conjunto de eventos além de "Nenhum" ou criou uma regra de coleta de dados que inclui essa ID de evento para transmiti-la para o Microsoft Sentinel.

    2. No portal do Microsoft Sentinel, selecione Análise e, em seguida, selecione a guia Modelos de regra. Escolha a regra Detecção de logon de RDP anômala (versão prévia) e mova o controle deslizante Status para Habilitado.

      Observação

      Como o algoritmo de machine learning exige um valor de dados de 30 dias para criar um perfil de linha de base de comportamento do usuário, você precisa permitir que 30 dias de dados de Eventos de segurança do Windows sejam coletados antes que qualquer incidente possa ser detectado.

    Workplace from Facebook (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST

    Configurar webhooks
    Adicionar a URL de retorno de chamada à configuração do Webhook
    Tabela(s) do Log Analytics Workplace_Facebook_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip
    Credenciais da API
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • Documentação do fornecedor/
    Instruções de instalação
  • Configurar webhooks
  • Configurar permissões
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto Workplace_Facebook
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt
    Configurações de aplicativo
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Configurar webhooks

    1. Faça logon no Workplace com credenciais de Usuário administrador.
    2. No painel do administrador, selecione Integrações.
    3. Na exibição Todas as integrações, selecione Criar integração personalizada.
    4. Insira o nome e a descrição e selecione Criar.
    5. No painel Detalhes da integração, mostre o segredo do aplicativo e copie-o.
    6. No painel Permissões de integração, defina todas as permissões de leitura. Confira a página de permissão para obter detalhes.

    Adicionar a URL de retorno de chamada à configuração do Webhook

    1. Abra a página Aplicativo de funções e vá para a lista Funções, selecione Obter a URL de função e copie-a.
    2. Volte ao Workplace from Facebook. No painel Configurar webhooks, em cada guia, defina a URL de chamada de retorno como a URL de função que você copiou na última etapa e o Token de verificação como o mesmo valor recebido durante a implantação automática ou inserido durante a implantação manual.
    3. Selecione Salvar.

    Zimperium Mobile Thread Defense (versão prévia)

    O conector de dados do Zimperium Mobile Threat Defense conecta o log de ameaças do Zimperium ao Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar a investigação. Esse conector proporciona mais insights sobre o panorama de ameaças móveis da sua organização e aprimora suas funcionalidades de operação de segurança.

    Para obter mais informações, consulte Conectar Zimperium ao Microsoft Sentinel.

    Atributo do conector Description
    Método de ingestão de dados API do coletor de dados do Microsoft Sentinel

    Configurar e conectar o Zimperium MTD
    Tabela(s) do Log Analytics ZimperiumThreatLog_CL
    ZimperiumMitigationLog_CL
    Suporte a DCR Sem suporte no momento
    Documentação do fornecedor/
    Instruções de instalação
    Portal de suporte ao cliente do Zimperium (logon obrigatório)
    Com suporte por Zimperium

    Configurar e conectar o Zimperium MTD

    1. No zConsole, selecione Gerenciar na barra de navegação.
    2. Selecione a guia Integrações.
    3. Selecione o botão Relatório de Ameaças e no botão Adicionar Integrações.
    4. Crie a integração:
      1. Nas integrações disponíveis, selecione Microsoft Sentinel.
      2. Insira a ID do workspace e a chave primária, selecione Avançar.
      3. Preencha um nome para a integração do Microsoft Sentinel.
      4. Selecione um Nível de filtro para os dados de ameaça que você deseja enviar por push ao Microsoft Sentinel.
      5. Selecione Concluir.

    Zoom Reports (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Azure Functions e a API REST
    Tabela(s) do Log Analytics Zoom_CL
    Suporte a DCR Sem suporte no momento
    Código do Aplicativo de Funções do Azure https://aka.ms/Sentinel-ZoomAPI-functionapp
    Credenciais da API
  • ZoomApiKey
  • ZoomApiSecret
  • Documentação do fornecedor/
    Instruções de instalação
  • Obter credenciais usando o JWT com Zoom
  • Instruções de implantação do conector
  • Implantação de clique simples via modelo do ARM (Azure Resource Manager)
  • Implantação manual
  • Alias de função do Kusto Zoom
    URL de função do Kusto/
    Instruções de configuração do analisador
    https://aka.ms/Sentinel-ZoomAPI-parser
    Configurações de aplicativo
  • ZoomApiKey
  • ZoomApiSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Com suporte por Microsoft

    Zscaler

    Atributo do conector Description
    Método de ingestão de dados CEF (Formato Comum de Evento) via Syslog
    Tabela(s) do Log Analytics CommonSecurityLog
    Suporte a DCR DCR de transformação do workspace
    Documentação do fornecedor/
    Instruções de instalação
    Guia de implantação do Zscaler e do Microsoft Sentinel
    Com suporte por Zscaler

    ZPA (Zscaler Private Access) (versão prévia)

    Atributo do conector Description
    Método de ingestão de dados Agente do Log Analytics – logs personalizados

    Configuração extra do Zscaler Private Access
    Tabela(s) do Log Analytics ZPA_CL
    Suporte a DCR Sem suporte no momento
    Alias de função do Kusto: ZPAEvent
    URL de função do Kusto https://aka.ms/Sentinel-zscalerprivateaccess-parser
    Documentação do fornecedor/
    Instruções de instalação
    Documentação do Zscaler Private Access
    Também veja abaixo
    Com suporte por Microsoft

    Configuração extra do Zscaler Private Access

    Siga as etapas de configuração abaixo para obter logs do Zscaler Private Access no Microsoft Sentinel. Para obter mais informações, consulte a Documentação do Azure Monitor. Os logs do Zscaler Private Access são fornecidos por meio do LSS (Serviço de streaming de log). Confira a documentação do LSS para obter informações detalhadas.

    1. Configurar Recebedores de log. Enquanto o Recebedor de log é recebido, escolha JSON como Modelo de log.

    2. Baixar o arquivo de configuração zpa.conf.

      wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
      
    3. Entre no servidor em que você instalou o agente do Log Analytics do Azure.

    4. Copie zpa.conf na pasta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

    5. Edite o zpa.conf da seguinte maneira:

      1. Especifique a porta que você definiu para que os Receptores de log do Zscaler encaminhem os logs (linha 4)
      2. Substitua workspace_id pelo valor real da sua ID do Workspace (linhas 14,15,16,19)
    6. Salve as alterações e reinicie o agente do Azure Log Analytics para serviços Linux com o comando a seguir:

      sudo /opt/microsoft/omsagent/bin/service_control restart
      

    Você encontra o valor da sua ID do workspace na página do conector do ZScaler Private Access ou na página de gerenciamento dos seus agentes de workspace do Log Analytics.

    Próximas etapas

    Para obter mais informações, consulte: