Conectar o Microsoft Sentinel a outros serviços da Microsoft usando conexões baseadas em configurações de diagnóstico
Este artigo descreve como se conectar ao Microsoft Sentinel usando conexões de configurações de diagnóstico. O Microsoft Sentinel usa a base do Azure para fornecer suporte interno de serviço a serviço para ingestão de dados de muitos serviços do Azure e do Microsoft 365, Amazon Web Services e vários serviços do Windows Server. Existem alguns métodos diferentes através dos quais essas conexões são feitas.
Este artigo apresenta informações comuns ao grupo de conectores de dados que usam conexões baseadas em configurações de diagnóstico. Alguns desses tipos de conectores são gerenciados usando a Política do Azure. Para os outros conectores deste tipo, use as instruções autônomas.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Pré-requisitos
Para ingerir dados no Microsoft Sentinel usando um conector autônomo baseado em configurações de diagnóstico, você deve ter permissões de leitura e gravação no espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel.
Para ingerir dados no Microsoft Sentinel usando conectores baseados em configurações de diagnóstico gerenciados pela Política do Azure, você também deve ter os seguintes pré-requisitos:
Para usar a Política do Azure para aplicar uma política de streaming de log aos seus recursos, você deve ter a função Proprietário para o escopo de atribuição de política.
Os seguintes pré-requisitos, dependendo do conector que você está usando:
Conector de dados Licenciamento, custos e outras informações Atividade do Azure Esse conector agora usa o pipeline de configurações de diagnóstico. Se você estiver usando o método herdado, deverá desconectar as assinaturas existentes do método herdado antes de configurar o novo conector do log de atividades do Azure.
1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados. Na lista de conectores, selecione Atividade do Azure e, em seguida, selecione o botão Abrir página do conector no canto inferior direito.
2. Na guia Instruções, na seção Configuração, na etapa 1, revise a lista de suas assinaturas existentes que estão conectadas ao método herdado e desconecte-as todas de uma vez clicando no botão Desconectar tudo abaixo.
3. Continue a configurar o novo conector com as instruções nesta seção.Azure DDoS Protection - Plano de proteção Azure DDoS Standard configurado.
- Rede virtual configurada com o Azure DDoS Standard ativado
- Outros encargos podem ser aplicados
- O Status do Conector de Dados de Proteção contra DDoS do Azure muda para Conectado somente quando os recursos protegidos estão sob um ataque DDoS.Conta de armazenamento do Azure O recurso de conta de armazenamento (pai) tem dentro de si outros recursos (filho) para cada tipo de armazenamento: arquivos, tabelas, filas e blobs.
Ao configurar o diagnóstico para uma conta de armazenamento, você deve selecionar e configurar:
- O recurso da conta pai, exportando a métrica de transação .
- Cada um dos recursos do tipo armazenamento filho, exportando todos os logs e métricas.
Você verá apenas os tipos de armazenamento para os quais realmente definiu recursos.
Ligue-se através de um conector autónomo baseado em definições de diagnóstico
Este procedimento descreve como se conectar ao Microsoft Sentinel usando conectores de dados que usam conexões autônomas com base em configurações de diagnóstico.
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.
Selecione seu tipo de recurso na galeria de conectores de dados e, em seguida, selecione Abrir página do conector no painel de visualização.
Na seção Configuração da página do conector, selecione o link para abrir a página de configuração do recurso.
Se for apresentada uma lista de recursos do tipo desejado, selecione o link para um recurso cujos logs você deseja ingerir.
No menu de navegação de recursos, selecione Configurações de diagnóstico.
Selecione + Adicionar configuração de diagnóstico na parte inferior da lista.
Na tela Configurações de diagnóstico, insira um nome no campo Nome das configurações de diagnóstico.
Marque a caixa de seleção Enviar para o Log Analytics . Dois novos campos são exibidos abaixo dele. Escolha o Espaço de Trabalho de Assinatura e Análise de Log relevante (onde o Microsoft Sentinel reside).
Marque as caixas de seleção dos tipos de logs e métricas que você deseja coletar. Consulte nossas opções recomendadas para cada tipo de recurso na seção do conector do recurso na página Referência de conectores de dados.
Selecione Salvar na parte superior da tela.
Para obter mais informações, consulte também Criar configurações de diagnóstico para enviar logs e métricas da plataforma Azure Monitor para destinos diferentes na documentação do Azure Monitor.
Conectar-se por meio de um conector baseado em configuração de diagnóstico gerenciado pela Política do Azure
Este procedimento descreve como se conectar ao Microsoft Sentinel usando conectores de dados que usam conexões baseadas em configurações de diagnóstico e gerenciadas pela Política do Azure.
Os conectores desse tipo usam a Política do Azure para aplicar uma única configuração de definições de diagnóstico a uma coleção de recursos de um único tipo, definido como um escopo. Você pode ver os tipos de log ingeridos de um determinado tipo de recurso no lado esquerdo da página do conector para esse recurso, em Tipos de dados.
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.
Selecione seu tipo de recurso na galeria de conectores de dados e, em seguida, selecione Abrir página do conector no painel de visualização.
Na seção Configuração da página do conector, expanda os expansores que você vê lá e selecione o botão do assistente Iniciar Atribuição de Política do Azure.
O assistente de atribuição de política é aberto, pronto para criar uma nova política, com um nome de política pré-preenchido.
Na guia Noções básicas, selecione o botão com os três pontos em Escopo para escolher sua assinatura (e, opcionalmente, um grupo de recursos). Você também pode adicionar uma descrição.
No separador Parâmetros:
- Desmarque a caixa de seleção Mostrar apenas parâmetros que exigem entrada .
- Se vir os campos Nome do efeito e Configuração, deixe-os como estão.
- Escolha seu espaço de trabalho do Microsoft Sentinel na lista suspensa do espaço de trabalho do Log Analytics.
- Os campos suspensos restantes representam os tipos de log de diagnóstico disponíveis. Deixe marcado como True todos os tipos de log que você deseja ingerir.
A política será aplicada aos recursos adicionados no futuro. Para aplicar a política também aos recursos existentes, marque a guia Correção e marque a caixa de seleção Criar uma tarefa de correção.
No separador Rever + criar, clique em Criar. Sua política agora é atribuída ao escopo escolhido.
Com esse tipo de conector de dados, os indicadores de status de conectividade (uma faixa colorida na galeria de conectores de dados e ícones de conexão ao lado dos nomes dos tipos de dados) são exibidos como conectados (verde) somente se os dados tiverem sido ingeridos em algum momento nos últimos 14 dias. Uma vez passados 14 dias sem ingestão de dados, o conector aparece como sendo desconectado. No momento em que mais dados aparecem, o status conectado retorna.
Você pode localizar e consultar os dados para cada tipo de recurso usando o nome da tabela que aparece na seção do conector do recurso na página de referência Conectores de dados. Para obter mais informações, consulte Criar configurações de diagnóstico para enviar logs e métricas da plataforma Azure Monitor para destinos diferentes na documentação do Azure Monitor.
Conteúdos relacionados
Para obter mais informações, consulte: