Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo lista todos os conectores de dados suportados e inseridos e ligações para os passos de implementação de cada conector.
Importante
- Tenha em atenção que Microsoft Sentinel conectores de dados estão atualmente em Pré-visualização. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
- Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender. Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retireing Microsoft Sentinel's portal do Azure for greater security (Está na altura de mover: extinguir portal do Azure de Microsoft Sentinel para maior segurança).
Os conectores de dados estão disponíveis como parte das seguintes ofertas:
Soluções: muitos conectores de dados são implementados como parte de Microsoft Sentinel solução juntamente com conteúdos relacionados, como regras de análise, livros e manuais de procedimentos. Para obter mais informações, veja o catálogo de soluções Microsoft Sentinel.
Conectores da comunidade: são fornecidos mais conectores de dados pela comunidade Microsoft Sentinel e podem ser encontrados no Azure Marketplace. A documentação dos conectores de dados da comunidade é da responsabilidade da organização que criou o conector.
Conectores personalizados: se tiver uma origem de dados que não esteja listada ou atualmente suportada, também pode criar o seu próprio conector personalizado. Para obter mais informações, veja Recursos para criar Microsoft Sentinel conectores personalizados.
Nota
Para obter informações sobre a disponibilidade de funcionalidades nas clouds do Governo norte-americano, veja as tabelas de Microsoft Sentinel na disponibilidade de funcionalidades da Cloud para clientes do Governo norte-americano.
Pré-requisitos do conector de dados
Cada conector de dados tem o seu próprio conjunto de pré-requisitos. Os pré-requisitos podem incluir que tem de ter permissões específicas na área de trabalho, subscrição ou política Azure. Em alternativa, tem de cumprir outros requisitos para a origem de dados do parceiro à qual se está a ligar.
Os pré-requisitos para cada conector de dados estão listados na página do conector de dados relevante no Microsoft Sentinel.
Azure conectores de dados baseados no agente do Monitor (AMA) necessitam de uma ligação à Internet a partir do sistema onde o agente está instalado. Ative a saída da porta 443 para permitir uma ligação entre o sistema onde o agente está instalado e Microsoft Sentinel.
Conectores Syslog e Common Event Format (CEF)
A recolha de registos de vários dispositivos e aplicações de segurança é suportada pelos conectores de dados Syslog via AMA ou Common Event Format (CEF) via AMA no Microsoft Sentinel. Para reencaminhar dados para a área de trabalho do Log Analytics para Microsoft Sentinel, conclua os passos em Ingerir mensagens syslog e CEF para Microsoft Sentinel com o Agente do Azure Monitor. Estes passos incluem a instalação da solução Microsoft Sentinel para uma aplicação de segurança ou dispositivo a partir do Hub de conteúdos no Microsoft Sentinel. Em seguida, configure o Syslog através do AMA ou do Common Event Format (CEF) através do conector de dados AMA adequado para a solução de Microsoft Sentinel que instalou. Conclua a configuração ao configurar o dispositivo de segurança ou a aplicação. Encontre instruções para configurar o dispositivo de segurança ou a aplicação num dos seguintes artigos:
- CEF através do conector de dados AMA – Configurar uma aplicação ou dispositivo específico para a ingestão de dados Microsoft Sentinel
- Syslog através do conector de dados AMA – Configurar uma aplicação ou dispositivo específico para Microsoft Sentinel ingestão de dados
Contacte o fornecedor da solução para obter mais informações ou onde as informações não estão disponíveis para a aplicação ou dispositivo.
Registos Personalizados através do conector AMA
Filtre e ingira registos no formato de ficheiro de texto a partir de aplicações de rede ou segurança instaladas em computadores Windows ou Linux utilizando os Registos Personalizados através do conector AMA no Microsoft Sentinel. Para mais informações, consulte os seguintes artigos:
- Recolher registos de ficheiros de texto com o Agente do Azure Monitor e ingerir para Microsoft Sentinel
- Registos Personalizados através do conector de dados AMA – Configurar a ingestão de dados para Microsoft Sentinel a partir de aplicações específicas
Sentinel conectores de dados
Nota
A tabela seguinte lista os conectores de dados que estão disponíveis no hub de conteúdos do Microsoft Sentinel. Os conectores são suportados pelo fornecedor do produto. Para obter suporte, consulte a ligação Suportado por .
Sugestão
Para obter uma lista das tabelas ingeridas no Microsoft Sentinel e nos conectores que as ingerem, consulte Microsoft Sentinel tabelas e conectores associados.
1Password (Sem servidor)
Suportado por:1Password
O conector CCF 1Password permite que o utilizador ingira 1Password Audit, Signin & ItemUtilize eventos em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
OnePasswordEventLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Token da API de 1Password: é necessário um Token de API de Palavra-passe 1. Veja a documentação 1Password sobre como criar um token de API.
1Password (com Funções do Azure)
Suportado por:1Password
A solução 1Password para Microsoft Sentinel permite-lhe ingerir tentativas de início de sessão, utilização de itens e eventos de auditoria da sua conta 1Password Business com a API de Relatórios de Eventos 1Password. Isto permite-lhe monitorizar e investigar eventos no 1Password no Microsoft Sentinel juntamente com as outras aplicações e serviços que a sua organização utiliza.
Tecnologias Subjacentes da Microsoft utilizadas:
Esta solução depende das seguintes tecnologias e algumas das quais podem estar no estado de Pré-visualização ou podem incorrer em ingestão ou custos operacionais adicionais:
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
OnePasswordEventLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- 1 Token de API de Eventos de Palavra-passe: é necessário um Token de API de Eventos de Palavra-passe 1. Para obter mais informações, veja a API 1Password.
Nota: É necessária uma conta 1Password Business
Observabilidade do A365
Suportado por:Microsoft Corporation
O conector de dados de Observabilidade do A365 fornece informações mais avançadas sobre a atividade do agente de IA ao trazer telemetria do agente de IA do A365, AI Foundry e Copilot no data lake do Microsoft Sentinel para investigar o comportamento do agente, a utilização de ferramentas e a execução com fluxos de trabalho de investigação, gráfico e MCP. Os dados deste conector são utilizados para investigar o comportamento do agente de IA, a utilização de ferramentas e a execução no Microsoft Sentinel. Se tiver ativado estes fluxos de trabalho, desativar este conector impedirá que essas investigações sejam realizadas.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|
Suporte de regras de recolha de dados: Não suportado atualmente
AnormalSegurança (com a Função Azure)
Suportado por:Segurança Anormal
O conector de dados de Segurança Anormal fornece a capacidade de ingerir ameaças e registos de casos em Microsoft Sentinel através da API Rest de Segurança Anormal.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
Não | Não |
ABNORMAL_CASES_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token de API de Segurança Anormal: é necessário um Token de API de Segurança Anormal. Para obter mais informações, veja API de Segurança Anormais.
Nota: É necessária uma conta de Segurança Anormal
AIShield
Suportado por:AIShield
O conector AIShield permite que os utilizadores se liguem aos registos do mecanismo de defesa personalizado AIShield com Microsoft Sentinel, permitindo a criação de Dashboards dinâmicos, Livros, Blocos de Notas e Alertas personalizados para melhorar a investigação e impedir ataques a sistemas de IA. Fornece aos utilizadores mais informações sobre a postura de segurança dos recursos de IA da organização e melhora as capacidades de operação de segurança dos sistemas de IA. AIShield.GuArdIan analisa o conteúdo gerado pelo LLM para identificar e mitigar conteúdo prejudicial, salvaguardando contra violações legais, políticas, baseadas em funções e violações baseadas na utilização
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AIShield_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Nota: os utilizadores devem ter utilizado a oferta de SaaS AIShield para realizar a análise de vulnerabilidades e implementar mecanismos de defesa personalizados gerados juntamente com o respetivo recurso de IA.
Clique aqui para saber mais ou entrar em contacto.
Alibaba Cloud ActionTrail (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados Alibaba Cloud ActionTrail fornece a capacidade de obter eventos actiontrail armazenados no Alibaba Cloud Simple Log Service e armazená-los em Microsoft Sentinel através da API REST SLS. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AliCloudActionTrailLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Credenciais/permissões da API REST SLS: AliCloudAccessKeyId e AliCloudAccessKeySecret são necessários para fazer chamadas à API. A declaração de política de RAM com a ação de, pelo menos
log:GetLogStoreLogs, sobre o recursoacs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}é necessária para conceder a um utilizador de RAM as permissões para chamar esta operação.
Alibaba Cloud Networking Data Connector (via Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados alibaba Cloud Networking fornece a capacidade de ingerir dados de rede da Alibaba Cloud em Microsoft Sentinel através da API REST do Simple Log Service (SLS). Veja a documentação da API para obter mais informações. O conector fornece a capacidade de obter Registos de Fluxo de VPC, Registos de WAF e Registos de Gateway de API da Alibaba Cloud.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AlibabaCloudVPCFlowLogs |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Acesso à API do Alibaba Cloud SLS: é necessário acesso ao Alibaba Cloud Simple Log Service para a API SLS.
AliCloud (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados do AliCloud fornece a capacidade de obter registos de aplicações na cloud com a API da Cloud e armazenar eventos em Microsoft Sentinel através da API REST. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AliCloud_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: AliCloudAccessKeyId e AliCloudAccessKey são necessários para fazer chamadas à API.
Amazon Web Services
Suportado por:Microsoft Corporation
As instruções para ligar ao AWS e transmitir em fluxo os registos do CloudTrail para Microsoft Sentinel são apresentadas durante o processo de instalação. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSCloudTrail |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Amazon Web Services CloudFront (via Codeless Connector Framework) (Pré-visualização)
Suportado por:Microsoft Corporation
Este conector de dados permite a integração de registos do AWS CloudFront com Microsoft Sentinel para suportar a deteção avançada de ameaças, investigação e monitorização de segurança. Ao utilizar o Amazon S3 para armazenamento de registos e o Amazon SQS para colocação de mensagens em fila, o conector ingere de forma fiável os registos de acesso do CloudFront no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSCloudFront_AccessLog_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Balanceamento de Carga Elástico do Amazon Web Services (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de Balanceamento de Carga Elástico (ELB) do AWS para Microsoft Sentinel permite-lhe ingerir registos de acesso e registos de fluxo de Balanceadores de Carga de Aplicações (ALB) do AWS, Balanceadores de Carga de Rede (NLB) e Balanceadores de Carga de Gateway (GLB) para Microsoft Sentinel. Estes registos fornecem informações detalhadas sobre os pedidos processados pelos balanceadores de carga e fluxos de tráfego VPC, permitindo a monitorização de segurança, a deteção de ameaças e a análise de tráfego.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSALBAccessLogsData |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- ARN da Função IAM do AWS e Fila sqS: é necessário um ARN da Função IAM do AWS com acesso entre contas e um URL de Fila sqS configurado para notificações de eventos S3. Veja a documentação do conector ELB do AWS para obter instruções de configuração.
Amazon Web Services NetworkFirewall (via Codeless Connector Framework)
Suportado por:Microsoft Corporation
Este conector de dados permite-lhe ingerir registos da Firewall de Rede do AWS no Microsoft Sentinel para deteção avançada de ameaças e monitorização de segurança. Ao tirar partido do Amazon S3 e do Amazon SQS, o conector reencaminha registos de tráfego de rede, alertas de deteção de intrusões e eventos de firewall para Microsoft Sentinel, permitindo a análise e correlação em tempo real com outros dados de segurança
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSNetworkFirewallFlow |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Amazon Web Services S3
Suportado por:Microsoft Corporation
Este conector permite-lhe ingerir registos do serviço AWS, recolhidos em registos do AWS S3, para Microsoft Sentinel. Os tipos de dados atualmente suportados são:
- AWS CloudTrail
- Registos do Fluxo de VPC
- AWS GuardDuty
- AWSCloudWatch
Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSGuardDuty |
Sim | Sim |
AWSVPCFlow |
Sim | Sim |
AWSCloudTrail |
Sim | Sim |
AWSCloudWatch |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Ambiente: tem de ter os seguintes recursos do AWS definidos e configurados: S3, Simple Queue Service (SQS), funções E políticas de permissões do IAM e os serviços do AWS cujos registos pretende recolher.
Amazon Web Services S3 DNS Route53 (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
Este conector permite a ingestão de registos DNS do AWS Route 53 no Microsoft Sentinel para uma maior visibilidade e deteção de ameaças. Suporta registos de consultas DNS Resolver ingeridos diretamente a partir de registos do AWS S3, enquanto os registos de consultas DNS Públicos e os registos de auditoria da Rota 53 podem ser ingeridos com os conectores do AWS CloudWatch e cloudTrail do Microsoft Sentinel. São fornecidas instruções abrangentes para o orientar ao longo da configuração de cada tipo de registo. Tire partido deste conector para monitorizar a atividade DNS, detetar potenciais ameaças e melhorar a sua postura de segurança em ambientes na cloud.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSRoute53Resolver |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Amazon Web Services S3 WAF
Suportado por:Microsoft Corporation
Este conector permite-lhe ingerir registos WAF do AWS, recolhidos em registos do AWS S3, para Microsoft Sentinel. Os registos waf do AWS são registos detalhados do tráfego que as listas de controlo de acesso Web (ACLs) analisam, que são essenciais para manter a segurança e o desempenho das aplicações Web. Estes registos contêm informações como a hora em que a WAF do AWS recebeu o pedido, as especificidades do pedido e a ação tomada pela regra com que o pedido correspondeu.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSWAF |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Anvilogic
Suportado por:Anvilogic
O conector de dados do Anvilogic permite-lhe extrair eventos de interesse gerados no cluster do ADX do Anvilogic para o seu Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Anvilogic_Alerts_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
ID de Cliente e Segredo do Cliente do Registo de Aplicações Anvilogic: para aceder ao ADX Do Anvilogic, precisamos do ID do cliente e do segredo do cliente do registo da aplicação Anvilogic
ARGOS Cloud Security
Suportado pelo:ARGOS Cloud Security
A integração do ARGOS Cloud Security para Microsoft Sentinel permite-lhe ter todos os seus eventos de segurança na cloud importantes num único local. Isto permite-lhe criar facilmente dashboards, alertas e correlacionar eventos em vários sistemas. Globalmente, isto irá melhorar a postura de segurança da sua organização e a resposta a incidentes de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ARGOS_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Atividades de Alertas do Armis (com Funções do Azure)
Suportado por:Armis Corporation
O conector Atividades de Alertas do Armis dá a capacidade de ingerir Alertas e Atividades do Armis em Microsoft Sentinel através da API REST do Armis. Veja a documentação da API: https://<YourArmisInstance>.armis.com/api/v1/docs para obter mais informações. O conector fornece a capacidade de obter informações de alerta e atividade a partir da plataforma Armis e de identificar e priorizar ameaças no seu ambiente. O Armis utiliza a infraestrutura existente para detetar e identificar dispositivos sem ter de implementar agentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Armis_Alerts_CL |
Não | Não |
Armis_Activities_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: a Chave Secreta do Armis é necessária. Veja a documentação para saber mais sobre a API no
https://<YourArmisInstance>.armis.com/api/v1/doc
Dispositivos Armis (com Funções do Azure)
Suportado por:Armis Corporation
O conector do Dispositivo Armis dá a capacidade de ingerir Dispositivos Armis em Microsoft Sentinel através da API REST do Armis. Veja a documentação da API: https://<YourArmisInstance>.armis.com/api/v1/docs para obter mais informações. O conector fornece a capacidade de obter informações do dispositivo a partir da plataforma Armis. O Armis utiliza a infraestrutura existente para detetar e identificar dispositivos sem ter de implementar agentes. O Armis também pode integrar-se nas suas ferramentas de gestão de segurança de ti existentes & para identificar e classificar cada dispositivo, gerido ou não gerido no seu ambiente.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Armis_Devices_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: a Chave Secreta do Armis é necessária. Veja a documentação para saber mais sobre a API no
https://<YourArmisInstance>.armis.com/api/v1/doc
Alertas do Atlassian Beacon
Suportado pela:DEFEND Ltd.
O Atlassian Beacon é um produto da cloud criado para deteção inteligente de ameaças nas plataformas Atlassian (Jira, Confluence e Atlassian Administração). Isto pode ajudar os utilizadores a detetar, investigar e responder a atividades de utilizadores de risco para o conjunto de produtos Atlassian. A solução é um conector de dados personalizado da DEFEND Ltd. que é utilizado para visualizar os alertas ingeridos do Atlassian Beacon para Microsoft Sentinel através de uma Aplicação Lógica.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
atlassian_beacon_alerts_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Auditoria de Confluência Atlassian (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados da Auditoria de Confluência Atlassian fornece a capacidade de ingerir eventos de Registos de Auditoria de Confluência em Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ConfluenceAuditLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Acesso à API atlassian Confluence: é necessária a permissão de Administrar Confluence para obter acesso à API de registos de Auditoria de Confluência. Veja a documentação da API confluence para saber mais sobre a API de auditoria.
Auditoria Atlassian Jira (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados auditoria atlassian Jira fornece a capacidade de ingerir eventos de Registos de Auditoria Jira em Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Jira_Audit_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: JiraAccessToken, JiraUsername é necessário para a API REST. Para obter mais informações, veja API. Verifique todos os requisitos e siga as instruções para obter credenciais.
Auditoria Atlassian Jira (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados auditoria atlassian Jira fornece a capacidade de ingerir eventos de Registos de Auditoria Jira em Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Jira_Audit_v2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Acesso à API Atlassian Jira: é necessária permissão para Administrar Jira para obter acesso à API de registos de Auditoria da Jira. Veja a documentação da API Jira para saber mais sobre a API de auditoria.
Gestão de Acesso do Auth0 (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados do Auth0 Access Management fornece a capacidade de ingerir eventos de registo do Auth0 no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Auth0AM_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: é necessário um token de API . Para obter mais informações, veja Token de API
Registos Auth0 (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados Auth0 permite ingerir registos da API Auth0 para Microsoft Sentinel. O conector de dados baseia-se no Microsoft Sentinel Codeless Connector Framework. Utiliza a API Auth0 para obter registos e suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos numa tabela personalizada para que as consultas não precisem de analisá-la novamente, o que resulta num melhor desempenho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Auth0Logs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
WebCTRL Lógica Automatizada
Suportado por:Microsoft Corporation
Pode transmitir em fluxo os registos de auditoria a partir do servidor SQL WebCTRL alojado em computadores Windows ligados à sua Microsoft Sentinel. Esta ligação permite-lhe ver dashboards, criar alertas personalizados e melhorar a investigação. Isto fornece informações sobre os seus Sistemas de Controlo Industrial que são monitorizados ou controlados pela aplicação WebCTRL BAS.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Event |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Conector de Dados EKS do AWS (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados do AWS EKS fornece a capacidade de ingerir registos de auditoria do Amazon Elastic Kubernetes Service para Microsoft Sentinel. Este conector centra-se nos registos de auditoria do EKS (formato JSON) que contêm informações detalhadas sobre pedidos do servidor de API, decisões de autenticação e atividades de cluster. O conector utiliza o SQS do AWS para receber notificações quando novos ficheiros de registo de auditoria são exportados para S3, garantindo monitorização de segurança em tempo real e controlo de conformidade para os clusters do Kubernetes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSEKSLogs_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Registos de Acesso do Servidor AWS S3 (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
Este conector permite-lhe ingerir Registos de Acesso do Servidor AWS S3 no Microsoft Sentinel. Estes registos contêm registos detalhados para pedidos feitos a registos S3, incluindo o tipo de pedido, acesso a recursos, informações do requerente e detalhes de resposta. Estes registos são úteis para analisar padrões de acesso, depurar problemas e garantir a conformidade de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSS3ServerAccess |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Ambiente: tem de ter os seguintes recursos do AWS definidos e configurados: Registo S3, Serviço de Fila Simples (SQS), funções de IAM e políticas de permissões.
Resultados do Hub de Segurança do AWS (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
Este conector permite a ingestão de Resultados do Hub de Segurança do AWS, que são recolhidos em registos do AWS S3, em Microsoft Sentinel. Ajuda a simplificar o processo de monitorização e gestão de alertas de segurança ao integrar os Resultados do Hub de Segurança do AWS com as capacidades avançadas de deteção e resposta de ameaças do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AWSSecurityHubFindings |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Ambiente: tem de ter os seguintes recursos do AWS definidos e configurados: Hub de Segurança do AWS, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), funções E políticas de permissões de IAM.
Atividade Azure
Suportado por:Microsoft Corporation
Azure Registo de Atividades é um registo de subscrição que fornece informações sobre eventos ao nível da subscrição que ocorrem no Azure, incluindo eventos de Azure Resource Manager dados operacionais, eventos de estado de funcionamento do serviço, operações de escrita realizadas nos recursos na sua subscrição e o estado das atividades realizadas no Azure. Para obter mais informações, veja a documentação do Microsoft Sentinel .
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureActivity |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Conta Azure Batch
Suportado por:Microsoft Corporation
Azure Batch Conta é uma entidade identificada exclusivamente no serviço Batch. A maioria das soluções do Batch utiliza o Armazenamento Azure para armazenar ficheiros de recursos e ficheiros de saída, pelo que cada conta do Batch está normalmente associada a uma conta de armazenamento correspondente. Este conector permite-lhe transmitir em fluxo os registos de diagnóstico da conta Azure Batch para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada âmbito de atribuição de política
Azure CloudNGFW by Palo Alto Networks
Suportado por:Palo Alto Networks
A Firewall de Próxima Geração da Cloud da Palo Alto Networks - um serviço ISV nativo Azure - é a Firewall de Próxima Geração (NGFW) da Palo Alto Networks fornecida como um serviço nativo da cloud no Azure. Pode detetar o Cloud NGFW no Azure Marketplace e consumê-lo nas Redes Virtuais (VNet) Azure. Com a NGFW da Cloud, pode aceder às principais capacidades da NGFW, tais como O ID da Aplicação, tecnologias baseadas na filtragem de URL. Fornece prevenção e deteção de ameaças através de serviços de segurança fornecidos na cloud e assinaturas de prevenção de ameaças. O conector permite-lhe ligar facilmente os registos da NGFW da Cloud com Microsoft Sentinel, ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança. Para obter mais informações, veja a documentação do Cloud NGFW para Azure.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
fluentbit_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Azure Cognitive Search
Suportado por:Microsoft Corporation
Azure Cognitive Search é um serviço de pesquisa na cloud que fornece aos programadores infraestruturas, APIs e ferramentas para criar uma experiência de pesquisa avançada em conteúdos privados e heterogéneos em aplicações Web, móveis e empresariais. Este conector permite-lhe transmitir em fluxo os seus Azure Cognitive Search registos de diagnóstico para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada âmbito de atribuição de política
Azure DDoS Protection
Suportado por:Microsoft Corporation
Ligue-se aos registos Azure DDoS Protection Standard através dos Registos de Diagnóstico de Endereços IP Públicos. Além da proteção DDoS principal na plataforma, o Azure DDoS Protection Standard fornece capacidades avançadas de mitigação de DDoS contra ataques de rede. É automaticamente otimizado para proteger os seus recursos Azure específicos. A proteção é simples de ativar durante a criação de novas redes virtuais. Também pode ser feito após a criação e não requer alterações de aplicação ou de recursos. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Azure Registos de Auditoria do DevOps (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados dos Registos de Auditoria do Azure DevOps permite-lhe ingerir eventos de auditoria do Azure DevOps para Microsoft Sentinel. Este conector de dados é criado com o Microsoft Sentinel Codeless Connector Framework, garantindo uma integração totalmente integrada. Tira partido da API de Registos de Auditoria do Azure DevOps para obter eventos de auditoria detalhados e suporta transformações de tempo de ingestão baseadas em DCR. Estas transformações permitem analisar os dados de auditoria recebidos numa tabela personalizada durante a ingestão, melhorando o desempenho das consultas ao eliminar a necessidade de análise adicional. Ao utilizar este conector, pode obter visibilidade melhorada para o seu ambiente Azure DevOps e simplificar as operações de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ADOAuditLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Azure Pré-requisito do DevOps: certifique-se do seguinte:
1. Registe uma Aplicação Entra no Centro de Microsoft Entra Administração em Registos de Aplicações.
2. Em "Permissões de API" - adicione Permissões a "Azure DevOps - vso.auditlog".
3. Em "Certificados & segredos" - gere "Segredo do cliente".
4. Em "Autenticação" - adicione o URI de Redirecionamento encontrado abaixo no campo correspondente.
5. Nas definições do Azure DevOps , ative o registo de auditoria e defina Ver registo de auditoria para o utilizador. Azure Auditoria de DevOps.
6. Certifique-se de que o utilizador atribuído para ligar o conector de dados tem a permissão Ver registos de auditoria explicitamente definida como Permitir em todos os momentos. Esta permissão é essencial para a ingestão de registos com êxito. Se a permissão for revogada ou não for concedida, a ingestão de dados falhará ou será interrompida.
Hub de Eventos do Azure
Suportado por:Microsoft Corporation
Hubs de Eventos do Azure é uma plataforma de transmissão em fluxo de macrodados e um serviço de ingestão de eventos. Pode receber e processar milhões de eventos por segundo. Este conector permite-lhe transmitir em fluxo os registos de diagnóstico do Hub de Eventos Azure para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada âmbito de atribuição de política
Azure Firewall
Suportado por:Microsoft Corporation
Ligue-se a Azure Firewall. Azure Firewall é um serviço de segurança de rede gerido e baseado na cloud que protege os seus recursos de Azure Rede Virtual. É uma firewall totalmente com monitorização de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
AZFWApplicationRule |
Sim | Sim |
AZFWFlowTrace |
Sim | Sim |
AZFWFatFlow |
Sim | Sim |
AZFWNatRule |
Sim | Sim |
AZFWDnsQuery |
Sim | Sim |
AZFWIdpsSignature |
Sim | Sim |
AZFWInternalFqdnResolutionFailure |
Sim | Sim |
AZFWNetworkRule |
Sim | Sim |
AZFWThreatIntel |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Azure Key Vault
Suportado por:Microsoft Corporation
Azure Key Vault é um serviço cloud para armazenar e aceder a segredos de forma segura. Um segredo é tudo aquilo a que pretende controlar rigorosamente o acesso, como chaves de API, palavras-passe, certificados ou chaves criptográficas. Este conector permite-lhe transmitir em fluxo os seus Azure Key Vault registos de diagnóstico para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade em todas as suas instâncias. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Azure Kubernetes Service (AKS)
Suportado por:Microsoft Corporation
Azure Kubernetes Service (AKS) é um serviço de orquestração de contentores de código aberto e totalmente gerido que lhe permite implementar, dimensionar e gerir contentores do Docker e aplicações baseadas em contentores num ambiente de cluster. Este conector permite-lhe transmitir em fluxo os registos de diagnóstico do Azure Kubernetes Service (AKS) para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade em todas as suas instâncias. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Azure Logic Apps
Suportado por:Microsoft Corporation
Azure Logic Apps é uma plataforma baseada na cloud para criar e executar fluxos de trabalho automatizados que integram as suas aplicações, dados, serviços e sistemas. Este conector permite-lhe transmitir em fluxo os seus Azure os diagnósticos do Logic Apps iniciam sessão no Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada âmbito de atribuição de política
Azure Resource Graph
Suportado por:Microsoft Corporation
Azure Resource Graph conector fornece informações mais detalhadas sobre Azure eventos ao complementar detalhes sobre Azure subscrições e recursos Azure.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Política: permissão de função de proprietário em subscrições Azure
Azure Service Bus
Suportado por:Microsoft Corporation
Azure Service Bus é um mediador de mensagens empresariais totalmente gerido com filas de mensagens e tópicos de publicação-subscrição (num espaço de nomes). Este conector permite-lhe transmitir em fluxo os seus Azure Service Bus registos de diagnóstico para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada âmbito de atribuição de política
Bases de Dados SQL do Azure
Suportado por:Microsoft Corporation
SQL do Azure é um motor de base de dados PaaS (Plataforma como Serviço) totalmente gerido que processa a maioria das funções de gestão de bases de dados, como atualização, aplicação de patches, cópias de segurança e monitorização, sem necessidade de envolvimento do utilizador. Este conector permite-lhe transmitir em fluxo os registos de diagnóstico e auditoria das bases de dados SQL do Azure para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade em todas as suas instâncias.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Conta de Armazenamento do Azure
Suportado por:Microsoft Corporation
Azure Conta de armazenamento é uma solução na cloud para cenários de armazenamento de dados modernos. Contém todos os objetos de dados: blobs, ficheiros, filas, tabelas e discos. Este conector permite-lhe transmitir em fluxo Azure os diagnósticos das contas de Armazenamento iniciam sessão na área de trabalho do Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade em todas as suas instâncias e detetar atividades maliciosas na sua organização. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureMetrics |
Não | Não |
StorageBlobLogs |
Sim | Sim |
StorageQueueLogs |
Sim | Sim |
StorageTableLogs |
Sim | Sim |
StorageFileLogs |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada âmbito de atribuição de política
Azure Stream Analytics
Suportado por:Microsoft Corporation
Azure Stream Analytics é um motor complexo de análise e processamento de eventos em tempo real concebido para analisar e processar elevados volumes de dados de transmissão em fluxo rápidos a partir de múltiplas origens em simultâneo. Este conector permite-lhe transmitir em fluxo os registos de diagnóstico do hub do Azure Stream Analytics para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Política: Função de proprietário atribuída para cada âmbito de atribuição de política
Azure Firewall de Aplicações Web (WAF)
Suportado por:Microsoft Corporation
Ligue-se ao Azure Firewall de Aplicações Web (WAF) para Gateway de Aplicação, Front Door ou CDN. Esta WAF protege as suas aplicações de vulnerabilidades Web comuns, como injeção de SQL e scripting entre sites, e permite-lhe personalizar regras para reduzir falsos positivos. As instruções para transmitir em fluxo os registos da firewall de aplicações Web da Microsoft para Microsoft Sentinel são apresentadas durante o processo de instalação. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
BETTER Mobile Threat Defense (MTD)
Suportado por:Better Mobile Security Inc.
O Better MTD Connector permite que as Empresas liguem as instâncias do Better MTD ao Microsoft Sentinel, vejam os respetivos dados em Dashboards, criem alertas personalizados, utilizem-no para acionar manuais de procedimentos e expandem as capacidades de investigação de ameaças. Isto dá aos utilizadores mais informações sobre os dispositivos móveis da sua organização e a capacidade de analisar rapidamente a atual postura de segurança móvel, o que melhora as capacidades gerais do SecOps.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
BetterMTDIncidentLog_CL |
Não | Não |
BetterMTDDeviceLog_CL |
Não | Não |
BetterMTDNetflowLog_CL |
Não | Não |
BetterMTDAppLog_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
BeyondTrust PM Cloud
Suportado por:BeyondTrust
O conector de dados beyondTrust Privilege Management Cloud fornece a capacidade de ingerir registos de auditoria de atividades e registos de eventos de cliente da Cloud pm BeyondTrust para Microsoft Sentinel.
Este conector utiliza Funções do Azure para extrair dados da API de Nuvem do PM BeyondTrust e ingeri-lo em tabelas personalizadas do Log Analytics.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
Sim | Sim |
BeyondTrustPM_ClientEvents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
BeyondTrust PM Cloud API credentials: BeyondTrust PM Cloud OAuth Client ID and Client Secret are required . A conta de API requer as seguintes permissões: Auditoria – Só de Leitura e Relatórios – Só de Leitura
Conector de DSPM BigID
Suportado por:BigID
O conector de dados bigID DSPM fornece a capacidade de ingerir casos de DSPM BigID com objetos afetados e informações de origem de dados em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
BigIDDSPMCatalog_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Acesso à API bigID DSPM: é necessário o acesso à API de DSPM BigID através de um Token BigID.
Bitglass (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados Bitglass fornece a capacidade de obter registos de eventos de segurança dos serviços Bitglass e mais eventos para Microsoft Sentinel através da API REST. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
BitglassLogs_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: BitglassToken e BitglassServiceURL são necessários para fazer chamadas à API.
Registos de Eventos Bitwarden
Suportado por:Bitwarden Inc
Este conector fornece informações sobre a atividade da sua organização Bitwarden, como a atividade do utilizador (com sessão iniciada, palavra-passe alterada, 2fa, etc.), atividade de cifras (criada, atualizada, eliminada, partilhada, etc.), atividade de coleção, atividade da organização e muito mais.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
BitwardenEventLogs |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Bitwarden ID de Cliente e Segredo do Cliente: a chave de API pode ser encontrada na consola de administração da organização Bitwarden. Veja a documentação do Bitwarden para obter mais informações.
Caixa (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados do Box fornece a capacidade de ingerir os eventos do Box Enterprise no Microsoft Sentinel através da API REST do Box. Veja a documentação do Box para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
BoxEvents_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais da API do Box: o ficheiro JSON de configuração de caixa é necessário para a autenticação JWT da API REST do Box. Para obter mais informações, veja Autenticação JWT.
Eventos do Box (CCF)
Suportado por:Microsoft Corporation
O conector de dados do Box fornece a capacidade de ingerir os eventos do Box Enterprise no Microsoft Sentinel através da API REST do Box. Veja a documentação do Box para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
BoxEventsV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Credenciais da API do Box: a API do Box requer um ID de cliente do Box App e um segredo do cliente para autenticar. Para obter mais informações, veja Concessão de Credenciais de Cliente
-
Box Enterprise ID: o ID do Box Enterprise é necessário para efetuar a ligação. Veja a documentação para encontrar o ID empresarial
Conector CNAPP do Check Point CloudGuard para Microsoft Sentinel
Suportado por:Check Point
O conector de dados do CloudGuard permite a ingestão de eventos de segurança da API do CloudGuard para Microsoft Sentinel ™, através da Arquitetura de Conector Sem Código do Microsoft Sentinel. O conector suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de eventos de segurança recebidos em colunas personalizadas. Este processo de pré-análise elimina a necessidade de análise do tempo de consulta, o que resulta num melhor desempenho das consultas de dados.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CloudGuard_SecurityEvents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Chave de API do CloudGuard: veja as instruções fornecidas aqui para gerar uma chave de API.
Check Point Conector de Alertas Cyberint (através do Codeless Connector Framework)
Suportado por:Cyberint
A Cyberint, uma empresa Check Point, fornece uma integração Microsoft Sentinel para simplificar alertas críticos e trazer informações sobre ameaças melhoradas da solução Infinity External Risk Management para Microsoft Sentinel. Isto simplifica o processo de controlo do estado das permissões com atualizações de sincronização automáticas em todos os sistemas. Com esta nova integração para Microsoft Sentinel, os clientes cyberint e Microsoft Sentinel existentes podem facilmente extrair registos com base nas descobertas da Cyberint para Microsoft Sentinel plataforma.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
argsentdc_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Check Point a Chave de API Cyberint, o URL do Argos e o Nome do Cliente: a chave de API do conector, o URL do Argos e o Nome do Cliente são necessários
Conector Check Point Cyberint IOC
Suportado por:Cyberint
Este é o conector de dados para Check Point Cyberint IOC.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
iocsent_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Check Point a Chave de API Cyberint e o URL do Argos: a chave de API do conector e o URL do Argos são necessários
Cisco ASA/FTD via AMA
Suportado por:Microsoft Corporation
O conector de firewall do Cisco ASA permite-lhe ligar facilmente os registos do Cisco ASA ao Microsoft Sentinel, ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommonSecurityLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Para recolher dados de VMs não Azure, têm de ter Azure Arc instalado e ativado.
Saiba mais
Cisco Cloud Security (com Funções do Azure)
Suportado por:Microsoft Corporation
A solução Cisco Cloud Security para Microsoft Sentinel permite-lhe ingerir os registosCisco Secure Access e Cisco Umbrella armazenados no Amazon S3 em Microsoft Sentinel com a API REST do Amazon S3. Veja a documentação de gestão de registos do Cisco Cloud Security para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Cisco_Umbrella_dns_CL |
Sim | Sim |
Cisco_Umbrella_proxy_CL |
Sim | Sim |
Cisco_Umbrella_ip_CL |
Sim | Sim |
Cisco_Umbrella_cloudfirewall_CL |
Sim | Sim |
Cisco_Umbrella_firewall_CL |
Sim | Sim |
Cisco_Umbrella_dlp_CL |
Não | Não |
Cisco_Umbrella_ravpnlogs_CL |
Não | Não |
Cisco_Umbrella_audit_CL |
Não | Não |
Cisco_Umbrella_ztna_CL |
Não | Não |
Cisco_Umbrella_intrusion_CL |
Não | Não |
Cisco_Umbrella_ztaflow_CL |
Não | Não |
Cisco_Umbrella_fileevent_CL |
Não | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST do Amazon S3: ID da Chave de Acesso do AWS, Chave de Acesso Secreta do AWS, Nome do Registo do AWS S3 são necessários para a API REST do Amazon S3.
Cisco Cloud Security (com o plano premium elástico) (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados Cisco Umbrella fornece a capacidade de ingerir eventos Cisco Umbrella armazenados no Amazon S3 em Microsoft Sentinel através da API REST do Amazon S3. Veja a documentação de gestão de registos da Cisco Umbrella para obter mais informações.
NOTA: Este conector de dados utiliza o plano Funções do Azure Premium para ativar capacidades de ingestão seguras e irá incorrer em custos adicionais. Estão disponíveis mais detalhes sobre preços.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Cisco_Umbrella_dns_CL |
Sim | Sim |
Cisco_Umbrella_proxy_CL |
Sim | Sim |
Cisco_Umbrella_ip_CL |
Sim | Sim |
Cisco_Umbrella_cloudfirewall_CL |
Sim | Sim |
Cisco_Umbrella_firewall_CL |
Sim | Sim |
Cisco_Umbrella_dlp_CL |
Não | Não |
Cisco_Umbrella_ravpnlogs_CL |
Não | Não |
Cisco_Umbrella_audit_CL |
Não | Não |
Cisco_Umbrella_ztna_CL |
Não | Não |
Cisco_Umbrella_intrusion_CL |
Não | Não |
Cisco_Umbrella_ztaflow_CL |
Não | Não |
Cisco_Umbrella_fileevent_CL |
Não | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Credenciais/permissões da API REST do Amazon S3: ID da Chave de Acesso do AWS, Chave de Acesso Secreta do AWS, Nome do Registo do AWS S3 são necessários para a API REST do Amazon S3.
-
Rede Virtual permissões (para acesso privado): para acesso à conta de armazenamento privado, são necessárias permissões de Contribuidor de Rede no Rede Virtual e na sub-rede. A sub-rede tem de ser delegada a Microsoft.Web/serverFarms para a integração da VNet da Aplicação de Funções.
Cisco Duo Security (com Funções do Azure)
Suportado por:Cisco Systems
O conector de dados do Cisco Duo Security fornece a capacidade de ingerir registos de autenticação, registos de administrador, registosde telefonia, registos de inscrição offline e eventos do Monitor de Confiança em Microsoft Sentinel através da API Administração Cisco Duo. Veja a documentação da API para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CiscoDuo_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais da API cisco Duo: as credenciais da API cisco Duo com permissão Conceder registo de leitura são necessárias para a API Cisco Duo. Veja a documentação para saber mais sobre a criação de credenciais da API cisco Duo.
Cisco ETD (com Funções do Azure)
Suportado por:N/D
O conector obtém dados da API ETD para análise de ameaças
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CiscoETD_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Email API de Defesa Contra Ameaças, chave de API, ID de Cliente e Segredo: certifique-se de que tem a chave de API, o ID de Cliente e a Chave secreta.
Cisco Meraki (com a API REST)
Suportado por:Microsoft Corporation
O conector Cisco Meraki permite-lhe ligar facilmente os seus eventos da organização Cisco Meraki (Eventos de segurança, Alterações de Configuração e Pedidos de API) a Microsoft Sentinel. O conector de dados utiliza a API REST Cisco Meraki para obter registos e suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados recebidos e ingerem em ASIM e tabelas personalizadas na área de trabalho do Log Analytics. Este conector de dados beneficia de capacidades como a filtragem do tempo de ingestão baseada em DCR, a normalização de dados.
Esquema ASIM suportado:
- Sessão de Rede
- Sessão Web
- Evento de Auditoria
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ASimNetworkSessionLogs |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Chave de API REST Cisco Meraki: ative o acesso à API no Cisco Meraki e gere a Chave de API. Veja a documentação oficial da Cisco Meraki para obter mais informações.
-
Cisco Meraki Organization Id: obtenha o seu ID de organização Cisco Meraki para obter eventos de segurança. Siga os passos na documentação para obter o ID da Organização com a Chave de API Meraki obtida no passo anterior.
Cisco Secure Endpoint (via Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados Cisco Secure Endpoint (anteriormente AMP para Pontos Finais) fornece a capacidade de ingerir eventos e registos de auditoria do Cisco Secure Endpoint em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
Sim | Sim |
CiscoSecureEndpointEventsV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Credenciais/Regiões da API de Ponto Final Seguro do Cisco: para criar Credenciais de API e compreender as regiões, siga a ligação de documento fornecida aqui.
Clique aqui.
WAN Definida pelo Software Cisco
Suportado por:Cisco Systems
O conector de dados CISCO Software Defined WAN (SD-WAN) fornece a capacidade de ingerir dados cisco SD-WAN Syslog e Netflow em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Syslog |
Sim | Sim |
CiscoSDWANNetflow_CL |
Não | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Claroty xDome
Suportado por:xDome Suporte ao Cliente
Claroty xDome fornece capacidades abrangentes de gestão de alertas e segurança para ambientes de redes industriais e de cuidados de saúde. Foi concebido para mapear vários tipos de origem, identificar os dados recolhidos e integrá-los em modelos de dados Microsoft Sentinel. Isto resulta na capacidade de monitorizar todas as potenciais ameaças nos seus ambientes de saúde e industriais num único local, levando a uma monitorização de segurança mais eficaz e a uma postura de segurança mais forte.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommonSecurityLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Cloudflare (Pré-visualização) (com Funções do Azure)
Suportado por:Cloudflare
O conector de dados do Cloudflare fornece a capacidade de ingerir registos do Cloudflare no Microsoft Sentinel com o Cloudflare Logpush e o Armazenamento de Blobs do Azure. Veja a documentação do Cloudflare para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Cloudflare_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Armazenamento de Blobs do Azure cadeia de ligação e nome do contentor: Armazenamento de Blobs do Azure cadeia de ligação e o nome do contentor para onde os registos são emitidos pelo Cloudflare Logpush. Para obter mais informações, veja Criar Armazenamento de Blobs do Azure contentor.
Cloudflare (Utilizar o Contentor de Blobs) (através do Codeless Connector Framework)
Suportado por:Cloudflare
O conector de dados do Cloudflare fornece a capacidade de ingerir registos do Cloudflare no Microsoft Sentinel com o Cloudflare Logpush e o Armazenamento de Blobs do Azure. Veja a documentação do Cloudflarepara obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CloudflareV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Criar uma conta de armazenamento e um contentor: antes de configurar o logpush no Cloudflare, crie primeiro uma conta de armazenamento e um contentor no Microsoft Azure. Utilize este guia para saber mais sobre o Contentor e o Blob. Siga os passos na documentação para criar uma conta de Armazenamento Azure.
- Gerar um URL de SAS de Blob: são necessárias permissões de Criação e Escrita. Veja a documentação para saber mais sobre o token e o URL de SAS do Blob.
-
Recolher registos do Cloudflare para o contentor de Blobs: siga os passos na documentação para recolher registos do Cloudflare para o contentor de Blobs.
Cognni
Suportado por:Cognni
O conector Cognni oferece uma integração rápida e simples com Microsoft Sentinel. Pode utilizar a Cognni para mapear de forma autónoma as suas informações importantes não classificadas anteriormente e detetar incidentes relacionados. Isto permite-lhe reconhecer riscos para as suas informações importantes, compreender a gravidade dos incidentes e investigar os detalhes necessários para remediar, com rapidez suficiente para fazer a diferença.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CognniIncidents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Coesão (com Funções do Azure)
Suportado por:Coesão
As aplicações de funções Coesa fornecem a capacidade de ingerir alertas de ransomware Cohesity Datahawk em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Cohesity_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Armazenamento de Blobs do Azure cadeia de ligação e nome do contentor: Armazenamento de Blobs do Azure cadeia de ligação e nome do contentor
CommvaultSecurityIQ
Suportado por:Commvault
Esta Função Azure permite que os utilizadores do Commvault ingeram alertas/eventos na respetiva instância Microsoft Sentinel. Com as Regras de Análise, Microsoft Sentinel podem criar automaticamente Microsoft Sentinel incidentes a partir de eventos e registos recebidos.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommvaultAlerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- URL do Ponto Final do Ambiente do Commvault: siga a documentação e defina o valor do segredo no KeyVault
-
Token QSDK do Commvault: siga a documentação e defina o valor do segredo no KeyVault
ContrastADR
Suportada por:Contrast Security
O conector de dados ContrastADR fornece a capacidade de ingerir eventos de ataque do ADR de Contraste em Microsoft Sentinel através do Webhook ContrastADR. O conector de dados ContrastADR pode enriquecer os dados de webhook recebidos com chamadas de melhoramento da API ContrastADR.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ContrastADR_CL |
Não | Não |
ContrastADRIncident_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
Exportador de Conectores do Corelight
Suportado por:Corelight
O conector de dados do Corelight permite que os socorristas de incidentes e caçadores de ameaças que utilizam Microsoft Sentinel trabalhem de forma mais rápida e eficaz. O conector de dados permite a ingestão de eventos do Zeek e do Suricata através dos Sensores do Corelight para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Corelight |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Cortex XDR - Incidentes
Suportado pela:DEFEND Ltd.
Conector de Dados Personalizados da DEFEND para utilizar a API Cortex para ingerir incidentes da plataforma Cortex XDR para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CortexXDR_Incidents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Credenciais da API Cortex: o Token da API Cortex é necessário para a API REST. Para obter mais informações, veja API. Verifique todos os requisitos e siga as instruções para obter credenciais.
Cribl
Suportado por:Cribl
O conector de Cribl permite-lhe ligar facilmente os registos de Cribl (Cribl Enterprise Edition - Autónomo) com Microsoft Sentinel. Isto dá-lhe mais informações de segurança sobre os pipelines de dados da sua organização.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CriblInternal_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Conector de Dados da API crowdStrike (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O CrowdStrike Data Connector permite ingerir registos da API CrowdStrike para Microsoft Sentinel. Este conector fornece a capacidade de ingerir Alertas, Deteções, Anfitriões, Casos e Vulnerabilidades crowdStrike em Microsoft Sentinel. Este conector baseia-se no Microsoft Sentinel Codeless Connector Framework e utiliza a API CrowdStrike para obter registos. Suporta transformações de tempo de ingestão baseadas em DCR para que as consultas possam ser executadas de forma mais eficiente. Veja a documentação da API CrowdStrike para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CrowdStrikeAlerts |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Crowdstrike OAuth2 API Client and Scopes: Alerts, API Integrations, App Logs, Cases, Correlation Rules, Detections, Hosts, Assets, Incidents, Quarantined Files, Vulnerabilities are required for REST API. Para obter mais informações, veja API.
CrowdStrike Falcon Adversary Intelligence (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector CrowdStrike Falcon Indicators of Compromise obtém os Indicadores de Compromisso da API Falcon Intel e carrega-os Microsoft Sentinel Threat Intel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelIndicators |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
ID de Cliente da API CrowdStrike e Segredo do Cliente: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. As credenciais de CrowdStrike têm de ter o âmbito de leitura Indicadores (Falcon Intelligence).
CrowdStrike Falcon Data Replicator (AWS S3) (via Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector Crowdstrike Falcon Data Replicator (S3) fornece a capacidade de ingerir datainto de eventos FDR para Microsoft Sentinel do registo AWS S3 onde os registos FDR foram transmitidos. O conector permite obter eventos dos Agentes Falcon que ajudam a examinar potenciais riscos de segurança, analisar a utilização da colaboração da sua equipa, diagnosticar problemas de configuração e muito mais.
NOTA:
1. A licença FDR crowdStrike tem de estar disponível & ativada.
2. O conector requer a configuração de uma função IAM no AWS para permitir o acesso ao registo AWS S3 e pode não ser adequado para ambientes que tirem partido do CrowdStrike – registos geridos.
3. Para ambientes que tiram partido dos registos geridos pelo CrowdStrike, configure o conector CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3 ).
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CrowdStrike_Additional_Events_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (com Funções do Azure)
Suportado por:Microsoft Corporation
Este conector permite a ingestão de dados FDR em Microsoft Sentinel através de Funções do Azure para suportar a avaliação de potenciais riscos de segurança, análise de atividades de colaboração, identificação de problemas de configuração e outras informações operacionais.
NOTA:
1. A licença FDR crowdStrike tem de estar disponível & ativada.
2. O conector utiliza uma autenticação baseada em Key & Secret e é adequado para registos geridos do CrowdStrike.
3. Para ambientes que utilizam um registo AWS S3 totalmente propriedade, a Microsoft recomenda a utilização do conector CrowdStrike Falcon Data Replicator (AWS S3 ).
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CrowdStrikeReplicatorV2 |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da conta do SQS e do AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL é necessário. Para obter mais informações, veja extração de dados. Para começar, contacte o suporte da CrowdStrike. A seu pedido, irão criar um registo S3 do Amazon Web Services (AWS) gerido pela CrowdStrike para fins de armazenamento de curto prazo, bem como uma conta SQS (serviço de fila simples) para monitorizar as alterações ao registo S3.
CTERA Syslog
Suportado por:CTERA
O Conector de Dados CTERA para Microsoft Sentinel oferece capacidades de monitorização e deteção de ameaças para a sua solução CTERA. Inclui um livro que visualiza a soma de todas as operações por tipo, eliminações e operações de acesso negado. Também fornece regras analíticas que detetam incidentes de ransomware e o alertam quando um utilizador é bloqueado devido a atividades suspeitas de ransomware. Além disso, ajuda-o a identificar padrões críticos, como eventos de acesso em massa negados, eliminações em massa e alterações de permissões em massa, permitindo a gestão e resposta proativas de ameaças.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Syslog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
CTM360 CyberBlindSpot (Sem Servidor)
Suportado por:Cyber Threat Management 360
O conector CTM360 Cyber Blind Spot (CBS) fornece integração com a plataforma CBS do CTM360 para ingerir dados de segurança em 6 tipos de módulos: incidentes, registos de malware, credenciais violadas, cartões comprometidos, violação de domínio e violação de subdomínio. Este conector utiliza o Codeless Connector Framework (CCF) para a recolha de dados sem servidor.
Tipos de Dados:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CBSLog_AzureV2_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Chave de API CTM360 CBS: é necessária uma chave de API CtM360 Cyber Blind Spot válida para ligar ao ponto final da API cbs.
CTM360 HackerView (Sem Servidor)
Suportado por:Cyber Threat Management 360
O conector CTM360 HackerView permite-lhe ingerir problemas de segurança e vulnerabilidades da sua plataforma HackerView External Attack Surface Management para Microsoft Sentinel. Este conector sem servidor utiliza a API REST para extrair automaticamente dados de problemas para análise e correlação com outros eventos de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
HackerViewLog_AzureV2_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Chave de API HackerView: é necessária uma chave de API HackerView válida com permissões para aceder aos dados de problemas.
Registos personalizados via AMA
Suportado por:Microsoft Corporation
Muitas aplicações registam informações em ficheiros JSON ou texto em vez de serviços de registo padrão, como registos de Eventos do Windows, Syslog ou CEF. O conector de dados Registos Personalizados permite-lhe recolher eventos de ficheiros em computadores Windows e Linux e transmiti-los em fluxo para tabelas de registos personalizadas que criou. Durante a transmissão em fluxo dos dados, pode analisar e transformar os conteúdos com o DCR. Depois de recolher os dados, pode aplicar regras analíticas, investigação, pesquisa, informações sobre ameaças, melhoramentos e muito mais.
NOTA: utilize este conector para os seguintes dispositivos: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, apache HTTP server, Apache Tomcat, jboss Enterprise application platform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP and AI vectra stream.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
JBossEvent_CL |
Não | Não |
JuniperIDP_CL |
Sim | Sim |
ApacheHTTPServer_CL |
Sim | Sim |
Tomcat_CL |
Sim | Sim |
meraki_CL |
Sim | Sim |
VectraStream_CL |
Não | Não |
MarkLogicAudit_CL |
Não | Não |
MongoDBAudit_CL |
Sim | Sim |
NGINX_CL |
Sim | Sim |
OracleWebLogicServer_CL |
Sim | Sim |
PostgreSQL_CL |
Sim | Sim |
SquidProxy_CL |
Sim | Sim |
Ubiquiti_CL |
Sim | Sim |
vcenter_CL |
Sim | Sim |
ZPA_CL |
Sim | Sim |
SecurityBridgeLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Permissões: para recolher dados de VMs não Azure, têm de ter Azure Arc instalado e ativado.
Saiba mais
Auditoria do CyberArk
Suportado pelo Suporte daCyberArk
O conector de dados de Auditoria CyberArk permite que Microsoft Sentinel ingeram registos de eventos de segurança e outros eventos do serviço de Auditoria CyberArk através da API REST. Esta integração ajuda-o a detetar potenciais riscos de segurança, monitorizar a atividade do utilizador, analisar padrões de colaboração, resolver problemas de configuração e obter informações mais aprofundadas sobre o seu ambiente.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyberArk_AuditEvents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Plataforma do Serviço de Auditoria cyberArk: acesso para executar as configurações necessárias na plataforma de Auditoria cyberArk
CyberArkAudit (com Funções do Azure)
Suportado pelo Suporte daCyberArk
O conector de dados de Auditoria cyberArk fornece a capacidade de obter registos de eventos de segurança do serviço de Auditoria CyberArk e mais eventos para Microsoft Sentinel através da API REST. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyberArk_AuditEvents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Auditar detalhes e Credenciais das Ligações da API REST: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint e AuditApiBaseUrl são necessários para fazer chamadas à API.
Alertas Acionáveis do Cybersixgill (com Funções do Azure)
Suportado por:Cybersixgill
Os alertas acionáveis fornecem alertas personalizados com base em recursos configurados
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyberSixgill_Alerts_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: são necessáriasClient_ID e Client_Secret para fazer chamadas à API.
Alertas de Visão Cilível
Suportado por:Cyble Support
O Conector de Dados CCF alertas de visão ciável permite a Ingestão de Alertas de Ameaças da Visão Cyble para Microsoft Sentinel através do Conector Framework do Conector Sem Código. Recolhe dados de alerta através da API, normaliza-os e armazena-os numa tabela personalizada para deteção, correlação e resposta avançadas.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CybleVisionAlerts_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Token da API de Visão Cyble: é necessário um Token de API da Plataforma de Visão Cyble.
Pacotes cyborg Security HUNTER Hunt
Suportado pela Segurança Cyborg
A Cyborg Security é um fornecedor líder de soluções avançadas de investigação de ameaças, com a missão de capacitar as organizações com tecnologia de ponta e ferramentas de colaboração para detetar e responder proativamente a ameaças cibernéticas. A oferta principal da Cyborg Security, a Plataforma HUNTER, combina análises poderosas, conteúdos de investigação de ameaças organizados e capacidades abrangentes de gestão de caça para criar um ecossistema dinâmico para operações eficazes de investigação de ameaças.
Siga os passos para obter acesso à Comunidade da Segurança cyborg e configure as capacidades "Open in Tool" na Plataforma HUNTER.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityEvent |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Conector de Dados de DSPM Microsoft Sentinel Cyera
Suportado por:Cyera Inc
O conector de dados cyera DSPM permite-lhe ligar-se ao inquilino DSPM da Cyera e ingerir Classificações, Recursos, Problemas e Recursos/Definições de Identidade no Microsoft Sentinel. O conector de dados baseia-se no Codeless Connector Framework da Microsoft Sentinel e utiliza a API da Cyera para obter a Telemetria DSPM da Cyera depois de recebida pode ser correlacionada com eventos de segurança que criam colunas personalizadas para que as consultas não precisem de analisá-la novamente, o que resulta num melhor desempenho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyeraClassifications_CL |
Não | Não |
CyeraAssets_CL |
Não | Não |
CyeraAssets_MS_CL |
Não | Não |
CyeraIssues_CL |
Não | Não |
CyeraIdentities_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Superfície de Ataque CYFIRMA
Suportado por:CYFIRMA
N/D
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
Sim | Sim |
CyfirmaASConfigurationAlerts_CL |
Sim | Sim |
CyfirmaASDomainIPReputationAlerts_CL |
Sim | Sim |
CyfirmaASOpenPortsAlerts_CL |
Sim | Sim |
CyfirmaASCloudWeaknessAlerts_CL |
Sim | Sim |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
CYFIRMA Brand Intelligence
Suportado por:CYFIRMA
N/D
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
Sim | Sim |
CyfirmaBIExecutivePeopleAlerts_CL |
Sim | Sim |
CyfirmaBIProductSolutionAlerts_CL |
Sim | Sim |
CyfirmaBISocialHandlersAlerts_CL |
Sim | Sim |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Contas CyFIRMA Comprometidas
Suportado por:CYFIRMA
O conector de dados Contas Comprometidas CYFIRMA permite a ingestão de registos totalmente integrada da API DeCYFIR/DeTCT para Microsoft Sentinel. Com base no Microsoft Sentinel Codeless Connector Framework, tira partido da API DeCYFIR/DeTCT para obter registos. Além disso, suporta transformações de tempo de ingestão baseadas em DCR, que analisam dados de segurança numa tabela personalizada durante a ingestão. Isto elimina a necessidade de análise do tempo de consulta, melhorando o desempenho e a eficiência.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
CYFIRMA Cyber Intelligence
Suportado por:CYFIRMA
O conector de dados CYFIRMA Cyber Intelligence permite a ingestão de registos totalmente integrada da API DeCYFIR para Microsoft Sentinel. Com base no Microsoft Sentinel Codeless Connector Framework, tira partido da API de Alertas de DeCYFIR para obter registos. Além disso, suporta transformações de tempo de ingestão baseadas em DCR, que analisam dados de segurança numa tabela personalizada durante a ingestão. Isto elimina a necessidade de análise do tempo de consulta, melhorando o desempenho e a eficiência.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyfirmaIndicators_CL |
Sim | Sim |
CyfirmaThreatActors_CL |
Sim | Sim |
CyfirmaCampaigns_CL |
Sim | Sim |
CyfirmaMalware_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Risco Digital CYFIRMA
Suportado por:CYFIRMA
O conector de dados Alertas de Risco Digital CYFIRMA permite a ingestão de registos totalmente integrada da API DeCYFIR/DeTCT para Microsoft Sentinel. Com base no Microsoft Sentinel Codeless Connector Framework, tira partido da API de Alertas de DeCYFIR para obter registos. Além disso, suporta transformações de tempo de ingestão baseadas em DCR, que analisam dados de segurança numa tabela personalizada durante a ingestão. Isto elimina a necessidade de análise do tempo de consulta, melhorando o desempenho e a eficiência.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
Sim | Sim |
CyfirmaDBWMRansomwareAlerts_CL |
Sim | Sim |
CyfirmaDBWMDarkWebAlerts_CL |
Sim | Sim |
CyfirmaSPESourceCodeAlerts_CL |
Sim | Sim |
CyfirmaSPEConfidentialFilesAlerts_CL |
Sim | Sim |
CyfirmaSPEPIIAndCIIAlerts_CL |
Sim | Sim |
CyfirmaSPESocialThreatAlerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
CYFIRMA Vulnerabilities Intelligence
Suportado por:CYFIRMA
O conector de dados cyFIRMA Vulnerabilities Intelligence permite a ingestão de registos totalmente integrada da API DeCYFIR para Microsoft Sentinel. Com base no Microsoft Sentinel Codeless Connector Framework, tira partido das API CYFIRMA para obter registos. Além disso, suporta transformações de tempo de ingestão baseadas em DCR, que analisam dados de segurança numa tabela personalizada durante a ingestão. Isto elimina a necessidade de análise do tempo de consulta, melhorando o desempenho e a eficiência.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyfirmaVulnerabilities_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Eventos de Segurança cynerio
Suportado por:Cynerio
O conector Cynerio permite-lhe ligar facilmente os Eventos de Segurança do Cynerio ao Microsoft Sentinel, para ver eventos do IDS. Isto dá-lhe mais informações sobre a postura de segurança de rede da sua organização e melhora as suas capacidades de operação de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CynerioEvent_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Cyren Threat Intelligence
Suportado por:Data443 Risk Mitigation, Inc.
Ingerir indicadores de REPUTAÇÃO de IP e URL de software maligno da Cyren com o Common Connector Framework (CCF).
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Cyren_Indicators_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Tokens Cyren JWT: tokens JWT armazenados em Azure Key Vault ou fornecidos no momento da implementação.
D3 Incidentes SOAR Inteligentes
Suportada pela Segurança:D3
O conector de dados D3 Smart SOAR solicita incidentes do D3 Smart SOAR para Microsoft Sentinel com o ponto final de comando da API REST sem código D3.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
D3SOARIncidents_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Conector darktrace para Microsoft Sentinel API REST
Suportado por:Darktrace
O conector da API REST de Darktrace envia eventos em tempo real de Darktrace para Microsoft Sentinel e foi concebido para ser utilizado com a Solução de Darktrace para Sentinel. O conector escreve registos numa tabela de registo personalizada intitulada "darktrace_model_alerts_CL"; Falhas de Modelo, Incidentes do Analista de IA, Alertas do Sistema e Alertas de Email podem ser ingeridos. Podem ser configurados filtros adicionais na página Configuração do Sistema de Darktrace. Os dados são enviados para Sentinel dos modelos globais de Darktrace.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
darktrace_model_alerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Pré-requisitos de Darktrace: para utilizar este Conector de Dados, é necessário um mestre de Darktrace com v5.2+ . Os dados são enviados para a API do Recoletor de Dados HTTP do Monitor Azure através de HTTPs a partir de modelos globais de Darktrace, pelo que é necessária conectividade de saída do mestre de Darktrace para Microsoft Sentinel API REST.
- Filtrar Dados de Darktrace: durante a configuração, é possível configurar filtragem adicional na página Configuração do Sistema de Darktrace para restringir a quantidade ou tipos de dados enviados.
-
Experimente a Solução de Sentinel Darktrace: pode tirar o máximo partido deste conector ao instalar a Solução de Darktrace para Microsoft Sentinel. Isto irá fornecer livros para visualizar dados de alertas e regras de análise para criar automaticamente alertas e incidentes a partir de Falhas de Modelo de Darktrace e incidentes do Analista de IA.
DataBahn
Suportado por:Databahn
O conector DataBahn fornece a capacidade de emitir telemetria de plataforma em tempo real do seu ambiente DataBahn diretamente para Microsoft Sentinel através do padrão Push do Codeless Connector Framework (CCF). Este conector ingere registos de auditoria, alertas operacionais e inventário de dispositivos em tabelas personalizadas do Log Analytics para análise, alertas e visualização.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
databahn_audit_logs_CL |
Não | Não |
databahn_alerts_CL |
Não | Não |
databahn_device_inventory_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: Permissão para atribuir a função de Editor de Métricas de Monitorização na regra de recolha de dados (DCR). Normalmente, requer Azure função de Proprietário de RBAC ou Administrador de Acesso de Utilizador.
Datalake2Sentinel
Suportado por:Orange Cyberdefense
Esta solução instala o conector Datalake2Sentinel que é criado com o Codeless Connector Framework e permite-lhe ingerir automaticamente indicadores de informações sobre ameaças da plataforma CTI do Datalake Orange Cyberdefense para Microsoft Sentinel através da API REST dos Indicadores de Carregamento. Depois de instalar a solução, configure e ative este conector de dados ao seguir as orientações na vista Gerir solução.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Conector de Dados do Dataminr Pulse Alerts (com Funções do Azure)
Suportado por:Suporte do Dataminr
O Conector de Dados do Dataminr Pulse Alerts coloca a nossa inteligência em tempo real com tecnologia de IA em Microsoft Sentinel para uma deteção e resposta de ameaças mais rápidas.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DataminrPulse_Alerts_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no Microsoft Entra ID e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Credenciais/permissões necessárias do Dataminr:
a. Os utilizadores têm de ter um ID de cliente da API Pulse do Dataminr válido e um segredo para utilizar este conector de dados.
b. Uma ou mais Listas de Observação do Dataminr Pulse têm de ser configuradas no site do Dataminr Pulse.
Datawiza DAP
Suportado por:Datawiza Technology Inc.
Liga os registos do DAP do Datawiza ao Azure Log Analytics através da interface da API REST
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
datawizaserveraccess_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Derdack SIGNL4
Suportado por:Derdack
Quando os sistemas críticos falham ou ocorrem incidentes de segurança, o SIGNL4 liga a "última milha" à sua equipa, engenheiros, administradores de TI e trabalhadores no terreno. Adiciona alertas móveis em tempo real aos seus serviços, sistemas e processos num instante. O SIGNL4 notifica através de push móvel persistente, sms e chamadas de voz com reconhecimento, controlo e escalamento. O agendamento integrado de tarefas e turnos garante que as pessoas certas são alertadas no momento certo.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityIncident |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Searchlight de Sombras Digitais (com Funções do Azure)
Suportado por:Sombras Digitais
O conector de dados Sombras Digitais fornece a ingestão dos incidentes e alertas do Searchlight de Sombras Digitais para o Microsoft Sentinel através da API REST. O conector irá fornecer informações sobre incidentes e alertas de forma a ajudar a examinar, diagnosticar e analisar potenciais riscos e ameaças de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DigitalShadows_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: É necessário o ID da conta de Sombras Digitais, o segredo e a chave . Veja a documentação para saber mais sobre a API no
https://portal-digitalshadows.com/learn/searchlight-api/overview/description.
DNS
Suportado por:Microsoft Corporation
O conector de registo DNS permite-lhe ligar facilmente os registos de auditoria e análise DNS com Microsoft Sentinel e outros dados relacionados para melhorar a investigação.
Quando ativar a recolha de registos DNS, pode:
- Identificar clientes que tentam resolver nomes de domínio maliciosos.
- Identificar registos de recursos obsoletos.
- Identifique nomes de domínio consultados frequentemente e clientes DNS talkative.
- Ver a carga de pedidos em servidores DNS.
- Ver falhas de registo DNS dinâmicas.
Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DnsEvents |
Sim | Sim |
DnsInventory |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Doppel Data Connector
Suportado por:Doppel
O conector de dados baseia-se no Microsoft Sentinel para eventos e alertas do Doppel e suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de eventos de segurança recebidos em colunas personalizadas para que as consultas não precisem de analisá-la novamente, o que resulta num melhor desempenho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DoppelTable_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Microsoft Entra ID de Inquilino, ID de Cliente e Segredo do Cliente: Microsoft Entra ID requer um ID de Cliente e Um Segredo do Cliente para autenticar a sua aplicação. Além disso, é necessário acesso global ao nível Administração/Proprietário para atribuir à aplicação registada Entra uma função de Editor de Métricas de Monitorização do Grupo de Recursos.
- Necessita do ID da Área de Trabalho, DCE-URI, DCR-ID: terá de obter o ID da Área de Trabalho do Log Analytics, o URI de Ingestão de Registos do DCE e o ID Imutável DCR para a configuração.
Arrastar Notificações através da Cloud Sitestore
Suportado por:Dragos Inc
A Dragos Platform é a principal plataforma industrial de Cibersegurança que oferece uma deteção abrangente de ameaças cibernéticas de Tecnologia Operacional (OT) criada por conhecimentos de cibersegurança industriais incomparáveis. Esta solução permite que os dados de notificação da Plataforma Dragos sejam visualizados no Microsoft Sentinel para que os analistas de segurança possam fazer a triagem de potenciais eventos de cibersegurança que ocorrem nos seus ambientes industriais.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DragosAlerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Arrastar acesso à API Sitestore: uma conta de utilizador da Sitestore que tem a
notification:readpermissão. Esta conta também precisa de ter uma chave de API que possa ser fornecida para Sentinel.
Conector de Eventos druva
Suportado por:Druva Inc
Fornece capacidade para ingerir os eventos druva a partir das APIs druva
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DruvaSecurityEvents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Acesso à API do Druva: a API druva requer um ID de cliente e um segredo do cliente para autenticar
Dynamics 365 Finance e Operações
Suportado por:Microsoft Corporation
Dynamics 365 para Finanças e Operações é uma solução abrangente de Planeamento de Recursos empresariais (ERP) que combina capacidades financeiras e operacionais para ajudar as empresas a gerir as suas operações diárias. Oferece uma variedade de funcionalidades que permitem às empresas simplificar fluxos de trabalho, automatizar tarefas e obter informações sobre o desempenho operacional.
O conector de dados Dynamics 365 Finance e Operações ingere atividades de administrador Dynamics 365 Finance e Operações e registos de auditoria, bem como o processo de negócio do utilizador e as atividades da aplicação iniciam sessão no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
FinanceOperationsActivity_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Microsoft Entra registo de aplicações: ID de cliente da aplicação e segredo utilizado para aceder a operações e Dynamics 365 Finance.
Dynamics365
Suportado por:Microsoft Corporation
O conector de atividades do Dynamics 365 Common Data Service (CDS) fornece informações sobre atividades de administrador, utilizador e suporte, bem como eventos de registo do Microsoft Social Engagement. Ao ligar Dynamics 365 CRM inicia sessão no Microsoft Sentinel, pode ver estes dados em livros, utilizá-lo para criar alertas personalizados e melhorar o processo de investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Dynamics365Activity |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Ataques de Dynatrace
Suportado por:Dynatrace
Este conector utiliza a API REST de Ataques de Dynatrace para ingerir ataques detetados no Microsoft Sentinel Log Analytics
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DynatraceAttacks_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Inquilino do Dynatrace (por exemplo, xyz.dynatrace.com): precisa de um inquilino Dynatrace válido com a Segurança da Aplicação ativada, saiba mais sobre a plataforma Dynatrace.
-
Token de Acesso do Dynatrace: precisa de um Token de Acesso do Dynatrace. O token deve ter um âmbito de ataques de Leitura (attacks.read).
Registos de Auditoria do Dynatrace
Suportado por:Dynatrace
Este conector utiliza a API REST dos Registos de Auditoria do Dynatrace para ingerir registos de auditoria de inquilinos no Microsoft Sentinel Log Analytics
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DynatraceAuditLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Inquilino do Dynatrace (por exemplo, xyz.dynatrace.com): precisa de um Inquilino Dynatrace válido para saber mais sobre a plataforma Dynatrace Iniciar a sua avaliação gratuita.
-
Token de Acesso do Dynatrace: precisa de um Token de Acesso do Dynatrace. O token deve ter o âmbito Ler registos de auditoria (auditLogs.read).
Problemas de Dynatrace
Suportado por:Dynatrace
Este conector utiliza a API REST do Problema do Dynatrace para ingerir eventos problemáticos no Microsoft Sentinel Log Analytics
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DynatraceProblems_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Inquilino do Dynatrace (por exemplo, xyz.dynatrace.com): precisa de um Inquilino Dynatrace válido para saber mais sobre a plataforma Dynatrace Iniciar a sua avaliação gratuita.
-
Token de Acesso do Dynatrace: precisa de um Token de Acesso do Dynatrace. O token deve ter o âmbito Problemas de leitura (problems.read).
Vulnerabilidades do Runtime do Dynatrace
Suportado por:Dynatrace
Este conector utiliza a API REST do Problema de Segurança do Dynatrace para ingerir vulnerabilidades de runtime detetadas no Microsoft Sentinel Log Analytics.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DynatraceSecurityProblems_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Inquilino do Dynatrace (por exemplo, xyz.dynatrace.com): precisa de um inquilino Dynatrace válido com a Segurança da Aplicação ativada, saiba mais sobre a plataforma Dynatrace.
-
Token de Acesso do Dynatrace: precisa de um Token de Acesso do Dynatrace. O token deve ter o âmbito Problemas de segurança de leitura (securityProblems.read).
Agente Elástico (Autónomo)
Suportado por:Microsoft Corporation
O conector de dados do Agente Elástico fornece a capacidade de ingerir registos, métricas e dados de segurança do Agente Elástico em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ElasticAgentEvent |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Inclua pré-requisitos personalizados se a conectividade exigir – caso contrário, elimine os costumes: Descrição de qualquer pré-requisito personalizado
Eventos de Segurança do Browser Ermes
Suportado por:Ermes Cyber Security S.p.A.
Eventos de Segurança do Browser Ermes
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
ID de Cliente do Ermes e Segredo do Cliente: ativar o acesso à API em Ermes. Contacte o suporte do Ermes Cyber Security para obter mais informações.
ESET Protect Platform (com Funções do Azure)
Suportado por:ESET Enterprise Integrations
O conector de dados ESET Protect Platform permite aos utilizadores injetar dados de deteções da ESET Protect Platform com a API REST de Integração fornecida. A API REST de Integração é executada como agendada Azure Function App.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
IntegrationTable_CL |
Sim | Sim |
IntegrationTableIncidents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Permissão para registar uma aplicação no Microsoft Entra ID: são necessárias permissões suficientes para registar uma aplicação no seu inquilino Microsoft Entra.
-
Permissão para atribuir uma função à aplicação registada: é necessária permissão para atribuir a função editor de Métricas de Monitorização à aplicação registada no Microsoft Entra ID.
Recoletor do Exchange Security Insights no Local
Suportado por:Comunidade
Conector utilizado para emitir a configuração de Segurança no Local do Exchange para Análise de Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ESIExchangeConfig_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Conta de Serviço com função de Gestão da Organização: a Conta de serviço que inicia o script como tarefa agendada tem de ser a Gestão da Organização para conseguir obter todas as Informações de segurança necessárias.
-
Documentação detalhada: >NOTA: pode encontrar documentação detalhada sobre o procedimento de instalação e a utilização aqui
Recoletor online do Exchange Security Insights (com Funções do Azure)
Suportado por:Comunidade
Conector utilizado para emitir a configuração de Segurança Exchange Online para a Análise de Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ESIExchangeOnlineConfig_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- permissões microsoft.automation/automationaccounts: são necessárias permissões de leitura e escrita para criar um Automatização do Azure com um Runbook. Para obter mais informações, veja Conta de Automatização.
- Permissões do Microsoft.Graph: as permissões Groups.Read, Users.Read e Auditing.Read são necessárias para obter informações de utilizador/grupo ligadas a atribuições de Exchange Online. Veja a documentação para saber mais.
- permissões de Exchange Online: a permissão Exchange.ManageAsApp e a Função leitor global ou leitor de segurança são necessárias para obter a Configuração de Segurança do Exchange Online.Veja a documentação para saber mais.
-
(Opcional) Permissões de Armazenamento de Registos: o Contribuidor de Dados do Blob de Armazenamento para uma conta de armazenamento associada à Identidade gerida da Conta de Automatização ou um ID da Aplicação é obrigatório para armazenar registos. Veja a documentação para saber mais.
Conector de Dados de Deteções ExtraHop (com Funções do Azure)
Suportado por:Suporte extraHop
O Conector de Dados de Deteções ExtraHop permite-lhe importar dados de deteção do ExtraHop RevealX para Microsoft Sentinel através de payloads de webhook.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ExtraHop_Detections_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no Microsoft Entra ID e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Permissões ExtraHop RevealX: é necessário o seguinte no seu sistema ExtraHop RevealX: 1. O seu sistema RevealX tem de estar a executar a versão de firmware 9.9.2 ou posterior.
2. O seu sistema RevealX tem de estar ligado a Serviços Cloud ExtraHop.
3. A sua conta de utilizador tem de ter privilégios de Administração do Sistema no RevealX 360 ou privilégios de Escrita Completa no RevealX Enterprise.
F5 BIG-IP
Suportado por:F5 Redes
O conector de firewall F5 permite-lhe ligar facilmente os registos F5 com Microsoft Sentinel, ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
F5Telemetry_LTM_CL |
Não | Não |
F5Telemetry_system_CL |
Sim | Sim |
F5Telemetry_ASM_CL |
Não | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Feedly IoC
Suportado por:Feedly Inc
O conector de dados feedly IoC fornece a capacidade de ingerir Indicadores de Comprometimento (IoCs) da API Feedly para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
feedly_indicators_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Acesso à API Feedly: é necessário acesso à API Feedly. Precisa de um token de API Feedly com acesso aos fluxos de IoC que pretende ingerir. Gerar o token de API em https://feedly.com/i/team/api
Conector Push de Sinalizador
Suportado por:Flare
O conector Flare fornece a capacidade de ingerir informações sobre ameaças e dados de exposição do Flare para Microsoft Sentinel. O Flare identifica os recursos digitais da sua empresa disponibilizados publicamente devido a erros humanos ou ataques maliciosos, incluindo fugas de credenciais, registos de nuvem expostos, menções darkweb e muito mais.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
FireworkV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID.
- Microsoft Azure: Permissão para atribuir a função de Editor de Métricas de Monitorização na regra de recolha de dados (DCR).
-
Flare: permissão para configurar Microsoft Sentinel integração no Flare.
Forcepoint DLP
Suportado por:Comunidade
O conector DLP do Forcepoint (Prevenção de Perda de Dados) permite-lhe exportar automaticamente dados de incidentes DLP do DLP do Forcepoint para Microsoft Sentinel em tempo real. Isto melhora a visibilidade das atividades dos utilizadores e dos incidentes de perda de dados, permite uma correlação adicional com os dados de cargas de trabalho Azure e outros feeds e melhora a capacidade de monitorização com Livros dentro de Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ForcepointDLPEvents_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Forescout
Suportado por:Microsoft Corporation
O conector de dados Forescout fornece a capacidade de ingerir eventos Forescout em Microsoft Sentinel. Veja a documentação forescout para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ForescoutEvent |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Forescout Host Property Monitor
Suportado por:Microsoft Corporation
O conector Forescout Host Property Monitor permite-lhe ligar as propriedades do anfitrião a partir da plataforma Forescout com Microsoft Sentinel, para ver, criar incidentes personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ForescoutHostProperties_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Requisito do Plug-in forescout: certifique-se de que Forescout Microsoft Sentinel plug-in está em execução na plataforma Forescout
Fortinet FortiNDR Cloud
Suportado por:Fortinet
O conector de dados da Cloud Fortinet FortiNDR fornece a capacidade de ingerir dados da Cloud Fortinet FortiNDR em Microsoft Sentinel com a API de Cloud FortiNDR
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
FncEventsSuricata_CL |
Não | Não |
FncEventsObservation_CL |
Não | Não |
FncEventsDetections_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Credenciais metastream: O ID da Chave de Acesso do AWS, a Chave de Acesso Secreta do AWS, o Código da Conta cloud FortiNDR são necessários para obter dados de eventos.
-
Credenciais da API: FortiNDR Cloud API Token, FortiNDR Cloud Account UUID são necessários para obter dados de deteção.
Guarnição de Registos Remotos ULTRA (com Funções do Azure)
Suportado por:Guarnição
O conector De Logs Remotos De Guarnição ULTRA permite-lhe ingerir Registos Remotos De Guarnição ULTRA em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Guarnição ULTRA: para utilizar este conector de dados, tem de ter uma licença Guarnição ULTRA ativa.
Execução da Cloud do GCP (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados da Cloud Run do GCP fornece a capacidade de ingerir registos de pedidos da Cloud Run no Microsoft Sentinel através de Pub/Sub. Veja a Descrição Geral da Execução da Cloud para obter mais detalhes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPCloudRun |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
GCP Cloud SQL (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados SQL da Cloud do GCP fornece a capacidade de ingerir registos de auditoria no Microsoft Sentinel com a API SQL da Cloud do GCP. Veja a Documentação dos Registos de Auditoria do SQL na cloud do GCP para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPCloudSQL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Registos de Pub/Sub audit do GCP
Suportado por:Microsoft Corporation
Os registos de auditoria do Google Cloud Platform (GCP), ingeridos a partir do conector do Microsoft Sentinel, permitem-lhe capturar três tipos de registos de auditoria: registos de atividades de administrador, registos de acesso a dados e registos de transparência de acesso. Os registos de auditoria da cloud da Google registam um registo que os profissionais podem utilizar para monitorizar o acesso e detetar potenciais ameaças nos recursos do Google Cloud Platform (GCP).
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPAuditLogs |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Registos de Sub-Balanceador de Carga/Pub DO GCP (através do Codeless Connector Framework).
Suportado por:Microsoft Corporation
Os registos de Balanceador de Carga do Google Cloud Platform (GCP) fornecem informações detalhadas sobre o tráfego de rede, capturando atividades de entrada e saída. Estes registos são utilizados para monitorizar padrões de acesso e identificar potenciais ameaças de segurança nos recursos do GCP. Além disso, estes registos também incluem registos do GCP Firewall de Aplicações Web (WAF), melhorando a capacidade de detetar e mitigar os riscos de forma eficaz.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPLoadBalancerLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Registos de Fluxo de Sub-VPC/Pub DO GCP (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
Os Registos de Fluxo de VPC do Google Cloud Platform (GCP) permitem-lhe capturar a atividade de tráfego de rede ao nível do VPC, permitindo-lhe monitorizar padrões de acesso, analisar o desempenho da rede e detetar potenciais ameaças nos recursos do GCP.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPVPCFlow |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Conector Gigamon AMX
Suportado por:Gigamon
O conector Gigamon fornece a capacidade de ler dados de eventos não processados do Gigamon no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GigamonV2_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: Permissão para atribuir a função de Editor de Métricas de Monitorização na regra de recolha de dados (DCR). Normalmente, requer Azure função de Proprietário do RBAC ou Administrador de Acesso de Utilizador
GitHub (com Webhooks)
Suportado por:Microsoft Corporation
O conector de dados do webhook do GitHub fornece a capacidade de ingerir eventos subscritos do GitHub em Microsoft Sentinel através de eventos de webhook do GitHub. O conector fornece a capacidade de colocar eventos em Microsoft Sentinel o que ajuda a examinar potenciais riscos de segurança, analisar a utilização da colaboração da sua equipa, diagnosticar problemas de configuração e muito mais.
Nota: Se pretender ingerir registos de Auditoria do Github, veja GitHub Enterprise Audit Log Connector (Conectores de Registos de Auditoria do GitHub Enterprise) na galeria "Conectores de Dados".
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
githubscanaudit_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
Registo de Auditoria do GitHub Enterprise (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de registo de auditoria do GitHub fornece a capacidade de ingerir registos do GitHub no Microsoft Sentinel. Ao ligar os registos de auditoria do GitHub ao Microsoft Sentinel, pode ver estes dados em livros, utilizá-lo para criar alertas personalizados e melhorar o processo de investigação.
Nota: Se pretender ingerir eventos subscritos do GitHub em Microsoft Sentinel, consulte o Conector do GitHub (com Webhooks) na galeria "Conectores de Dados".
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GitHubAuditLogsV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Token de acesso pessoal da API do GitHub: para ativar a consulta para o registo de auditoria empresarial, certifique-se de que o utilizador autenticado é um administrador do Enterprise e tem um token de acesso pessoal (clássico) do GitHub com o
read:audit_logâmbito. -
Tipo de GitHub Enterprise: este conector só funcionará com o GitHub Enterprise Cloud; não suportará o GitHub Enterprise Server.
Google ApigeeX (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados do Google ApigeeX fornece a capacidade de ingerir registos de auditoria no Microsoft Sentinel com a API do Google Apigee. Veja a documentação da API do Google Apigee para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPApigee |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
CDN do Google Cloud Platform (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados da CDN da Google Cloud Platform fornece a capacidade de ingerir registos de Auditoria da CDN da Cloud e registos de Tráfego da CDN na Cloud para Microsoft Sentinel através da API do Motor de Computação. Veja o documento Descrição geral do produto para obter mais detalhes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPCDN |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Google Cloud Platform Cloud IDS (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados IDS da Google Cloud Platform fornece a capacidade de ingerir registos de Tráfego do Cloud IDS, Registos de ameaças e Registos de auditoria no Microsoft Sentinel através da API do IDS do Google Cloud. Veja a documentação da API do IDS da Cloud para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPIDS |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Monitorização da Cloud do Google Cloud Platform (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados de Monitorização da Cloud do Google Cloud Platform ingere Registos de monitorização do Google Cloud para Microsoft Sentinel através da API de Monitorização do Google Cloud. Veja a documentação da API de Monitorização da Cloud para obter mais detalhes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPMonitoring |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Motor de Computação do Google Cloud Platform (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados do Motor de Computação do Google Cloud Platform fornece a capacidade de ingerir registos de Auditoria do Motor de Computação no Microsoft Sentinel através da API do Motor de Computação do Google Cloud. Veja a documentação da API do Motor de Computação na Cloud para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPComputeEngine |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
DNS do Google Cloud Platform (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados DNS da Google Cloud Platform fornece a capacidade de ingerir registos de Consultas DNS da Cloud e registos de Auditoria de DNS da Cloud no Microsoft Sentinel através da API DNS do Google Cloud. Veja a documentação da API de DNS na Cloud para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPDNS |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
IAM do Google Cloud Platform (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados IAM da Google Cloud Platform fornece a capacidade de ingerir os Registos de auditoria relacionados com atividades de Gestão de Identidades e Acessos (IAM) no Google Cloud para Microsoft Sentinel através da API IAM da Google. Veja a documentação da API IAM do GCP para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPIAM |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
NAT do Google Cloud Platform (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados NAT do Google Cloud Platform fornece a capacidade de ingerir registos de Auditoria NAT da Cloud e registos de Tráfego NAT da Cloud no Microsoft Sentinel através da API do Motor de Computação. Veja o documento Descrição geral do produto para obter mais detalhes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPNATAudit |
Sim | Sim |
GCPNAT |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Google Cloud Platform Resource Manager (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados da Google Cloud Platform Resource Manager fornece a capacidade de ingerir Resource Manager registos de Auditoria de Atividade e Acesso a Dados Administração em Microsoft Sentinel através da API do Cloud Resource Manager. Veja o documento Descrição geral do produto para obter mais detalhes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GCPResourceManager |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Google Kubernetes Engine (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
Os Registos do Google Kubernetes Engine (GKE) permitem-lhe capturar a atividade do cluster, o comportamento da carga de trabalho e os eventos de segurança, permitindo-lhe monitorizar cargas de trabalho do Kubernetes, analisar o desempenho e detetar potenciais ameaças em clusters GKE.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GKEAudit |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Centro de Comandos de Segurança do Google
Suportado por:Microsoft Corporation
O Centro de Comandos de Segurança do Google Cloud Platform (GCP) é uma plataforma abrangente de gestão de segurança e risco para o Google Cloud, ingerida a partir do conector do Sentinel. Oferece funcionalidades como inventário e deteção de recursos, deteção de vulnerabilidades e ameaças e mitigação de riscos e remediação para o ajudar a obter informações sobre a superfície de ataque de dados e segurança da sua organização. Esta integração permite-lhe realizar tarefas relacionadas com resultados e recursos de forma mais eficaz.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GoogleCloudSCC |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Atividades da Área de Trabalho do Google (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados Atividades da Área de Trabalho do Google fornece a capacidade de ingerir Eventos de Atividade da API da Área de Trabalho do Google para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GoogleWorkspaceReports |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Acesso à API do Google Workspace: é necessário acesso à API de atividades da Google Workspace através do Oauth.
GreyNoise Threat Intelligence
Suportado por:GreyNoise
Este Conector de Dados instala uma aplicação de Funções Azure para transferir indicadores GreyNoise uma vez por dia e insere-os na tabela ThreatIntelligenceIndicator no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Chave de API GreyNoise: obtenha a chave de API GreyNoise aqui.
Conector Halcyon
Suportado por:Halcyon
O conector Halcyon fornece a capacidade de enviar dados de Halcyon para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
HalcyonAuthenticationEvents_CL |
Sim | Sim |
HalcyonDnsActivity_CL |
Sim | Sim |
HalcyonFileActivity_CL |
Sim | Sim |
HalcyonNetworkSession_CL |
Sim | Sim |
HalcyonProcessEvent_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra Criar Permissões: permissões para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Permissões de Atribuição de Funções: permissões de escrita necessárias para atribuir a função editor de Métricas de Monitorização à regra de recolha de dados (DCR). Normalmente, requer a função Proprietário ou Administrador de Acesso de Utilizador ao nível do grupo de recursos.
Holm Security Asset Data (com Funções do Azure)
Suportado por:Holm Security
O conector fornece a capacidade de consultar dados do Centro de Segurança Holm para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
net_assets_CL |
Não | Não |
web_assets_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Holm API de Segurança Token: Holm API de Segurança Token é necessário.
Holm API de Segurança Token
Registos do IIS dos Microsoft Exchange Servers
Suportado por:Comunidade
[Opção 5] - Utilizar o Agente do Azure Monitor - pode transmitir em fluxo todos os Registos do IIS a partir dos computadores Windows ligados à área de trabalho Microsoft Sentinel com o agente do Windows. Esta ligação permite-lhe criar alertas personalizados e melhorar a investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
W3CIISLog |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure o Log Analytics será preterido, para recolher dados de VMs não Azure, recomenda-se Azure Arc. Saiba mais
-
Documentação detalhada: >NOTA: pode encontrar documentação detalhada sobre o procedimento de instalação e a utilização aqui
Informações do Illumio
Suportado por:Illumio
O conector de dados do Illumio Insights permite ingerir registos da API illumio para Microsoft Sentinel. O conector de dados baseia-se no Microsoft Sentinel Codeless Connector Framework. Utiliza a API illumio para obter registos e suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos numa tabela personalizada para que as consultas não precisem de analisá-la novamente, o que resulta num melhor desempenho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
IlumioInsights |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Resumo das Informações do Illumio
Suportado por:Illumio
O conector de dados Resumo de Informações do Illumio fornece a capacidade de ingerir informações de segurança do Illumio e relatórios de análise de ameaças em Microsoft Sentinel através da API REST. Veja a documentação da API illumio para obter mais informações. O conector permite obter relatórios de resumo diários e semanais do Illumio e visualizá-los no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
IllumioInsightsSummary_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Acesso à API illumio: o acesso à API illumio é necessário para a API de Resumo das Informações do Illumio.
Illumio SaaS (com Funções do Azure)
Suportado por:Illumio
O conector Illumio fornece a capacidade de ingerir eventos em Microsoft Sentinel. O conector permite ingerir eventos auditáveis e de fluxo a partir do registo do AWS S3.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Illumio_Auditable_Events_CL |
Sim | Sim |
Illumio_Flow_Events_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Credenciais/permissões da conta do SQS e do AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL é necessário. Se estiver a utilizar o registo s3 fornecido pelo Illumio, contacte o suporte do Illumio. A seu pedido, irão fornecer-lhe o nome do registo do AWS S3, o URL do SQS do AWS e as credenciais do AWS para aceder às mesmas.
-
Segredo e chave da API illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET é necessário para que um livro faça ligação com o SaaS PCE e obtenha respostas da API.
WAF da Cloud do Imperva (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados do Imperva Cloud WAF fornece a capacidade de integrar e ingerir Firewall de Aplicações Web eventos no Microsoft Sentinel através da API REST. Veja a Documentação de integração de registos para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ImpervaWAFCloud_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI são necessários para a API. Para obter mais informações, veja Setup Log Integration process (Configurar o processo de Integração de Registos). Verifique todos os requisitos e siga as instruções para obter credenciais. Tenha em atenção que este conector utiliza o formato de evento de registo CEF.
Mais informações sobre o formato de registo.
Imperva Cloud WAF (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados da Cloud da WAF do Imperva fornece a capacidade de ingerir registos no Microsoft Sentinel através da Integração de Registos do Imperva através do AWS S3 com notificações SQS. O conector analisa eventos WAF formatados com CEF, incluindo registos de acesso e alertas de segurança para deteção e investigação de ameaças. Veja Integração do Registo de Cloud do WAF do Imperva para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ImpervaWAFCloud |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Infoblox Cloud Data Connector via AMA
Suportado por:Infoblox
O Infoblox Cloud Data Connector permite-lhe ligar facilmente os seus dados de Infoblox a Microsoft Sentinel. Ao ligar os registos ao Microsoft Sentinel, pode tirar partido da pesquisa & correlação, alertas e melhoramento das informações sobre ameaças para cada registo.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommonSecurityLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Infoblox Data Connector via REST API
Suportado por:Infoblox
O Infoblox Data Connector permite-lhe ligar facilmente os dados do Infoblox TIDE e os dados do Dossier ao Microsoft Sentinel. Ao ligar os seus dados a Microsoft Sentinel, pode tirar partido da pesquisa & correlação, alertas e melhoramento das informações sobre ameaças para cada registo.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Failed_Range_To_Ingest_CL |
Não | Não |
Infoblox_Failed_Indicators_CL |
Não | Não |
dossier_whois_CL |
Não | Não |
dossier_whitelist_CL |
Não | Não |
dossier_tld_risk_CL |
Não | Não |
dossier_threat_actor_CL |
Não | Não |
dossier_rpz_feeds_records_CL |
Não | Não |
dossier_rpz_feeds_CL |
Não | Não |
dossier_nameserver_matches_CL |
Não | Não |
dossier_nameserver_CL |
Não | Não |
dossier_malware_analysis_v3_CL |
Não | Não |
dossier_inforank_CL |
Não | Não |
dossier_infoblox_web_cat_CL |
Não | Não |
dossier_geo_CL |
Não | Não |
dossier_dns_CL |
Não | Não |
dossier_atp_threat_CL |
Não | Não |
dossier_atp_CL |
Não | Não |
dossier_ptr_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no Microsoft Entra ID e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: é necessária a Chave de API infoblox . Veja a documentação para saber mais sobre a API na referência da API Rest
Infoblox SOC Insight Data Connector via AMA
Suportado por:Infoblox
O Infoblox SOC Insight Data Connector permite-lhe ligar facilmente os seus dados do Infoblox BloxOne SOC Insight com Microsoft Sentinel. Ao ligar os registos ao Microsoft Sentinel, pode tirar partido da pesquisa & correlação, alertas e melhoramento das informações sobre ameaças para cada registo.
Este conector de dados ingere o Infoblox SOC Insight CDC e inicia sessão na área de trabalho do Log Analytics com o novo Agente do Azure Monitor. Saiba mais sobre como ingerir com o novo Agente do Azure Monitor aqui. A Microsoft recomenda a utilização deste Conector de Dados.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommonSecurityLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Para recolher dados de VMs não Azure, têm de ter Azure Arc instalado e ativado. Saiba mais
- O Formato de Evento Comum (CEF) através do AMA e do Syslog através de conectores de dados AMA tem de ser instalado.
Saiba mais
Infoblox SOC Insight Data Connector via REST API
Suportado por:Infoblox
O Infoblox SOC Insight Data Connector permite-lhe ligar facilmente os seus dados do Infoblox BloxOne SOC Insight com Microsoft Sentinel. Ao ligar os registos ao Microsoft Sentinel, pode tirar partido da pesquisa & correlação, alertas e melhoramento das informações sobre ameaças para cada registo.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
InfobloxInsight_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
InfoSecGlobal Data Connector
Suportado por:InfoSecGlobal
Utilize este conector de dados para integrar com o InfoSec Crypto Analytics e obter dados enviados diretamente para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
InfoSecAnalytics_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Registos de Segurança IONIX (através do Codeless Connector Framework)
Suportado por:IONIX
O conector IONIX permite-lhe ingerir itens de ação da plataforma IONIX Attack Surface Management para Microsoft Sentinel utilizando o Codeless Connector Framework (CCF). Os itens de ação representam resultados de segurança e vulnerabilidades que requerem remediação.
Este conector consulta automaticamente a API IONIX e escreve dados na tabela CyberpionActionItems_CL.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyberpionActionItems_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Token da API IONIX: é necessário um token de API do Portal IONIX. Crie uma na API de Definições > no portal IONIX.
Conector de Dados de Abuso de IPinfo
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir standard_abuse conjuntos de dados e inseri-los na tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_Abuse_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados ASN IPinfo
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir standard_ASN conjuntos de dados e inseri-los numa tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_ASN_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados do IPinfo Carrier
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir standard_carrier conjuntos de dados e inseri-los na tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_Carrier_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados da Empresa IPinfo
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir standard_company conjuntos de dados e inseri-los numa tabela de registo personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_Company_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados Principais IPinfo
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir conjuntos de dados Core e inseri-los na tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_CORE_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
IPinfo Country ASN Data Connector
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir country_asn conjuntos de dados e inseri-los numa tabela de registo personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_Country_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados de Domínio IPinfo
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir standard_domain conjuntos de dados e inseri-los numa tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_Domain_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
IPinfo Iplocation Data Connector
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir standard_location conjuntos de dados e inseri-los numa tabela de registo personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_Location_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
IPinfo Iplocation Extended Data Connector
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir standard_location_extended conjuntos de dados e inseri-los numa tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_Location_extended_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados IPinfo Plus
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções Azure para transferir conjuntos de dados Plus e inseri-los na tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_PLUS_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados de Privacidade IPinfo
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir standard_privacy conjuntos de dados e inseri-los numa tabela de registo personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_Privacy_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados Expandidos de Privacidade IPinfo
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir standard_privacy conjuntos de dados e inseri-los numa tabela de registo personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_Privacy_extended_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados IPinfo ResProxy
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir conjuntos de dados ResProxy e inseri-los na tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
IPinfo RIRWHOIS Data Connector
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir conjuntos de dados RIRWHOIS e inseri-los na tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados IPinfo RWHOIS
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções Azure para transferir conjuntos de dados RWHOIS e inseri-los na tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_RWHOIS_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados ASN do IPinfo WHOIS
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir WHOIS_ASN conjuntos de dados e inseri-los numa tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados IPinfo WHOIS MNT
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir WHOIS_MNT conjuntos de dados e inseri-los numa tabela de registo personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados IPinfo WHOIS NET
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir WHOIS_NET conjuntos de dados e inseri-los numa tabela de registo personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
IPinfo WHOIS ORG Data Connector
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir WHOIS_ORG conjuntos de dados e inseri-los numa tabela de registo personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Conector de Dados IPinfo WHOIS POC
Suportado por:IPinfo
Este conector de dados IPinfo instala uma aplicação de Funções do Azure para transferir WHOIS_POC conjuntos de dados e inseri-los numa tabela de registos personalizada no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API IPinfo: obtenha o token da API IPinfo aqui.
Island Enterprise Browser Administração Audit (Polling CCF)
Suportado por:Island
O conector island Administração fornece a capacidade de ingerir registos de Auditoria de Administração Ilha em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Island_Admin_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Chave de API da Ilha: é necessária uma chave de API islandesa.
Atividade do Utilizador do Browser Empresarial da Ilha (CcF de Consulta)
Suportado por:Island
O conector Island fornece a capacidade de ingerir registos de Atividades do Utilizador da Ilha no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Island_User_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Chave de API da Ilha: é necessária uma chave de API islandesa.
Conector Push do Jamf Protect
Suportado por:Jamf Software, LLC
O conector Jamf Protect fornece a capacidade de ler dados de eventos não processados do Jamf Protect no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
jamfprotecttelemetryv2_CL |
Sim | Sim |
jamfprotectunifiedlogs_CL |
Sim | Sim |
jamfprotectalerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: Permissão para atribuir a função de Editor de Métricas de Monitorização na regra de recolha de dados (DCR). Normalmente, requer Azure função de Proprietário do RBAC ou Administrador de Acesso de Utilizador
JoeSandboxThreatIntelligence (com Funções do Azure)
Suportado por:Stefan Bühlmann
O conector JoeSandboxThreatIntelligence gera e alimenta automaticamente informações sobre ameaças para todas as submissões ao JoeSandbox, melhorando a deteção de ameaças e a resposta a incidentes no Sentinel. Esta integração totalmente integrada permite que as equipas resolvam proativamente ameaças emergentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no azure active directory() e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: a Chave de API JoeSandbox é necessária.
Conector Push de Segurança do Guardião
Suportada por:Keeper Security
O conector Keeper Security fornece a capacidade de ler dados de eventos não processados do Keeper Security no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: Permissão para atribuir a função de Editor de Métricas de Monitorização na regra de recolha de dados (DCR). Normalmente, requer Azure função de Proprietário do RBAC ou Administrador de Acesso de Utilizador
LastPass Enterprise - Relatórios (CcF de Consulta)
Suportado por:The Collective Consulting
O conector LastPass Enterprise fornece a capacidade de registos de relatórios LastPass (auditoria) em Microsoft Sentinel. O conector fornece visibilidade sobre inícios de sessão e atividade no LastPass (como ler e remover palavras-passe).
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
LastPassNativePoller_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Chave de API e CID do LastPass: é necessária uma chave de API LastPass e CID. Para obter mais informações, veja API LastPass.
Conector de Deteção de Ameaças para Dispositivos Móveis do Lookout (através do Codeless Connector Framework) (Pré-visualização)
Suportado por:Lookout
O conector de dados de Deteção de Ameaças para Dispositivos Móveis do Lookout fornece a capacidade de ingerir eventos relacionados com riscos de segurança móvel para Microsoft Sentinel através da API de Risco Móvel. Veja a documentação da API para obter mais informações. Este conector ajuda-o a examinar potenciais riscos de segurança detetados em dispositivos móveis.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
LookoutMtdV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
IOCs luminosos e Credenciais Vazadas (com Funções do Azure)
Suportado por:Cognyte Luminar
Os IOCs Luminar e o conector De Credenciais Vazadas permitem a integração de dados do COI baseados em informações e registos vazados relacionados com o cliente identificados pelo Luminar.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no azure active directory() e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: O ID de Cliente Luminar, o Segredo do Cliente Luminar e o ID da Conta Luminar são necessários.
MailGuard 365
Suportado por:MailGuard 365
MailGuard 365 Enhanced Email Security para Microsoft 365. Exclusivo do microsoft marketplace, o MailGuard 365 está integrado na segurança do Microsoft 365 (incl. Defender) para proteção avançada contra ameaças avançadas de e-mail, como phishing, ransomware e ataques BEC sofisticados.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
MailGuard365_Threats_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
MailRisk por Prática Segura (com Funções do Azure)
Suportado por:Prática Segura
Conector de dados para enviar e-mails do MailRisk para o Microsoft Sentinel Log Analytics.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
MailRiskEmails_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais da API: o par de chaves da API de Prática Segura também é necessário, que são criados nas definições no portal de administração. Se tiver perdido o segredo da API, pode gerar um novo par de chaves (AVISO: quaisquer outras integrações que utilizem o par de chaves antigo deixarão de funcionar).
Microsoft 365 (anteriormente, Office 365)
Suportado por:Microsoft Corporation
O conector de registo de atividades do Microsoft 365 (anteriormente Office 365) fornece informações sobre as atividades de utilizador em curso. Obterá detalhes de operações como transferências de ficheiros, pedidos de acesso enviados, alterações a eventos de grupo, caixa de correio de conjunto e detalhes do utilizador que realizou as ações. Ao ligar os registos do Microsoft 365 ao Microsoft Sentinel pode utilizar estes dados para ver dashboards, criar alertas personalizados e melhorar o processo de investigação. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
OfficeActivity |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Gestão de Riscos Internos do Microsoft 365
Suportado por:Microsoft Corporation
A Gestão de Riscos Internos do Microsoft 365 é uma solução de conformidade no Microsoft 365 que ajuda a minimizar os riscos internos ao permitir-lhe detetar, investigar e agir sobre atividades maliciosas e inadvertidas na sua organização. Os analistas de risco na sua organização podem tomar rapidamente as medidas adequadas para garantir que os utilizadores estão em conformidade com as normas de conformidade da sua organização.
As políticas de risco interno permitem-lhe:
- defina os tipos de riscos que pretende identificar e detetar na sua organização.
- decidir quais as ações a tomar em resposta, incluindo a escalada de casos para o Microsoft Advanced eDiscovery, se necessário.
Esta solução produz alertas que podem ser vistos pelos clientes do Office na solução Gestão de Riscos Internos no Centro de Conformidade do Microsoft 365. Saiba mais sobre a Gestão de Riscos Internos.
Estes alertas podem ser importados para Microsoft Sentinel com este conector, permitindo-lhe ver, investigar e responder aos mesmos num contexto de ameaça organizacional mais amplo. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityAlert |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Registos de Eventos de Segurança dos Controladores de Domínio do Microsoft Active-Directory
Suportado por:Comunidade
[Opção 3 & 4] - Utilizar o Agente do Azure Monitor - pode transmitir em fluxo uma parte ou todos os registos de Eventos de Segurança de Controladores de Domínio a partir dos computadores Windows ligados à área de trabalho Microsoft Sentinel com o agente do Windows. Esta ligação permite-lhe criar alertas personalizados e melhorar a investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityEvent |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure o Log Analytics será preterido, para recolher dados de VMs não Azure, recomenda-se Azure Arc. Saiba mais
-
Documentação detalhada: >NOTA: pode encontrar documentação detalhada sobre o procedimento de instalação e a utilização aqui
Microsoft Copilot
Suportado por:Microsoft
O conector de registos de Microsoft Copilot no Microsoft Sentinel permite a ingestão totalmente integrada de registos de atividades gerados por Copilot do M365 Copilot e Security Copilot em Microsoft Sentinel para deteção avançada de ameaças, investigação e resposta. Recolhe telemetria de serviços de Microsoft Copilot, como dados de utilização e respostas do sistema e ingestões em Microsoft Sentinel, permitindo que as equipas de segurança monitorizem a utilização indevida, detetem anomalias e mantenham a conformidade com as políticas organizacionais.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CopilotActivity |
Não | Sim |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Permissões de Inquilino: "Administrador de Segurança" ou "Administrador Global" no inquilino da área de trabalho.
Microsoft Dataverse
Suportado por:Microsoft Corporation
O Microsoft Dataverse é uma plataforma de dados dimensionável e segura que permite às organizações armazenar e gerir dados utilizados por aplicações empresariais. O conector de dados Do Microsoft Dataverse fornece a capacidade de ingerir o Dataverse e Dynamics 365 registos de atividades crm do Auditoria do Microsoft Purview iniciar sessão no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
DataverseActivity |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões de Inquilino: "Administrador de Segurança" ou "Administrador Global" no inquilino da área de trabalho.
- Auditoria do Micorosft Purview: Auditoria do Microsoft Purview (Standard ou Premium) têm de ser ativados.
- Dataverse de Produção: o registo de atividades está disponível apenas para ambientes de Produção. Outros tipos, como o sandbox, não suportam o registo de atividades.
-
Definições de Auditoria do Dataverse: as definições de auditoria têm de ser configuradas globalmente e ao nível da entidade/tabela. Para obter mais informações, veja Definições de auditoria do Dataverse.
Microsoft Defender for Cloud Apps
Suportado por:Microsoft Corporation
Ao ligar-se a Microsoft Defender for Cloud Apps irá obter visibilidade sobre as suas aplicações na cloud, obter análises sofisticadas para identificar e combater ciberameaças e controlar o modo de deslocação dos seus dados.
- Identifique aplicações na nuvem de TI sombra na sua rede.
- Controlar e limitar o acesso com base nas condições e no contexto de sessão.
- Utilize políticas incorporadas ou personalizadas para partilha de dados e prevenção de perda de dados.
- Identifique a utilização de alto risco e obtenha alertas para atividades invulgares do utilizador com a análise comportamental da Microsoft e capacidades de deteção de anomalias, incluindo atividade de ransomware, viagens impossíveis, regras de reencaminhamento de e-mail suspeitas e transferência em massa de ficheiros.
- Transferência em massa de ficheiros
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityAlert |
Não | Não |
McasShadowItReporting |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Microsoft Defender para Endpoint
Suportado por:Microsoft Corporation
Microsoft Defender para Endpoint é uma plataforma de segurança concebida para prevenir, detetar, investigar e responder a ameaças avançadas. A plataforma cria alertas quando são vistos eventos de segurança suspeitos numa organização. Obtenha alertas gerados no Microsoft Defender para Endpoint para Microsoft Sentinel para que possa analisar eventos de segurança de forma eficaz. Pode criar regras, criar dashboards e criar manuais de procedimentos para resposta imediata. Para obter mais informações, veja a documentação >do Microsoft Sentinel .
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityAlert |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Microsoft Defender para Identidade
Suportado por:Microsoft Corporation
Ligue Microsoft Defender para Identidade para obter visibilidade sobre os eventos e a análise de utilizadores. Microsoft Defender para Identidade identifica, deteta e ajuda a investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas para a sua organização. Microsoft Defender para Identidade permite que analistas secOp e profissionais de segurança que lutam para detetar ataques avançados em ambientes híbridos:
- Monitorizar utilizadores, comportamentos de entidades e atividades com análises baseadas na aprendizagem
- Proteger identidades e credenciais de utilizador armazenadas no Active Directory
- Identificar e investigar atividades suspeitas de utilizadores e ataques avançados em toda a cadeia de eliminação
- Forneça informações claras sobre incidentes numa linha cronológica simples para uma triagem rápida
Para obter mais informações, veja a documentação >do Microsoft Sentinel .
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityAlert |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Microsoft Defender para IoT
Suportado por:Microsoft Corporation
Obtenha informações sobre a sua segurança de IoT ao ligar Microsoft Defender para alertas de IoT a Microsoft Sentinel. Pode obter métricas e dados de alertas inativas, incluindo tendências de alertas, alertas principais e discriminação de alertas por gravidade. Também pode obter informações sobre as recomendações fornecidas para os seus hubs IoT, incluindo recomendações e recomendações principais por gravidade. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityAlert |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Microsoft Defender para Office 365 (Pré-visualização)
Suportado por:Microsoft Corporation
Microsoft Defender para Office 365 protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. Ao ingerir Microsoft Defender para Office 365 alertas em Microsoft Sentinel, pode incorporar informações sobre ameaças baseadas no e-mail e no URL na sua análise de risco mais ampla e criar cenários de resposta em conformidade.
Serão importados os seguintes tipos de alertas:
- Foi detetado um clique de URL potencialmente malicioso
- Email mensagens que contêm software maligno removido após a entrega
- Email mensagens que contêm URLs de phish removidos após a entrega
- Email comunicados pelo utilizador como software maligno ou phish
- Foram detetados padrões de envio de e-mail suspeitos
- Utilizador impedido de enviar e-mails
Estes alertas podem ser vistos pelos clientes do Office no ** Centro de Segurança e Conformidade do Office**.
Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityAlert |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Informações sobre Ameaças do Microsoft Defender
Suportado por:Microsoft Corporation
Microsoft Sentinel fornece-lhe a capacidade de importar informações sobre ameaças geradas pela Microsoft para ativar a monitorização, alertas e investigação. Utilize este conector de dados para importar Indicadores de Comprometimento (IOCs) de Informações sobre Ameaças do Microsoft Defender (MDTI) para Microsoft Sentinel. Os indicadores de ameaças podem incluir endereços IP, domínios, URLs e hashes de ficheiros, etc.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Microsoft Defender XDR
Suportado por:Microsoft Corporation
Microsoft Defender XDR é um conjunto de defesa empresarial unificado, integrado nativamente integrado, pré e pós-falha que protege o ponto final, a identidade, o e-mail e as aplicações e ajuda-o a detetar, prevenir, investigar e responder automaticamente a ameaças sofisticadas.
Microsoft Defender XDR conjunto inclui:
- Microsoft Defender para Endpoint
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365
- Gestão de Vulnerabilidades do & de Ameaças
- Microsoft Defender for Cloud Apps
Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityIncident |
Sim | Sim |
SecurityAlert |
Sim | Sim |
DeviceEvents |
Sim | Sim |
EmailEvents |
Sim | Sim |
IdentityLogonEvents |
Sim | Sim |
CloudAppEvents |
Sim | Sim |
AlertEvidence |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Microsoft Entra ID
Suportado por:Microsoft Corporation
Obtenha informações sobre Microsoft Entra ID ao ligar registos de Auditoria e início de sessão a Microsoft Sentinel para recolher informações sobre cenários Microsoft Entra ID. Pode saber mais sobre a utilização de aplicações, políticas de acesso condicional, detalhes relacionados com a autenticação legada através dos nossos Registos de início de sessão. Pode obter informações sobre a utilização da Reposição Personalizada de Palavra-passe (SSPR), Microsoft Entra ID Atividades de gestão como utilizador, grupo, função, gestão de aplicações com a nossa tabela Registos de auditoria. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SigninLogs |
Sim | Sim |
AuditLogs |
Sim | Sim |
AADNonInteractiveUserSignInLogs |
Sim | Sim |
AADServicePrincipalSignInLogs |
Sim | Sim |
AADManagedIdentitySignInLogs |
Sim | Sim |
AADProvisioningLogs |
Sim | Sim |
ADFSSignInLogs |
Sim | Sim |
AADUserRiskEvents |
Sim | Sim |
AADRiskyUsers |
Sim | Sim |
NetworkAccessTraffic |
Sim | Sim |
AADRiskyServicePrincipals |
Sim | Sim |
AADServicePrincipalRiskEvents |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Recursos do Microsoft Entra ID
Suportado por:Microsoft Corporation
Entra conector de dados de recursos de ID fornece informações mais detalhadas sobre os dados de atividade ao complementar os detalhes com informações de ativos. Os dados deste conector são utilizados para criar gráficos de risco de dados no Purview. Se tiver ativado esses gráficos, desativar este Conector impedirá que os gráficos sejam criados. Saiba mais sobre o gráfico de risco de dados.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|
Suporte de regras de recolha de dados: Não suportado atualmente
Proteção Microsoft Entra ID
Suportado por:Microsoft Corporation
Microsoft Entra ID Protection fornece uma vista consolidada em utilizadores de risco, eventos de risco e vulnerabilidades, com a capacidade de remediar o risco imediatamente e definir políticas para remediar automaticamente eventos futuros. O serviço baseia-se na experiência da Microsoft em proteger identidades de consumidor e obtém uma enorme precisão do sinal de mais de 13 mil milhões de inícios de sessão por dia. Integre alertas do Microsoft Microsoft Entra ID Protection com Microsoft Sentinel para ver dashboards, criar alertas personalizados e melhorar a investigação. Para obter mais informações, veja a documentação do Microsoft Sentinel .
Obter Microsoft Entra ID Premium P1/P2
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityAlert |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Registos de Auditoria do Microsoft Exchange Administração por Registos de Eventos
Suportado por:Comunidade
[Opção 1] - Utilizar o Agente Azure Monitor - pode transmitir em fluxo todos os eventos de Auditoria do Exchange a partir dos computadores Windows ligados à área de trabalho Microsoft Sentinel com o agente do Windows. Esta ligação permite-lhe ver dashboards, criar alertas personalizados e melhorar a investigação. Isto é utilizado pelos Livros de Segurança do Microsoft Exchange para fornecer informações de segurança do seu ambiente do Exchange no Local
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Event |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure o Log Analytics será preterido, para recolher dados de VMs não Azure, recomenda-se Azure Arc. Saiba mais
-
Documentação detalhada: >NOTA: pode encontrar documentação detalhada sobre o procedimento de instalação e a utilização aqui
Registos de Proxy HTTP do Microsoft Exchange
Suportado por:Comunidade
[Opção 7] - Utilizar o Agente do Azure Monitor - pode transmitir em fluxo registos de Proxy HTTP e registos de Eventos de Segurança a partir dos computadores Windows ligados à área de trabalho Microsoft Sentinel com o agente do Windows. Esta ligação permite-lhe criar alertas personalizados e melhorar a investigação. Saiba mais
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ExchangeHttpProxy_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure o Log Analytics será preterido: Azure o Log Analytics será preterido, para recolher dados de VMs não Azure, recomenda-se Azure Arc. Saiba mais
-
Documentação detalhada: >NOTA: pode encontrar documentação detalhada sobre o procedimento de instalação e a utilização aqui
Eventos e Registos do Microsoft Exchange
Suportado por:Comunidade
[Opção 2] - Utilizar o Agente do Azure Monitor - pode transmitir em fluxo todos os registos de Eventos da Aplicação & de Segurança do Exchange a partir dos computadores Windows ligados à área de trabalho Microsoft Sentinel com o agente do Windows. Esta ligação permite-lhe criar alertas personalizados e melhorar a investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Event |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure o Log Analytics será preterido: Azure o Log Analytics será preterido, para recolher dados de VMs não Azure, recomenda-se Azure Arc. Saiba mais
-
Documentação detalhada: >NOTA: pode encontrar documentação detalhada sobre o procedimento de instalação e a utilização aqui
Registos de Controlo de Mensagens do Microsoft Exchange
Suportado por:Comunidade
[Opção 6] - Utilizar o Agente Azure Monitor - pode transmitir em fluxo todo o Controlo de Mensagens do Exchange a partir dos computadores Windows ligados à área de trabalho Microsoft Sentinel utilizando o agente do Windows. Esses registos podem ser utilizados para controlar o fluxo de mensagens no seu ambiente do Exchange. Este conector de dados baseia-se na opção 6 do wiki de Segurança do Microsoft Exchange.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
MessageTrackingLog_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure o Log Analytics será preterido: Azure o Log Analytics será preterido, para recolher dados de VMs não Azure, recomenda-se Azure Arc. Saiba mais
-
Documentação detalhada: >NOTA: pode encontrar documentação detalhada sobre o procedimento de instalação e a utilização aqui
Microsoft Power Automate
Suportado por:Microsoft Corporation
O Power Automate é um serviço Microsoft que ajuda os utilizadores a criar fluxos de trabalho automatizados entre aplicações e serviços para sincronizar ficheiros, obter notificações, recolher dados e muito mais. Simplifica a automatização de tarefas, aumentando a eficiência ao reduzir as tarefas manuais e repetitivas e ao aumentar a produtividade. O conector de dados do Power Automate fornece a capacidade de ingerir registos de atividades do Power Automate a partir do Auditoria do Microsoft Purview iniciar sessão no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
PowerAutomateActivity |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões de Inquilino: "Administrador de Segurança" ou "Administrador Global" no inquilino da área de trabalho.
-
Auditoria do Micorosft Purview: Auditoria do Microsoft Purview (Standard ou Premium) têm de ser ativados.
Atividade de Administração do Microsoft Power Platform
Suportado por:Microsoft Corporation
O Microsoft Power Platform é um conjunto de código baixo/sem código que permite aos programadores cidadãos e profissionais simplificar os processos empresariais ao permitir a criação de aplicações personalizadas, automatização de fluxos de trabalho e análise de dados com codificação mínima. O conector de dados Administração do Power Platform fornece a capacidade de ingerir registos de atividades de administrador do Power Platform a partir do Auditoria do Microsoft Purview iniciar sessão no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
PowerPlatformAdminActivity |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões de Inquilino: "Administrador de Segurança" ou "Administrador Global" no inquilino da área de trabalho.
-
Auditoria do Micorosft Purview: Auditoria do Microsoft Purview (Standard ou Premium) têm de ser ativados.
Microsoft PowerBI
Suportado por:Microsoft Corporation
O Microsoft PowerBI é uma coleção de serviços de software, aplicações e conectores que funcionam em conjunto para transformar as suas origens de dados não relacionadas em informações coerentes, visualmente envolventes e interativas. Os seus dados podem ser uma folha de cálculo do Excel, uma coleção de armazéns de dados híbridos no local e baseados na cloud ou um arquivo de dados de outro tipo. Este conector permite-lhe transmitir os registos de auditoria do PowerBI para Microsoft Sentinel, permitindo-lhe controlar as atividades dos utilizadores no seu ambiente do PowerBI. Pode filtrar os dados de auditoria por intervalo de datas, utilizador, dashboard, relatório, conjunto de dados e tipo de atividade.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
PowerBIActivity |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Microsoft Project
Suportado por:Microsoft
O Microsoft Project (MSP) é uma solução de software de gestão de projetos. Consoante o seu plano, o Microsoft Project permite-lhe planear projetos, atribuir tarefas, gerir recursos, criar relatórios e muito mais. Este conector permite-lhe transmitir em fluxo os registos de auditoria do Azure Project para Microsoft Sentinel para controlar as atividades do projeto.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ProjectActivity |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Microsoft Purview
Suportado por:Microsoft Corporation
Ligue-se ao Microsoft Purview para permitir o melhoramento da confidencialidade dos dados de Microsoft Sentinel. Os registos de etiquetas de confidencialidade e classificação de dados das análises do Microsoft Purview podem ser ingeridos e visualizados através de livros, regras analíticas e muito mais. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
PurviewDataSensitivityLogs |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Proteção de Informações do Microsoft Purview
Suportado por:Microsoft Corporation
Proteção de Informações do Microsoft Purview ajuda-o a descobrir, classificar, proteger e governar informações confidenciais onde quer que ela viva ou viaje. A utilização destas capacidades permite-lhe conhecer os seus dados, identificar itens confidenciais e obter visibilidade sobre como estão a ser utilizados para proteger melhor os seus dados. As etiquetas de confidencialidade são a capacidade fundamental que fornece ações de proteção, aplicando encriptação, restrições de acesso e marcações visuais. Integre Proteção de Informações do Microsoft Purview registos com Microsoft Sentinel para ver dashboards, criar alertas personalizados e melhorar a investigação. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
MicrosoftPurviewInformationProtection |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Auditoria mimecast
Suportado por:Mimecast
O conector de dados da Auditoria mimecast fornece aos clientes a visibilidade dos eventos de segurança relacionados com eventos de auditoria e autenticação no Microsoft Sentinel. O conector de dados fornece dashboards pré-criados para permitir aos analistas ver informações sobre a atividade do utilizador, ajudar na correlação de incidentes e reduzir os tempos de resposta da investigação, juntamente com capacidades de alerta personalizadas.
Os produtos Mimecast incluídos no conector são: Auditoria
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Audit_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no Microsoft Entra ID e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: veja a documentação para saber mais sobre a API na referência da API Rest
Autenticação & de Auditoria mimecast (com Funções do Azure)
Suportado por:Mimecast
O conector de dados da Autenticação de & de Auditoria mimecast fornece aos clientes a visibilidade dos eventos de segurança relacionados com eventos de auditoria e autenticação no Microsoft Sentinel. O conector de dados fornece dashboards pré-criados para permitir aos analistas ver informações sobre a atividade do utilizador, ajudar na correlação de incidentes e reduzir os tempos de resposta da investigação, juntamente com capacidades de alerta personalizadas.
Os produtos Mimecast incluídos no conector são: Auditoria & Autenticação
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
MimecastAudit_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Credenciais da API mimecast: tem de ter as seguintes informações para configurar a integração:
- mimecastEmail: Email endereço de um utilizador administrador de Mimecast dedicado
- mimecastPassword: palavra-passe para o utilizador administrador de Mimecast dedicado
- mimecastAppId: ID da Aplicação API da aplicação mimecast Microsoft Sentinel registada com Mimecast
- mimecastAppKey: Chave da Aplicação API da aplicação mimecast Microsoft Sentinel registada com Mimecast
- mimecastAccessKey: Chave de Acesso para o utilizador administrador de Mimecast dedicado
- mimecastSecretKey: Chave Secreta para o utilizador administrador de Mimecast dedicado
- mimecastBaseURL: URL de Base da API Regional mimecast
O ID da Aplicação Mimecast, a Chave da Aplicação, juntamente com as chaves Chave de Acesso e Segredo do utilizador administrador de Mimecast dedicado são obtidas através da Consola de Administração mimecast: Administração | Serviços | Integrações de API e Plataforma.
O URL base da API mimecast para cada região está documentado aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupo de recursos: precisa de ter um grupo de recursos criado com uma subscrição que vai utilizar.
- Aplicação de funções: tem de ter um Aplicação Azure AD registado para este conector utilizar
- ID da Aplicação
- ID do Inquilino
- ID de Cliente
- Segredo do Cliente
Formação de Sensibilização para Mimecast
Suportado por:Mimecast
O conector de dados da Formação de Sensibilização para Mimecast fornece aos clientes a visibilidade sobre eventos de segurança relacionados com as tecnologias de inspeção da Proteção Contra Ameaças Direcionadas no Microsoft Sentinel. O conector de dados fornece dashboards pré-criados para permitir que os analistas vejam informações sobre ameaças baseadas em e-mail, ajudar na correlação de incidentes e reduzir os tempos de resposta da investigação juntamente com capacidades de alerta personalizadas.
Os produtos Mimecast incluídos no conector são:
- Detalhes de Desempenho
- Detalhes da Classificação de Segurança
- Dados do Utilizador
- Detalhes da Lista de Observação
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Awareness_Performance_Details_CL |
Sim | Sim |
Awareness_SafeScore_Details_CL |
Sim | Sim |
Awareness_User_Data_CL |
Sim | Sim |
Awareness_Watchlist_Details_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no Microsoft Entra ID e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: veja a documentação para saber mais sobre a API na referência da API Rest
Cloud Mimecast Integrada
Suportado por:Mimecast
O conector de dados do Mimecast Cloud Integrated fornece aos clientes a visibilidade sobre eventos de segurança relacionados com as tecnologias de inspeção Integrada da Cloud no Microsoft Sentinel. O conector de dados fornece dashboards pré-criados para permitir que os analistas vejam informações sobre ameaças baseadas em e-mail, ajudar na correlação de incidentes e reduzir os tempos de resposta da investigação juntamente com capacidades de alerta personalizadas.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Cloud_Integrated_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no Microsoft Entra ID e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: veja a documentação para saber mais sobre a API na referência da API Rest
Mimecast Intelligence para a Microsoft – Microsoft Sentinel (com Funções do Azure)
Suportado por:Mimecast
O conector de dados do Mimecast Intelligence para a Microsoft fornece informações regionais sobre ameaças organizadas pelas tecnologias de inspeção de e-mail da Mimecast com dashboards pré-criados para permitir que os analistas vejam informações sobre ameaças baseadas em e-mail, ajudar na correlação de incidentes e reduzir os tempos de resposta da investigação.
São necessários produtos e funcionalidades mimecast:
- Mimecast Secure Email Gateway
- Mimecast Threat Intelligence
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Credenciais da API mimecast: tem de ter as seguintes informações para configurar a integração:
- mimecastEmail: Email endereço de um utilizador administrador de Mimecast dedicado
- mimecastPassword: palavra-passe para o utilizador administrador de Mimecast dedicado
- mimecastAppId: ID da Aplicação API da aplicação mimecast Microsoft Sentinel registada com Mimecast
- mimecastAppKey: Chave da Aplicação API da aplicação mimecast Microsoft Sentinel registada com Mimecast
- mimecastAccessKey: Chave de Acesso para o utilizador administrador de Mimecast dedicado
- mimecastSecretKey: Chave Secreta para o utilizador administrador de Mimecast dedicado
- mimecastBaseURL: URL de Base da API Regional mimecast
O ID da Aplicação Mimecast, a Chave da Aplicação, juntamente com as chaves Chave de Acesso e Segredo do utilizador administrador de Mimecast dedicado são obtidas através da Consola de Administração mimecast: Administração | Serviços | Integrações de API e Plataforma.
O URL base da API mimecast para cada região está documentado aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupo de recursos: precisa de ter um grupo de recursos criado com uma subscrição que vai utilizar.
- Aplicação de funções: tem de ter um Aplicação Azure AD registado para este conector utilizar
- ID da Aplicação
- ID do Inquilino
- ID de Cliente
- Segredo do Cliente
Mimecast Secure Email Gateway
Suportado por:Mimecast
O conector de dados do Gateway de Email Seguro mimecast permite uma recolha fácil de registos do Gateway de Email Seguro para informações de e-mail e atividade do utilizador no Microsoft Sentinel. O conector de dados fornece dashboards pré-criados para permitir que os analistas vejam informações sobre ameaças baseadas em e-mail, ajudar na correlação de incidentes e reduzir os tempos de resposta da investigação juntamente com capacidades de alerta personalizadas. São necessários produtos e funcionalidades mimecast:
- Gateway de Nuvem mimecast
- Prevenção de Fuga de Dados mimecast
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Seg_Cg_CL |
Sim | Sim |
Seg_Dlp_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no Microsoft Entra ID e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: veja a documentação para saber mais sobre a API na referência da API Rest
Mimecast Secure Email Gateway (com Funções do Azure)
Suportado por:Mimecast
O conector de dados do Gateway de Email Seguro mimecast permite uma recolha fácil de registos do Gateway de Email Seguro para informações de e-mail e atividade do utilizador no Microsoft Sentinel. O conector de dados fornece dashboards pré-criados para permitir que os analistas vejam informações sobre ameaças baseadas em e-mail, ajudar na correlação de incidentes e reduzir os tempos de resposta da investigação juntamente com capacidades de alerta personalizadas. São necessários produtos e funcionalidades mimecast:
- Mimecast Secure Email Gateway
- Prevenção de Fuga de Dados mimecast
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
MimecastSIEM_CL |
Não | Não |
MimecastDLP_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Credenciais da API mimecast: tem de ter as seguintes informações para configurar a integração:
- mimecastEmail: Email endereço de um utilizador administrador de Mimecast dedicado
- mimecastPassword: palavra-passe para o utilizador administrador de Mimecast dedicado
- mimecastAppId: ID da Aplicação API da aplicação mimecast Microsoft Sentinel registada com Mimecast
- mimecastAppKey: Chave da Aplicação API da aplicação mimecast Microsoft Sentinel registada com Mimecast
- mimecastAccessKey: Chave de Acesso para o utilizador administrador de Mimecast dedicado
- mimecastSecretKey: Chave Secreta para o utilizador administrador de Mimecast dedicado
- mimecastBaseURL: URL de Base da API Regional mimecast
O ID da Aplicação Mimecast, a Chave da Aplicação, juntamente com as chaves Chave de Acesso e Segredo do utilizador administrador de Mimecast dedicado são obtidas através da Consola de Administração mimecast: Administração | Serviços | Integrações de API e Plataforma.
O URL base da API mimecast para cada região está documentado aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupo de recursos: precisa de ter um grupo de recursos criado com uma subscrição que vai utilizar.
- Aplicação de funções: tem de ter um Aplicação Azure AD registado para este conector utilizar
- ID da Aplicação
- ID do Inquilino
- ID de Cliente
- Segredo do Cliente
Mimecast Targeted Threat Protection
Suportado por:Mimecast
O conector de dados do Mimecast Targeted Threat Protection fornece aos clientes a visibilidade dos eventos de segurança relacionados com as tecnologias de inspeção da Proteção Contra Ameaças Direcionadas no Microsoft Sentinel. O conector de dados fornece dashboards pré-criados para permitir que os analistas vejam informações sobre ameaças baseadas em e-mail, ajudar na correlação de incidentes e reduzir os tempos de resposta da investigação juntamente com capacidades de alerta personalizadas.
Os produtos Mimecast incluídos no conector são:
- Proteção de URL
- Proteger representação
- Proteção de Anexos
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Ttp_Url_CL |
Sim | Sim |
Ttp_Attachment_CL |
Sim | Sim |
Ttp_Impersonation_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no Microsoft Entra ID e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: veja a documentação para saber mais sobre a API na referência da API Rest
Mimecast Targeted Threat Protection (com Funções do Azure)
Suportado por:Mimecast
O conector de dados do Mimecast Targeted Threat Protection fornece aos clientes a visibilidade dos eventos de segurança relacionados com as tecnologias de inspeção da Proteção Contra Ameaças Direcionadas no Microsoft Sentinel. O conector de dados fornece dashboards pré-criados para permitir que os analistas vejam informações sobre ameaças baseadas em e-mail, ajudar na correlação de incidentes e reduzir os tempos de resposta da investigação juntamente com capacidades de alerta personalizadas.
Os produtos Mimecast incluídos no conector são:
- Proteção de URL
- Proteger representação
- Proteção de Anexos
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
MimecastTTPUrl_CL |
Não | Não |
MimecastTTPAttachment_CL |
Não | Não |
MimecastTTPImpersonation_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Credenciais/permissões da API REST: tem de ter as seguintes informações para configurar a integração:
- mimecastEmail: Email endereço de um utilizador administrador de Mimecast dedicado
- mimecastPassword: palavra-passe para o utilizador administrador de Mimecast dedicado
- mimecastAppId: ID da Aplicação API da aplicação mimecast Microsoft Sentinel registada com Mimecast
- mimecastAppKey: Chave da Aplicação API da aplicação mimecast Microsoft Sentinel registada com Mimecast
- mimecastAccessKey: Chave de Acesso para o utilizador administrador de Mimecast dedicado
- mimecastSecretKey: Chave Secreta para o utilizador administrador de Mimecast dedicado
- mimecastBaseURL: URL de Base da API Regional mimecast
O ID da Aplicação Mimecast, a Chave da Aplicação, juntamente com as chaves Chave de Acesso e Segredo do utilizador administrador de Mimecast dedicado são obtidas através da Consola de Administração mimecast: Administração | Serviços | Integrações de API e Plataforma.
O URL base da API mimecast para cada região está documentado aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
MISP2Sentinel
Suportado por:Comunidade
Esta solução instala o conector MISP2Sentinel que lhe permite emitir automaticamente indicadores de ameaças do MISP para Microsoft Sentinel através da API REST Dos Indicadores de Carregamento. Depois de instalar a solução, configure e ative este conector de dados ao seguir as orientações na vista Gerir solução.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Registos atlas do MongoDB
Suportado por:MongoDB
O conector MongoDBAtlas Logs dá a capacidade de carregar os registos da base de dados Atlas do MongoDB para Microsoft Sentinel através da API de Administração do Atlas do MongoDB. Veja a documentação da API para obter mais informações. O conector fornece a capacidade de obter um intervalo de mensagens de registo de bases de dados para os anfitriões especificados e o projeto especificado.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
MDBALogTable_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: o ID de Cliente e o Segredo do Cliente da conta de serviço Atlas do MongoDB são necessários. Para obter mais informações, veja Criar uma conta de serviço
MuleSoft Cloudhub (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados do MuleSoft Cloudhub fornece a capacidade de obter registos de aplicações do Cloudhub com a API do Cloudhub e mais eventos para Microsoft Sentinel através da API REST. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
MuleSoft_Cloudhub_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername e MuleSoftPassword são necessários para fazer chamadas à API.
NC Protect
Suportado por:archTIS
O Nc Protect Data Connector (archtis.com) fornece a capacidade de ingerir eventos e registos de atividades do utilizador em Microsoft Sentinel. O conector fornece visibilidade sobre os eventos e os registos de atividades do utilizador do NC Protect no Microsoft Sentinel para melhorar as capacidades de monitorização e investigação
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
NCProtectUAL_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Nc Protect: tem de ter uma instância em execução do NC Protect para o O365.
Contacte-nos.
Alertas e Eventos de Netskope
Suportado por:Netskope
Eventos e Alertas de Segurança de Netskope
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
NetskopeAlerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Url da organização Netskope: o conector de dados Netskope requer que forneça o URL da sua organização. Pode encontrar o URL da sua organização ao iniciar sessão no portal Netskope.
-
Chave da API Netskope: o conector de dados Netskope requer que forneça uma chave de API válida. Pode criar uma ao seguir a documentação do Netskope.
Conector de Dados de Netskope
Suportado por:Netskope
O conector de dados Netskope fornece as seguintes capacidades:
- NetskopeToAzureStorage:
- Obtenha os dados de Alertas e Eventos de Netskope a partir de Netskope e ingera para Azure armazenamento. 2. StorageToSentinel:
- Obtenha os dados de Alertas e Eventos do Netskope do armazenamento Azure e ingestão para a tabela de registos personalizada na área de trabalho do Log Analytics. 3. WebTxMetrics:
- Obtenha os dados WebTxMetrics de Netskope e ingera para a tabela de registos personalizada na área de trabalho do Log Analytics.
Para obter mais detalhes sobre as APIs REST, veja as documentação abaixo:
- Documentação da API de Netskope:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure documentação de armazenamento: /azure/storage/common/storage-introduction 3. Documentação do Microsoft Log Analytics: /azure/azure-monitor/logs/log-analytics-overview
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
alertscompromisedcredentialdata_CL |
Não | Não |
alertsctepdata_CL |
Não | Não |
alertsdlpdata_CL |
Não | Não |
alertsmalsitedata_CL |
Não | Não |
alertsmalwaredata_CL |
Não | Não |
alertspolicydata_CL |
Não | Não |
alertsquarantinedata_CL |
Não | Não |
alertsremediationdata_CL |
Não | Não |
alertssecurityassessmentdata_CL |
Não | Não |
alertsubadata_CL |
Não | Não |
eventsapplicationdata_CL |
Não | Não |
eventsauditdata_CL |
Não | Não |
eventsconnectiondata_CL |
Não | Não |
eventsincidentdata_CL |
Não | Não |
eventsnetworkdata_CL |
Não | Não |
eventspagedata_CL |
Não | Não |
Netskope_WebTx_metrics_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no azure active directory() e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: é necessário o Inquilino de Netskope e o Token da API Netskope . Veja a documentação para saber mais sobre a API na referência da API Rest
Conector de Transação Web Netskope (através do Armazenamento de Blobs)
Suportado por:Netskope
O conector Netskope Web Transaction ingere registos de transações Web da Transmissão em Fluxo de Registos do Netskope para Microsoft Sentinel através de Armazenamento de Blobs do Azure com o Codeless Connector Framework (CCF).
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
NetskopeWebTransactions_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões de subscrição: precisa de permissões para criar os recursos do fluxo de dados:
- filas de armazenamento (fila de notificação e fila de mensagens não entregues)
- tópico e subscrição do event grid (para enviar notificações de "evento criado por blobs" para a fila de notificação)
- atribuições de funções (para conceder acesso a Microsoft Sentinel aplicação ao contentor de blobs e às filas de armazenamento.)
- Configuração da Rede da Conta de Armazenamento: as restrições de rede (regras de firewall/IP) na conta de Armazenamento de Blobs do Azure não são suportadas para este conector devido a restrições e limitações da firewall do Armazenamento Azure:
- As regras de rede IPnão têm qualquer efeitonos pedidos provenientes da mesma região Azure que a conta de armazenamento.
- As regras de rede IPnão podem restringiro acesso a serviços Azure implementados na mesma região, uma vez que estes serviços utilizam endereços IP de Azure privados para comunicação.
- As regras de ponto final de serviço de rede virtual não se aplicam aos clientes numa região emparelhada.
Certifique-se de que o painel Rede da conta de armazenamento está definido como Ativado a partir de todas as redes.
- Atribuições de Funções da Conta de Armazenamento: as seguintes funções RBAC Azure têm de ser atribuídas ao principal de serviço de aplicação empresarial Microsoft Sentinel (apresentado abaixo) na Conta de Armazenamento que contém o contentor de blobs:
- Contribuidor de Dados do Blob de Armazenamento — necessário para ler dados de blobs do contentor.
- Contribuidor de Dados da Fila de Armazenamento — necessário para gerir mensagens de notificação e filas de mensagens não entregues.
Para atribuir estas funções: navegue para a Conta de Armazenamento → Controlo de Acesso (IAM) → Adicionar atribuição de função, procure o ID do principal de serviço apresentado abaixo e atribua ambas as funções.
-
Recolher dados de Netskope para o contentor de blobs: siga os passos na documentação da Transmissão em Fluxo de Registos do Netskope para configurar o Netskope para transmitir os registos de Transações Web para o seu contentor de Armazenamento de Blobs do Azure.
Conector de Dados de Transações Web Netskope
Suportado por:Netskope
O conector de dados Netskope Web Transactions fornece a funcionalidade de uma imagem do Docker para extrair os dados de Transações Web Netskope do google pubsublite, processar os dados e ingerir os dados processados para o Log Analytics. Como parte deste conector de dados, serão formadas duas tabelas no Log Analytics, uma para dados de Transações Web e outra para erros encontrados durante a execução.
Para obter mais detalhes relacionados com Transações Web, veja a documentação abaixo:
- Documentação do Netskope Web Transactions:
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
NetskopeWebtxData_CL |
Não | Não |
NetskopeWebtxErrors_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no Microsoft Entra ID e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Compute: são necessárias permissões de leitura e escrita para Azure VMs. Para obter mais informações, veja Azure VMs.
- TransactionEvents Credentials and Permissions: Netskope Tenant and Netskope API Token is required. Para obter mais informações, veja Eventos de Transação.
-
Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
Grupos de Segurança de Rede
Suportado por:Microsoft Corporation
Azure grupos de segurança de rede (NSG) permitem-lhe filtrar o tráfego de rede de e para Azure recursos numa rede virtual Azure. Um grupo de segurança de rede inclui regras que permitem ou negam o tráfego para uma sub-rede de rede virtual, interface de rede ou ambos.
Quando ativa o registo para um NSG, pode recolher os seguintes tipos de informações de registo de recursos:
- Evento: As entradas são registadas para as quais as regras do NSG são aplicadas às VMs, com base no endereço MAC.
- Contador de regras: Contém entradas para o número de vezes que cada regra NSG é aplicada para negar ou permitir tráfego. O estado destas regras é recolhido a cada 300 segundos.
Este conector permite-lhe transmitir em fluxo os registos de diagnóstico do NSG para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade em todas as suas instâncias. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
AzureDiagnostics |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
NordPass
Suportado por:NordPass
A integração do NordPass com Microsoft Sentinel SIEM através da API permitirá transferir automaticamente dados do Registo de Atividades do NordPass para Microsoft Sentinel e obter informações em tempo real, como a atividade do item, todas as tentativas de início de sessão e notificações de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
NordPassEventLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Certifique-se de que o grupo de recursos e a área de trabalho do Log Analytics são criados e localizados na mesma região para que possa implementar o Funções do Azure.
- Adicione Microsoft Sentinel à área de trabalho do Log Analytics criada.
- Gere um URL e token de API de Microsoft Sentinel no Painel de Administração NordPass para concluir a integração do Funções do Azure. Tenha em atenção que precisará da conta NordPass Enterprise para tal.
-
Importante: Este conector utiliza Funções do Azure para obter registos de atividades do NordPass para Microsoft Sentinel. Isto pode resultar em custos adicionais de ingestão de dados. Para obter mais informações, consulte a página de preços do Funções do Azure.
Conector de Partilha de Dados Obsidiano
Suportado pela SegurançaObsidiana
O conector Datasharing Obsidian fornece a capacidade de ler dados de eventos não processados a partir da Partilha de Dados Obsidianos no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ObsidianActivity_CL |
Não | Não |
ObsidianThreat_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: Permissão para atribuir a função de Editor de Métricas de Monitorização na regra de recolha de dados (DCR). Normalmente, requer Azure função de Proprietário do RBAC ou Administrador de Acesso de Utilizador
Início de Sessão Único okta
Suportado por:Microsoft Corporation
O conector de dados okta single Sign-On (SSO) fornece a capacidade de ingerir registos de eventos e auditoria da API de Registo do Sysem okta para Microsoft Sentinel. O conector de dados baseia-se no Microsoft Sentinel Codeless Connector Framework e utiliza a API de Registo do Sistema Okta para obter os eventos. O conector suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de eventos de segurança recebidos em colunas personalizadas para que as consultas não precisem de analisá-la novamente, o que resulta num melhor desempenho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
OktaSSO |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Token da API okta: um token da API Okta. Siga as seguintes instruções para criar uma documentação Veja a documentação para saber mais sobre a API de Registo do Sistema Okta.
Okta Single Sign-On (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector okta single Sign-On (SSO) fornece a capacidade de ingerir registos de eventos e auditoria da API Okta para Microsoft Sentinel. O conector fornece visibilidade para estes tipos de registo no Microsoft Sentinel para ver dashboards, criar alertas personalizados e melhorar as capacidades de monitorização e investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Okta_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token da API okta: é necessário um Token da API Okta. Veja a documentação para saber mais sobre a API de Registo do Sistema Okta.
Onapsis Defender: Integrar a Deteção de Ameaças sap não correspondente & Intel com Microsoft Sentinel
Suportado por:Onapsis
Capacite as equipas de segurança com visibilidade aprofundada sobre a exploração exclusiva, o dia zero e a atividade de ator de ameaças; comportamento de utilizador suspeito ou interno; transferências de dados confidenciais; violações do controlo de segurança; e muito mais - todos enriquecidos pelos especialistas do SAP na Onapsis.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Onapsis_Defend_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: permissão para atribuir a função de Editor de Métricas de Monitorização nas regras de recolha de dados. Normalmente, requer Azure função de Proprietário de RBAC ou Administrador de Acesso de Utilizador.
Plataforma OneLogin IAM (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados do OneLogin fornece a capacidade de ingerir eventos comuns da Plataforma IAM do OneLogin em Microsoft Sentinel através da API REST com a API de Eventos do OneLogin e a API de Utilizadores do OneLogin. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
OneLoginEventsV2_CL |
Sim | Sim |
OneLoginUsersV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Credenciais da API IAM do OneLogin: para criar Credenciais de API, siga a ligação do documento aqui fornecida, clique aqui.
Confirme que tem um tipo de conta de proprietário ou administrador de conta para criar as credenciais da API.
Depois de criar as Credenciais da API, obtém o ID de Cliente e o Segredo do Cliente.
OneTrust
Suportado por:OneTrust, LLC
O conector OneTrust para Microsoft Sentinel fornece a capacidade de ter visibilidade quase em tempo real sobre onde os dados confidenciais foram localizados ou remediados em todo o Google Cloud e outras origens de dados suportadas pelo OneTrust.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
OneTrustMetadataV3_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: Permissão para atribuir a função de Editor de Métricas de Monitorização na regra de recolha de dados (DCR). Normalmente, requer Azure função de Proprietário do RBAC ou Administrador de Acesso de Utilizador
Open Systems Data Connector
Suportado por:Open Systems
A API open systems logs Microsoft Sentinel Connector fornece a capacidade de ingerir registos Open Systems no Microsoft Sentinel com a API Open Systems Logs.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
OpenSystemsZtnaLogs_CL |
Sim | Sim |
OpenSystemsFirewallLogs_CL |
Não | Não |
OpenSystemsAuthenticationLogs_CL |
Não | Não |
OpenSystemsProxyLogs_CL |
Não | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Container Apps, DCRs e DCEs: são necessárias permissões para implementar Azure Container Apps, Ambientes Geridos, Regras de Recolha de Dados (DCRs) e Pontos Finais de Recolha de Dados (DCEs). Normalmente, isto é abrangido por ter a função "Contribuidor" na subscrição ou no grupo de recursos.
- Permissões de Atribuição de Funções: são necessárias permissões para criar atribuições de funções (especificamente "Editor de Métricas de Monitorização" em DCRs) para o principal de serviço ou utilizador em implementação.
- Credenciais Necessárias para o Modelo do ARM: durante a implementação, terá de fornecer: Open Systems Logs API endpoint and cadeia de ligação, and Service Principal credentials (Client ID, Client Secret, Object/Principal ID).
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Pré-requisitos personalizados, se necessário, caso contrário, elimine esta etiqueta de alfândega: Descrição de quaisquer pré-requisitos personalizados
Oracle Cloud Infrastructure (via Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados oracle Cloud Infrastructure (OCI) fornece a capacidade de ingerir Registos OCI de Stream OCI em Microsoft Sentinel através da API REST de Transmissão em Fluxo de OCI.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
OCI_LogsV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Acesso à API de Transmissão em Fluxo do OCI: é necessário acesso à API de Transmissão em Fluxo do OCI através de Chaves de Assinatura de API.
Alertas de Segurança do Orca
Suportada pela Segurança:Orca
O conector Alertas de Segurança do Orca permite-lhe exportar facilmente registos de Alertas para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
OrcaAlerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Palo Alto Cortex XDR
Suportado por:Microsoft Corporation
O conector de dados XDR palo Alto Cortex permite a ingestão de registos da API XDR palo Alto Cortex para Microsoft Sentinel. O conector de dados baseia-se no Microsoft Sentinel Codeless Connector Framework. Utiliza a API XDR palo Alto Cortex para obter registos e suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos numa tabela personalizada para que as consultas não precisem de analisá-la novamente, o que resulta num melhor desempenho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
Sim | Sim |
PaloAltoCortexXDR_Endpoints_CL |
Sim | Sim |
PaloAltoCortexXDR_Audit_Management_CL |
Sim | Sim |
PaloAltoCortexXDR_Audit_Agent_CL |
Sim | Sim |
PaloAltoCortexXDR_Alerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Palo Alto Cortex Xpanse (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados Palo Alto Cortex Xpanse ingere dados de alertas para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CortexXpanseAlerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Palo Alto Prisma Cloud CSPM (via Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados CSPM da Palo Alto Prisma Cloud permite-lhe ligar à instância CSPM da Palo Alto Prisma Cloud e ingerir Alertas (https://pan.dev/prisma-cloud/api/cspm/alerts/) & Registos de Auditoria(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Palo Alto Prisma Cloud CWPP (com a API REST)
Suportado por:Microsoft Corporation
O conector de dados CWPP da Palo Alto Prisma Cloud permite-lhe ligar-se à sua instância CWPP da Palo Alto Prisma Cloud e ingerir alertas em Microsoft Sentinel. O conector de dados baseia-se no Codeless Connector Framework do Microsoft Sentinel e utiliza a API do Prisma Cloud para obter eventos de segurança e suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de eventos de segurança recebidos em colunas personalizadas para que as consultas não precisem de analisá-la novamente, o que resulta num melhor desempenho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
PrismaCloudCompute_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Chave da API PrismaCloudCompute: é necessário um nome de utilizador e palavra-passe da API de Monitor CWPP da Cloud palo Alto Prisma. Para obter mais informações, veja PrismaCloudCompute SIEM API (API SIEM de PrismaCloudCompute).
Pathlock Inc.: Deteção e Resposta a Ameaças para SAP
Suportado por:Pathlock Inc.
A integração da Deteção e Resposta a Ameaças de Pathlock (TD&R) com o Microsoft Sentinel Solution for SAP fornece visibilidade unificada e em tempo real sobre eventos de segurança SAP, permitindo às organizações detetar e agir sobre ameaças em todos os cenários SAP. Esta integração inicial permite que os Centros de Operações de Segurança (SOCs) correlacionem alertas específicos do SAP com telemetria de toda a empresa, criando informações acionáveis que ligam a segurança de TI a processos empresariais.
O conector do Pathlock é concebido para o SAP e reencaminha apenas eventos relevantes para a segurança por predefinição, minimizando o volume de dados e o ruído, mantendo a flexibilidade de reencaminhar todas as origens de registo quando necessário. Cada evento é enriquecido com o contexto do processo de negócio, permitindo ao Microsoft Sentinel Solution for SAP Analytics distinguir padrões operacionais de ameaças reais e priorizar o que realmente importa.
Esta abordagem orientada por precisão ajuda as equipas de segurança a reduzir drasticamente os falsos positivos, a focar investigações e a acelerar o tempo médio de deteção (MTTD) e o tempo médio de resposta (MTTR). A biblioteca do Pathlock consiste em mais de 1500 assinaturas de deteção específicas do SAP em mais de 70 origens de registo, a solução deteta comportamentos de ataque complexos, fraquezas de configuração e anomalias de acesso.
Ao combinar inteligência de contexto empresarial com análise avançada, o Pathlock permite que as empresas reforcem a precisão da deteção, simplifiquem as ações de resposta e mantenham o controlo contínuo nos respetivos ambientes SAP, sem adicionar complexidade ou camadas de monitorização redundantes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ABAPAuditLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: permissão para atribuir a função de Editor de Métricas de Monitorização nas regras de recolha de dados. Normalmente, requer Azure função de Proprietário de RBAC ou Administrador de Acesso de Utilizador.
Registos de Atividades do Perímetro 81
Suportado por:Perímetro 81
O conector registos de atividades do Perímetro 81 permite-lhe ligar facilmente os registos de atividades do Perímetro 81 com Microsoft Sentinel, ver dashboards, criar alertas personalizados e melhorar a investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Perimeter81_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Dispositivos de Fósforo
Suportado por:Phosphorus Inc.
O Conector de Dispositivos do Phosphorus fornece a capacidade de Phosphorus de ingerir registos de dados do dispositivo em Microsoft Sentinel através da API REST de Fósforo. O Conector fornece visibilidade para os dispositivos inscritos no Phosphorus. Este Conector de Dados extrai informações dos dispositivos juntamente com os alertas correspondentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Phosphorus_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Credenciais/permissões da API REST: é necessária a Chave de API de Fósforo . Certifique-se de que a Chave de API associada ao Utilizador tem as permissões Gerir Definições ativadas.
Siga estas instruções para ativar as permissões Gerir Definições.
- Inicie sessão na Aplicação Phosphorus
- Aceda a "Definições" -> "Grupos"
- Selecione o Grupo do qual o utilizador de Integração faz parte
- Navegue para "Ações do Produto" -> ative a permissão "Gerir Definições".
Ping One (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
Este conector ingere registos de atividades de auditoria da plataforma PingOne Identity para Microsoft Sentinel através de uma Arquitetura de Conector Sem Código.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Conector de Dados prancer
Suportado por:Prancer PenSuiteAI Integration
O Conector de Dados prancer tem a capacidade de ingerir prancer (CSPM)[https://docs.prancer.io/web/CSPM/] e dados pac para processar através de Microsoft Sentinel. Veja a Documentação do Prancer para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
prancer_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Inclua pré-requisitos personalizados se a conectividade exigir – caso contrário, elimine os costumes: Descrição de qualquer pré-requisito personalizado
Informações sobre Ameaças do Microsoft Defender Premium
Suportado por:Microsoft Corporation
Microsoft Sentinel fornece-lhe a capacidade de importar informações sobre ameaças geradas pela Microsoft para ativar a monitorização, alertas e investigação. Utilize este conector de dados para importar Indicadores de Comprometimento (IOCs) do Informações sobre Ameaças do Microsoft Defender Premium (MDTI) para Microsoft Sentinel. Os indicadores de ameaças podem incluir endereços IP, domínios, URLs e hashes de ficheiros, etc. Nota: este é um conector pago. Para utilizar e ingerir dados dos mesmos, compre o SKU "Acesso à API MDTI" no Centro de Parceiros.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Proofpoint On Demand Email Security (via Codeless Connector Framework)
Suportado por:Proofpoint, Inc.
O Proofpoint On Demand Email Conector de dados de Segurança fornece a capacidade de obter dados do Proofpoint on Demand Email Protection, permite que os utilizadores verifiquem a rastreabilidade das mensagens, a monitorização da atividade de e-mail, as ameaças e a transferência de dados por atacantes e utilizadores maliciosos. O conector permite rever eventos na sua organização de forma acelerada, obter ficheiros de registo de eventos em incrementos por hora para atividades recentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ProofpointPODMailLog_CL |
Sim | Sim |
ProofpointPODMessage_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Credenciais/permissões da API Websocket: ProofpointClusterID e ProofpointToken são necessários. Para obter mais informações, veja API.
Proofpoint On Demand Email Security (via Codeless Connector Framework)
Suportado por:Microsoft Corporation
O Proofpoint On Demand Email Conector de dados de Segurança fornece a capacidade de obter dados do Proofpoint on Demand Email Protection, permite que os utilizadores verifiquem a rastreabilidade das mensagens, a monitorização da atividade de e-mail, as ameaças e a transferência de dados por atacantes e utilizadores maliciosos. O conector permite rever eventos na sua organização de forma acelerada, obter ficheiros de registo de eventos em incrementos por hora para atividades recentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ProofpointPODMailLog_CL |
Sim | Sim |
ProofpointPODMessage_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Credenciais/permissões da API Websocket: ProofpointClusterID e ProofpointToken são necessários. Para obter mais informações, veja API.
Proofpoint TAP (via Codeless Connector Framework)
Suportado por:Proofpoint, Inc.
O conector Proteção contra Ataques Direcionados (TAP) do Proofpoint fornece a capacidade de ingerir registos e eventos do Proofpoint TAP em Microsoft Sentinel. O conector fornece visibilidade sobre os eventos Mensagem e Clique no Microsoft Sentinel para ver dashboards, criar alertas personalizados e melhorar as capacidades de monitorização e investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Sim | Sim |
ProofPointTAPMessagesBlockedV2_CL |
Sim | Sim |
ProofPointTAPClicksPermittedV2_CL |
Sim | Sim |
ProofPointTAPClicksBlockedV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Chave de API do TAP do Proofpoint: é necessário um segredo e principal de serviço da API do Proofpoint TAP para aceder à API SIEM do Proofpoint. Para obter mais informações, veja Proofpoint SIEM API (API DE SIEM de Proofpoint).
Proofpoint TAP (via Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector Proteção contra Ataques Direcionados (TAP) do Proofpoint fornece a capacidade de ingerir registos e eventos do Proofpoint TAP em Microsoft Sentinel. O conector fornece visibilidade sobre os eventos Mensagem e Clique no Microsoft Sentinel para ver dashboards, criar alertas personalizados e melhorar as capacidades de monitorização e investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Sim | Sim |
ProofPointTAPMessagesBlockedV2_CL |
Sim | Sim |
ProofPointTAPClicksPermittedV2_CL |
Sim | Sim |
ProofPointTAPClicksBlockedV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Chave de API do TAP do Proofpoint: é necessário um segredo e principal de serviço da API do Proofpoint TAP para aceder à API SIEM do Proofpoint. Para obter mais informações, veja Proofpoint SIEM API (API DE SIEM de Proofpoint).
QscoutAppEventsConnector (através do Codeless Connector Framework)
Suportado por:Quokka
Ingerir eventos da aplicação Qscout em Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
QscoutAppEvents_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- ID da Organização do Qscout: a API requer o ID da sua organização no Qscout.
-
Chave da API da Organização Qscout: a API requer a chave de API da sua organização no Qscout.
Base de Dados de Conhecimento Qualys (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
Ingerir Dados de Vulnerabilidade da Base de Dados de Conhecimento Qualys em Microsoft Sentinel com a versão 2.0 da API Qualys.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
QualysKnowledgeBase |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Acesso à API Qualys: requer uma Conta de Utilizador qualys com acesso de leitura aos pontos finais da Base de Dados de Conhecimento.
Qualys VM KnowledgeBase (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector Qualys Vulnerability Management (VM) KnowledgeBase (KB) fornece a capacidade de ingerir os dados de vulnerabilidade mais recentes da Qualys KB para Microsoft Sentinel.
Estes dados podem ser utilizados para correlacionar e enriquecer as deteções de vulnerabilidade encontradas pelo conector de dados da Gestão de Vulnerabilidades (VM) Qualys .
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
QualysKB_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Chave de API Qualys: é necessário um nome de utilizador e palavra-passe da API da VM Qualys. Para obter mais informações, veja Qualys VM API (API da VM Qualys).
Qualys Vulnerability Management (via Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados da Qualys Vulnerability Management (VM) fornece a capacidade de ingerir dados de deteção de anfitrião de vulnerabilidades em Microsoft Sentinel através da API Qualys. O conector fornece visibilidade sobre os dados de deteção do anfitrião a partir de análises de vulerabilidade.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
QualysHostDetectionV3_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Acesso e funções da API: certifique-se de que o utilizador da VM Qualys tem uma função de Leitor ou superior. Se a função for Leitor, certifique-se de que o acesso à API está ativado para a conta. A função de auditor não é suportada para aceder à API. Para obter mais detalhes, veja o documento Qualys VM Host Detection API (API de Deteção de Anfitrião da VM Qualys) e User role Comparison (Comparação de Funções de utilizador ).
Radiflow iSID via AMA
Suportado por:Radiflow
O iSID permite a monitorização não disruptiva de redes ICS distribuídas para alterações na topologia e comportamento, utilizando vários pacotes de segurança, cada um oferecendo uma capacidade exclusiva relativa a um tipo específico de atividade de rede
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
RadiflowEvent |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Relatórios de Gestão de Vulnerabilidades da Plataforma De Informações Rápidas (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados do Relatório de VM do Rapid7 Insight fornece a capacidade de ingerir relatórios de análise e dados de vulnerabilidade em Microsoft Sentinel através da API REST a partir da plataforma Rapid7 Insight (Gerida na cloud). Veja a documentação da API para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
Não | Não |
NexposeInsightVMCloud_vulnerabilities_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais da API REST: InsightVMAPIKey é necessário para a API REST. Para obter mais informações, veja API. Verifique todos os requisitos e siga as instruções para obter credenciais
Conector de Registos de Administração do ID RSA Plus
Suportado pelaEquipa de Suporte do RSA
O Conector RSA ID Plus AdminLogs fornece a capacidade de ingerir Eventos de Auditoria da Consola do Cloud Administração em Microsoft Sentinel com as APIs do Cloud Administração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Autenticação da API RSA ID Plus: para aceder às APIs Administração, é necessário um token JWT codificado com Base64URL válido, assinado com a chave de API de Administração Legada do cliente.
Conector de dados da Cloud de Segurança Rubrik (com Funções do Azure)
Suportado por:Rubrik
O conector de dados da Cloud de Segurança Rubrik permite que as equipas de operações de segurança integrem informações dos serviços de Observação de Dados do Rubrik no Microsoft Sentinel. As informações incluem a identificação do comportamento anómalo do sistema de ficheiros associado ao ransomware e à eliminação em massa, a avaliação do raio de explosão de um ataque de ransomware e operadores de dados confidenciais para priorizar e investigar mais rapidamente potenciais incidentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Rubrik_Anomaly_Data_CL |
Sim | Sim |
Rubrik_Ransomware_Data_CL |
Sim | Sim |
Rubrik_ThreatHunt_Data_CL |
Sim | Sim |
Rubrik_Events_Data_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
Segurança SaaS
Suportada por:Segurança valence
Liga a plataforma de segurança SaaS Valence Azure Log Analytics através da interface da API REST
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ValenceAlert_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
SailPoint IdentityNow (com Funções do Azure)
Suportado por:SailPoint
O conector de dados Do SailPoint IdentityNow fornece a capacidade de ingerir eventos de pesquisa [SailPoint IdentityNow] em Microsoft Sentinel através da API REST. O conector fornece aos clientes a capacidade de extrair informações de auditoria do respetivo inquilino do IdentityNow. Destina-se a tornar ainda mais fácil trazer eventos de governação e atividade de utilizador do IdentityNow para Microsoft Sentinel para melhorar as informações da sua solução de monitorização de eventos e incidentes de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SailPointIDN_Events_CL |
Sim | Sim |
SailPointIDN_Triggers_CL |
Não | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais de Autenticação da API sailPoint IdentityNow: são necessárias TENANT_ID, CLIENT_ID e CLIENT_SECRET para autenticação.
Salesforce Service Cloud (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados do Serviço Salesforce Cloud fornece a capacidade de ingerir informações sobre os seus eventos operacionais do Salesforce em Microsoft Sentinel através da API REST. O conector permite rever eventos na sua organização de forma acelerada, obter ficheiros de registo de eventos em incrementos por hora para atividades recentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SalesforceServiceCloudV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Acesso à API em Nuvem do Serviço Salesforce: é necessário acesso à API cloud do Serviço Salesforce através de uma Aplicação Ligada.
Samsung Knox Asset Intelligence
Suportado pela:Samsung Electronics Co., Ltd.
O Conector de Dados do Samsung Knox Asset Intelligence permite-lhe centralizar os seus registos e eventos de segurança móvel para ver informações personalizadas com o modelo livro e identificar incidentes com base em modelos de Regras de Análise.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Samsung_Knox_Audit_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Entra aplicação: uma aplicação Entra tem de ser registada e aprovisionada com a função "Microsoft Metrics Publisher" e configurada com o Certificado ou o Segredo do Cliente como credenciais para transferência segura de dados. Veja o Tutorial de ingestão de registos para saber mais sobre Entra Criação de aplicações, registo e configuração de credenciais.
SAP BTP
Suportado por:Microsoft Corporation
O SAP Business Technology Platform (SAP BTP) reúne gestão de dados, análise, inteligência artificial, desenvolvimento de aplicações, automatização e integração num único ambiente unificado.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SAPBTPAuditLog_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
ID de Cliente e Segredo do Cliente para a API de Obtenção de Auditoria: Ativar o acesso à API no BTP.
SAP Enterprise Threat Detection, edição na cloud
Suportado por:SAP
O conector de dados SAP Enterprise Threat Detection, cloud edition (ETD) permite a ingestão de alertas de segurança do ETD para Microsoft Sentinel, suportando correlação cruzada, alertas e investigação de ameaças.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SAPETDAlerts_CL |
Sim | Sim |
SAPETDInvestigations_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
ID de Cliente e Segredo do Cliente para a API de Obtenção de ETD: Ativar o acesso à API no ETD.
SAP LogServ (RISE), S/4HANA Cloud private edition
Suportado por:SAP
O SAP LogServ é um serviço sap Enterprise Serviços Cloud (ECS) destinado à recolha, armazenamento, reencaminhamento e acesso de registos. O LogServ centraliza os registos de todos os sistemas, aplicações e serviços ECS utilizados por um cliente registado.
As Principais Funcionalidades incluem:
Coleção de Registos quase em Tempo Real: com a capacidade de integrar no Microsoft Sentinel como solução SIEM.
O LogServ complementa a monitorização e as deteções de ameaças de camada de aplicação SAP existentes no Microsoft Sentinel com os tipos de registo pertencentes ao SAP ECS como fornecedor de sistema. Isto inclui registos como: Sap Security Audit Log (AS ABAP), base de dados HANA, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, OS, SAP Gateway, Base de Dados de terceiros, Rede, DNS, Proxy, Firewall
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SAPLogServ_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: permissão para atribuir a função de Editor de Métricas de Monitorização nas regras de recolha de dados. Normalmente, requer Azure função de Proprietário de RBAC ou Administrador de Acesso de Utilizador.
SAP S/4HANA Cloud Public Edition
Suportado por:SAP
O conector de dados SAP S/4HANA Cloud Public Edition (GROW com SAP) permite a ingestão do registo de auditoria de segurança do SAP no Microsoft Sentinel Solution for SAP, suportando a correlação cruzada, alertas e investigação de ameaças. Está à procura de mecanismos de autenticação alternativos? Veja aqui.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ABAPAuditLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
ID de Cliente e Segredo do Cliente para a API de Obtenção de Auditoria: Ativar o acesso à API no BTP.
Solução SecurityBridge para SAP
Suportado por:SecurityBridge
SecurityBridge melhora a segurança sap ao integrar de forma totalmente integrada com Microsoft Sentinel, permitindo a monitorização em tempo real e a deteção de ameaças em todos os ambientes SAP. Esta integração permite que os Centros de Operações de Segurança (SOCs) consolidem eventos de segurança SAP com outros dados organizacionais, fornecendo uma vista unificada do panorama das ameaças. Tirando partido da análise com tecnologia de IA e do Security Copilot da Microsoft, SecurityBridge identifica padrões de ataque sofisticados e vulnerabilidades em aplicações SAP, incluindo análise de código ABAP e avaliações de configuração. A solução suporta implementações dimensionáveis em paisagens SAP complexas, seja no local, na cloud ou em ambientes híbridos. Ao colmatar a lacuna entre as equipas de segurança de TI e SAP, SecurityBridge capacita as organizações a detetar, investigar e responder proativamente a ameaças, melhorando a postura de segurança geral.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ABAPAuditLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: permissão para atribuir a função de Editor de Métricas de Monitorização nas regras de recolha de dados. Normalmente, requer Azure função de Proprietário de RBAC ou Administrador de Acesso de Utilizador.
Semperis Lightning Logs
Suportado por:Semperis
O conector Semperis Lightning utiliza Funções do Azure para ingerir dados de segurança de identidade Semperis Lightning em Microsoft Sentinel. O conector implementa uma Função Azure e recolhe dados em tabelas personalizadas do Log Analytics para investigação e investigação de ameaças.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
LightningTier0Nodes_CL |
Não | Não |
LightningAttackPaths_CL |
Não | Não |
LightningIOEResults_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Semperis Lightning API credentials: A Semperis Lightning API Key and selected Zone (na or eu) are required to authenticate the connector to Semperis Lightning.
SentinelOne
Suportado por:Microsoft Corporation
O conector de dados SentinelOne permite ingerir registos da API SentinelOne para Microsoft Sentinel. O conector de dados baseia-se no Microsoft Sentinel Codeless Connector Framework. Utiliza a API SentinelOne para obter registos e suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos numa tabela personalizada para que as consultas não precisem de analisá-la novamente, o que resulta num melhor desempenho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SentinelOneActivities_CL |
Sim | Sim |
SentinelOneAgents_CL |
Sim | Sim |
SentinelOneGroups_CL |
Sim | Sim |
SentinelOneThreats_CL |
Sim | Sim |
SentinelOneAlerts_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
SentinelOne (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados SentinelOne fornece a capacidade de ingerir objetos comuns do servidor SentinelOne, tais como Ameaças, Agentes, Aplicações, Atividades, Políticas, Grupos e mais eventos em Microsoft Sentinel através da API REST. Veja a documentação da API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SentinelOne_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: é necessário o SentinelOneAPIToken . Veja a documentação para saber mais sobre a API no
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.
Segurança Web Seraphic
Suportado pela SegurançaSeraphic
O conector de dados seraphic Web Security fornece a capacidade de ingerir eventos e alertas de Segurança Web Seraphic em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SeraphicWebSecurity_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Chave de API Seraphic: chave de API para Microsoft Sentinel ligado ao seu inquilino de Segurança Web Seraphic. Para obter esta chave de API para o seu inquilino , leia esta documentação.
Consola de Administração silverfort
Suportado por:Silverfort
A solução do conector silverfort ITDR Administração Console permite a ingestão de eventos silverfort e o início de sessão no Microsoft Sentinel. O Silverfort fornece eventos baseados em syslog e registos com o Common Event Format (CEF). Ao reencaminhar os seus dados DOCF da Consola Administração silverfort para Microsoft Sentinel, pode tirar partido da pesquisa do Sentinel & correlação, alertas e melhoramento das informações sobre ameaças nos dados do Silverfort. Contacte o Silverfort ou consulte a documentação do Silverfort para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommonSecurityLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
SlackAudit (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados SlackAudit fornece a capacidade de ingerir registos de Auditoria do Slack no Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SlackAuditV2_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
UserName, SlackAudit API Key & Action Type: Para Gerar o Token de Acesso, crie uma nova aplicação no Slack e, em seguida, adicione os âmbitos necessários e configure o URL de redirecionamento. Para obter instruções detalhadas sobre como gerar o token de acesso, o nome de utilizador e o limite de nomes de ação, veja a ligação.
Snowflake (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados do Snowflake fornece a capacidade de ingerir Registos do Histórico de Inícios de Sessão do Snowflake, Registos do Histórico de Consultas, Registos de Concessão de Utilizadores, Registos de Concessão de Funções, Registos do Histórico de Carga, Registos de Atualizações da Vista Materializada, Registos de Funções, Registos de Tabelas, Registos de Métricas de Armazenamento de Tabelas, Registos de Utilizadores no Microsoft Sentinel através da API SQL do Snowflake. Veja a documentação da API SQL do Snowflake para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SnowflakeLogin_CL |
Sim | Sim |
SnowflakeQuery_CL |
Sim | Sim |
SnowflakeUserGrant_CL |
Sim | Sim |
SnowflakeRoleGrant_CL |
Sim | Sim |
SnowflakeLoad_CL |
Sim | Sim |
SnowflakeMaterializedView_CL |
Sim | Sim |
SnowflakeRoles_CL |
Sim | Sim |
SnowflakeTables_CL |
Sim | Sim |
SnowflakeTableStorageMetrics_CL |
Sim | Sim |
SnowflakeUsers_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Conector de Dados dos Registos de Auditoria da Plataforma Principal SOC
Suportado por:SOC Prime
O conector de dados soc Prime Audit Logs permite ingerir registos da API SOC Prime Platform para Microsoft Sentinel. O conector de dados baseia-se no Microsoft Sentinel Codeless Connector Framework. Utiliza a API SOC Prime Platform para obter os registos de auditoria da plataforma SOC Prime e suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos numa tabela personalizada, resultando assim num melhor desempenho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SOCPrimeAuditLogs_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Conector de Dados do Sonrai
Suportado por:N/D
Utilize este conector de dados para integrar com a Sonrai Security e obter permissões Sonrai enviadas diretamente para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Sonrai_Tickets_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Sophos Endpoint Protection (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados sophos Endpoint Protection fornece a capacidade de ingerir eventos sophos em Microsoft Sentinel. Veja a documentação do Sophos Central Administração para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SophosEP_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: é necessário um token de API . Para obter mais informações, veja Token de API
Sophos Endpoint Protection (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados sophos Endpoint Protection fornece a capacidade de ingerir eventos sophos e alertas sophos em Microsoft Sentinel. Veja a documentação do Sophos Central Administração para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SophosEPEvents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Acesso à API sophos Endpoint Protection: é necessário acesso à API sophos Endpoint Protection através de um principal de serviço.
Symantec Integrated Cyber Defense Exchange
Suportado por:Microsoft Corporation
O conector ICDx da Symantec permite-lhe ligar facilmente os registos de soluções de segurança da Symantec ao Microsoft Sentinel, ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SymantecICDx_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Conector de Integração do Synqly
Suportado por:Synqly
O conector Synqly fornece a capacidade de emitir eventos de segurança de integrações do Synqly para Microsoft Sentinel através da API de Ingestão de Registos de Azure. Os eventos são automaticamente normalizados para tabelas ASIM (Advanced Security Information Model) para utilização com Microsoft Sentinel análise, livros e consultas de investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Microsoft Entra ID: Função de Programador de Aplicações (ou superior) para criar registos de aplicações.
-
Microsoft Azure: Função de Proprietário ou Administrador de Acesso de Utilizador no grupo de recursos para implementar o DCR e atribuir a função editor de Métricas de Monitorização.
Syslog via AMA
Suportado por:Microsoft Corporation
O Syslog é um protocolo de registo de eventos que é comum a Linux. As aplicações irão enviar mensagens que podem ser armazenadas no computador local ou entregues a um recoletor Syslog. Quando o Agente para Linux está instalado, configura o daemon Syslog local para reencaminhar mensagens para o agente. Em seguida, o agente envia a mensagem para a área de trabalho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Syslog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Credenciais Comprometidas Tácitas
Suportado por:Data443 Risk Mitigation, Inc.
Ingerir resultados de credenciais comprometidos do TouchRed com o Common Connector Framework (CCF).
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
TacitRed_Findings_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Chave de API TacitRed: chave de API armazenada no Azure Key Vault ou fornecida no momento da implementação.
Talon Insights
Suportado por:Talon Security
O conector Talon Security Logs permite-lhe ligar facilmente os seus eventos talon e registos de auditoria com Microsoft Sentinel, para ver dashboards, criar alertas personalizados e melhorar a investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Talon_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Team Cymru Scout Data Connector (com Funções do Azure)
Suportado por:Team Cymru
O TeamCymruScout Data Connector permite que os utilizadores tragam dados de utilização de conta, domínio e IP do Team Cymru Scout no Microsoft Sentinel para melhoramento.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
Não | Não |
Cymru_Scout_IP_Data_Foundation_CL |
Não | Não |
Cymru_Scout_IP_Data_Details_CL |
Não | Não |
Cymru_Scout_IP_Data_Communications_CL |
Não | Não |
Cymru_Scout_IP_Data_PDNS_CL |
Não | Não |
Cymru_Scout_IP_Data_Fingerprints_CL |
Não | Não |
Cymru_Scout_IP_Data_OpenPorts_CL |
Não | Não |
Cymru_Scout_IP_Data_x509_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_Details_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_Certs_CL |
Não | Não |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
Não | Não |
Cymru_Scout_Account_Usage_Data_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Permissão para atribuir uma função à aplicação registada: é necessária permissão para atribuir uma função à aplicação registada no Microsoft Entra ID.
-
Credenciais/permissões do Team Cymru Scout: as credenciais da conta do Team Cymru Scout (Nome de utilizador, Palavra-passe) são necessárias.
Exposição a Identidades Acionáveis
Suportado por:Tenable
O conector de Exposição a Identidades a Tenable permite que os Indicadores de Exposição, Indicadores de Ataque e registos de fluxo de registos sejam ingeridos em Microsoft Sentinel. Os diferentes livros de trabalho e analisadores de dados permitem-lhe manipular registos mais facilmente e monitorizar o seu ambiente do Active Directory. Os modelos analíticos permitem-lhe automatizar respostas relativamente a eventos, exposições e ataques diferentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Acesso à Configuração tenableIE: permissões para configurar o motor de alerta do syslog
Gestão de Vulnerabilidades Tenable (com Funções do Azure)
Suportado por:Tenable
O conector de dados TVM fornece a capacidade de ingerir dados de vulnerabilidades de Recursos, Vulnerabilidades, Conformidade, RECURSOS WAS e WAS em Microsoft Sentinel através de APIs REST de TVM. Veja a documentação da API para obter mais informações. O conector fornece a capacidade de obter dados que ajudam a examinar potenciais riscos de segurança, obter informações sobre os seus recursos de computação, diagnosticar problemas de configuração e muito mais
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Tenable_VM_Asset_CL |
Sim | Sim |
Tenable_VM_Vuln_CL |
Sim | Sim |
Tenable_VM_Compliance_CL |
Sim | Sim |
Tenable_WAS_Asset_CL |
Sim | Sim |
Tenable_WAS_Vuln_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: é necessária uma TenableAccessKey e uma TenableSecretKey para aceder à API REST Tenable. Para obter mais informações, veja API. Verifique todos os requisitos e siga as instruções para obter credenciais.
Microsoft Defender baseado no inquilino para a Cloud
Suportado por:Microsoft Corporation
Microsoft Defender para a Cloud é uma ferramenta de gestão de segurança que lhe permite detetar e responder rapidamente a ameaças em cargas de trabalho Azure, híbridas e multi cloud. Este conector permite-lhe transmitir os alertas de segurança do MDC do Microsoft 365 Defender para Microsoft Sentinel, para que possa tirar partido das vantagens das correlações XDR que ligam os pontos aos seus recursos, dispositivos e identidades na cloud e ver os dados em livros, consultas e investigar e responder a incidentes. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityAlert |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
TheHive (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados TheHive fornece a capacidade de ingerir dados da plataforma de resposta a incidentes de segurança TheHive em Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações. O conector permite obter casos, tarefas e alertas do TheHive e visualizá-los no Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
TheHiveData |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Acesso à API TheHive: é necessário acesso à API TheHive Versão 4 e superior para a API TheHive.
Teom
Suportado por:Theom
O Theom Data Connector permite que as organizações liguem o respetivo ambiente Theom a Microsoft Sentinel. Esta solução permite que os utilizadores recebam alertas sobre riscos de segurança de dados, criem e melhorem incidentes, verifiquem estatísticas e acionem manuais de procedimentos SOAR no Microsoft Sentinel
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
TheomAlerts_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Informações sobre ameaças - TAXII
Suportado por:Microsoft Corporation
Microsoft Sentinel integra-se com origens de dados TAXII 2.0 e 2.1 para permitir a monitorização, alertas e investigação com as suas informações sobre ameaças. Utilize este conector para enviar os tipos de objeto STIX suportados dos servidores TAXII para Microsoft Sentinel. Os indicadores de ameaças podem incluir endereços IP, domínios, URLs e hashes de ficheiros. Para obter mais informações, veja a documentação >do Microsoft Sentinel .
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Plataformas de Informações sobre Ameaças
Suportado por:Microsoft Corporation
Microsoft Sentinel integra-se com o Microsoft Graph API de Segurança origens de dados para permitir a monitorização, alertas e investigação com as suas informações sobre ameaças. Utilize este conector para enviar indicadores de ameaças para Microsoft Sentinel a partir da plataforma de informações sobre ameaças (TIP), como o Threat Connect, Palo Alto Networks MindMeld, MISP ou outras aplicações integradas. Os indicadores de ameaças podem incluir endereços IP, domínios, URLs e hashes de ficheiros. Para obter mais informações, veja a documentação >do Microsoft Sentinel .
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
API de Carregamento de Informações sobre Ameaças (Pré-visualização)
Suportado por:Microsoft Corporation
Microsoft Sentinel oferece uma API de plano de dados para obter informações sobre ameaças da sua Plataforma de Informações sobre Ameaças (TIP), como o Threat Connect, Palo Alto Networks MineMeld, MISP ou outras aplicações integradas. Os indicadores de ameaças podem incluir endereços IP, domínios, URLs, hashes de ficheiros e endereços de e-mail. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Transmitir Conector de Segurança (com Funções do Azure)
Suportado por:Transmitir Segurança
O conector de dados [Transmitir Segurança] fornece a capacidade de ingerir eventos comuns de Transmissão API de Segurança em Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
TransmitSecurityActivity_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
ID de Cliente da API REST: é necessário TransmitSecurityClientID . Veja a documentação para saber mais sobre a API no
https://developer.transmitsecurity.com/. -
Segredo do Cliente da API REST: é necessário TransmitSecurityClientSecret . Veja a documentação para saber mais sobre a API no
https://developer.transmitsecurity.com/.
Trellix Endpoint Security (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados Trellix Endpoint Security permite-lhe ingerir eventos de segurança de Trellix ePO (ePolicy Orchestrator) para Microsoft Sentinel. Este conector utiliza a autenticação de credenciais de cliente OAuth2 e processa automaticamente a paginação para recolher dados de segurança de pontos finais abrangentes, incluindo deteções de ameaças, informações do analisador, detalhes do sistema de origem e destino e ações de resposta a ameaças.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
TrellixEvents |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Visão De Tendência 1 (com Funções do Azure)
Suportado por:Trend Micro
O conector Visão de Tendência Um permite-lhe ligar facilmente os dados de alerta do Workbench com Microsoft Sentinel para ver dashboards, criar alertas personalizados e melhorar as capacidades de monitorização e investigação. Isto dá-lhe mais informações sobre as redes/sistemas da sua organização e melhora as suas capacidades de operação de segurança.
O conector Trend Vision One é suportado no Microsoft Sentinel nas seguintes regiões: Leste da Austrália, Austrália Sudeste, Sul do Brasil, Canadá Central, Leste do Canadá, Índia Central, E.U.A. Central, Ásia Leste, E.U.A. Leste 2, E.U.A. Leste 2, França Central, Leste do Japão, Coreia Central, E.U.A. Centro-Norte, Europa do Norte, Leste da Noruega, Norte da África do Sul, E.U.A. Centro-Sul, Ásia Sudeste, Suécia Central, Norte da Suíça, Norte dos Emirados Árabes Unidos, Sul do Reino Unido, Oeste do Reino Unido, Europa Ocidental, E.U.A. Oeste, E.U.A. Oeste 2, E.U.A. Oeste 3.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
Não | Não |
TrendMicro_XDR_RCA_Task_CL |
Não | Não |
TrendMicro_XDR_RCA_Result_CL |
Não | Não |
TrendMicro_XDR_OAT_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Token de API da Visão de Tendência Um: é necessário um Token de API de Visão de Tendência One. Veja a documentação para saber mais sobre a API Trend Vision One.
Segurança Do Trópico - Alertas
Suportado pelaSegurança TROPICO
Ingerir alertas de segurança da Plataforma de Segurança Tropico no formato Deteção de Segurança do OCSF.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
{{graphQueriesTableName}} |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Segurança Do Trópico - Eventos
Suportado pelaSegurança TROPICO
Ingerir eventos de segurança da Plataforma de Segurança Trópico no formato Deteção de Segurança do OCSF.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
{{graphQueriesTableName}} |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Segurança Do Trópico - Incidentes
Suportado pelaSegurança TROPICO
Ingerir incidentes de sessão de atacantes a partir da Plataforma de Segurança Trópico.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
{{graphQueriesTableName}} |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Conector Push varonis Purview
Suportado por:Varonis
O conector Varonis Purview fornece a capacidade de sincronizar recursos do Varonis com o Microsoft Purview.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
VaronisResources_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: Permissão para atribuir a função de Editor de Métricas de Monitorização na regra de recolha de dados (DCR). Normalmente, requer Azure função de Proprietário do RBAC ou Administrador de Acesso de Utilizador
Varonis SaaS
Suportado por:Varonis
Varonis SaaS fornece a capacidade de ingerir Alertas varonis em Microsoft Sentinel.
O Varonis prioriza a visibilidade de dados profunda, as capacidades de classificação e a remediação automatizada para o acesso aos dados. O Varonis cria uma única visão prioritária do risco para os seus dados, para que possa eliminar de forma proativa e sistemática o risco de ameaças internas e ciberataques.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
VaronisAlerts_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
Vectra XDR (com Funções do Azure)
Suportado pelo Suporte daVectra
O conector Vectra XDR permite ingerir dados de Deteções de Vectra, Auditorias, Classificação de Entidades, Bloqueio, Estado de Funcionamento e Entidades em Microsoft Sentinel através da API REST vectra. Veja a documentação da API: https://support.vectra.ai/s/article/KB-VS-1666 para obter mais informações.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Detections_Data_CL |
Sim | Sim |
Audits_Data_CL |
Sim | Sim |
Entity_Scoring_Data_CL |
Sim | Sim |
Lockdown_Data_CL |
Sim | Sim |
Health_Data_CL |
Sim | Sim |
Entities_Data_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: o ID de Cliente Vectra e o Segredo do Cliente são necessários para o Estado de Funcionamento, Classificação de Entidades, Entidades, Deteções, Bloqueio e Recolha de dados de Auditoria. Veja a documentação para saber mais sobre a API no
https://support.vectra.ai/s/article/KB-VS-1666.
Veeam Data Connector (com Funções do Azure)
Suportado por:Veeam Software
O Conector de Dados veeam permite-lhe ingerir dados telemétricos do Veeam de várias tabelas personalizadas para Microsoft Sentinel.
O conector suporta a integração com as plataformas Veeam Backup & Replication, Veeam ONE e Coveware para fornecer uma monitorização abrangente e análise de segurança. Os dados são recolhidos através de Funções do Azure e armazenados em tabelas personalizadas do Log Analytics com Regras de Recolha de Dados (DCR) dedicadas e Pontos Finais de Recolha de Dados (DCE).
Tabelas Personalizadas Incluídas:
- VeeamMalwareEvents_CL: Eventos de deteção de software maligno da Replicação de & de Cópia de Segurança do Veeam
- VeeamSecurityComplianceAnalyzer_CL: Resultados do Analisador de Conformidade do & de Segurança recolhidos a partir de componentes da infraestrutura de cópia de segurança do Veeam
- VeeamAuthorizationEvents_CL: Eventos de autorização e autenticação
- VeeamOneTriggeredAlarms_CL: Alarmes acionados de servidores Veeam ONE
- VeeamCovewareFindings_CL: Resultados de segurança da solução Coveware
- VeeamSessions_CL: Sessões veeam
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
VeeamMalwareEvents_CL |
Sim | Sim |
VeeamSecurityComplianceAnalyzer_CL |
Sim | Sim |
VeeamOneTriggeredAlarms_CL |
Sim | Sim |
VeeamAuthorizationEvents_CL |
Sim | Sim |
VeeamCovewareFindings_CL |
Sim | Sim |
VeeamSessions_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Acesso à Infraestrutura veeam: é necessário acesso à Cópia de Segurança veeam & API REST de Replicação e plataforma de monitorização Veeam ONE. Isto inclui credenciais de autenticação adequadas e conectividade de rede.
VersasecCms
Suportado por:Suporte Versasec
O conector de dados VersasecCms permite ingerir registos em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
VersasecCmsSysLogs_CL |
Não | Não |
VersasecCmsErrorLogs_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
VirtualMetric DataStream para Microsoft Sentinel
Suportado por:VirtualMetric
O conector VirtualMetric DataStream implementa regras de recolha de dados para ingerir telemetria de segurança em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommonSecurityLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Registo de Aplicações ou identidade gerida do Azure: o VirtualMetric DataStream requer uma identidade de ID de Entra para autenticar e enviar registos para Microsoft Sentinel. Pode escolher entre criar um Registo de Aplicações com o ID de Cliente e o Segredo do Cliente ou utilizar Azure Identidade Gerida para uma segurança melhorada sem a gestão de credenciais.
-
Atribuição de Função do Grupo de Recursos: a identidade escolhida (Registo de Aplicações ou Identidade Gerida) tem de ser atribuída ao grupo de recursos que contém o Ponto Final de Recolha de Dados com as seguintes funções: Editor de Métricas de Monitorização (para ingestão de registos) e Leitor de Monitorização (para a configuração do fluxo de leitura).
VirtualMetric DataStream para Microsoft Sentinel data lake
Suportado por:VirtualMetric
O conector VirtualMetric DataStream implementa regras de recolha de dados para ingerir telemetria de segurança no Microsoft Sentinel data lake.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommonSecurityLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Registo de Aplicações ou Identidade Gerida Azure: o VirtualMetric DataStream requer uma identidade de ID de Entra para autenticar e enviar registos para Microsoft Sentinel data lake. Pode escolher entre criar um Registo de Aplicações com o ID de Cliente e o Segredo do Cliente ou utilizar Azure Identidade Gerida para uma segurança melhorada sem a gestão de credenciais.
-
Atribuição de Função do Grupo de Recursos: a identidade escolhida (Registo de Aplicações ou Identidade Gerida) tem de ser atribuída ao grupo de recursos que contém o Ponto Final de Recolha de Dados com as seguintes funções: Editor de Métricas de Monitorização (para ingestão de registos) e Leitor de Monitorização (para a configuração do fluxo de leitura).
Proxy de Diretório VirtualMetric
Suportado por:VirtualMetric
O Proxy de Diretório VirtualMetric implementa uma Aplicação de Funções Azure para criar uma bridge de forma segura do VirtualMetric DataStream com serviços de Azure, incluindo Microsoft Sentinel, Azure Data Explorer e Armazenamento Azure.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommonSecurityLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Function App: tem de ser implementada uma Aplicação de Funções Azure para alojar o Proxy de Diretórios. Requer permissões de leitura, escrita e eliminação nos recursos Microsoft.Web/sites no seu grupo de recursos para criar e gerir a Aplicação de Funções.
- VirtualMetric DataStream Configuration: precisa de VirtualMetric DataStream configurado com credenciais de autenticação para ligar ao Proxy de Diretório. O Proxy de Diretor atua como uma ponte segura entre os serviços VirtualMetric DataStream e Azure.
-
Serviços de Azure de Destino: configure os serviços de Azure de destino, tais como pontos finais de recolha de dados Microsoft Sentinel, clusters de Azure Data Explorer ou contas de Armazenamento Azure em que o Proxy de Diretório reencaminhará dados.
VMRayThreatIntelligence (com Funções do Azure)
Suportado por:VMRay
O conector VMRayThreatIntelligence gera e alimenta automaticamente informações sobre ameaças para todas as submissões ao VMRay, melhorando a deteção de ameaças e a resposta a incidentes no Sentinel. Esta integração totalmente integrada permite que as equipas resolvam proativamente ameaças emergentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ThreatIntelligenceIndicator |
Sim | Não |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure Subscrição: Azure Subscrição com função de proprietário é necessária para registar uma aplicação no azure active directory() e atribuir a função de contribuidor à aplicação no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: é necessária a Chave de API VMRay .
VMware Carbon Black Cloud (com Funções do Azure)
Suportado por:Microsoft
O conector VMware Carbon Black Cloud fornece a capacidade de ingerir dados Carbon Black em Microsoft Sentinel. O conector fornece visibilidade sobre os registos de Auditoria, Notificação e Eventos no Microsoft Sentinel para ver dashboards, criar alertas personalizados e melhorar as capacidades de monitorização e investigação.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CarbonBlackEvents_CL |
Não | Não |
CarbonBlackNotifications_CL |
Não | Não |
CarbonBlackAuditLogs_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- VMware Carbon Black API Key(s): Carbon Black API and/or SIEM Level API Key(s) são necessárias. Veja a documentação para saber mais sobre a API Carbon Black.
- É necessário um ID de API e chave de nível de acesso da API Preta de Carbono para os registos de Auditoria e eventos .
- É necessário um ID de API e chave de nível de acesso SIEM Preto de Carbono para alertas de Notificação .
-
Credenciais/permissões da API REST do Amazon S3: ID da Chave de Acesso do AWS, Chave de Acesso Secreta do AWS, Nome do Registo do AWS S3, Nome da Pasta no Registo AWS S3 são necessários para a API REST do Amazon S3.
VMware Carbon Black Cloud via AWS S3 (via Codeless Connector Framework)
Suportado por:Microsoft
O conector de dados VMware Carbon Black Cloud via AWS S3 fornece a capacidade de ingerir eventos de lista de observação, alertas, autenticação e pontos finais através do AWS S3 e transmiti-los em fluxo para tabelas normalizadas asIM. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CarbonBlack_Alerts_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Ambiente: tem de ter os seguintes recursos do AWS definidos e configurados: S3, Simple Queue Service (SQS), funções de IAM e políticas de permissões
-
Ambiente: tem de ter uma conta carbon black e as permissões necessárias para criar um Registo de Dados Reencaminhados para o AWS S3.
Para obter mais informações, veja Carbon Black Data Forwarder Docs (Documentos do Reencaminhador de Dados Pretos em Carbono)
Eventos DNS do Windows via AMA
Suportado por:Microsoft Corporation
O conector de registoS DNS do Windows permite-lhe filtrar e transmitir facilmente todos os registos de análise dos servidores DNS do Windows para a área de trabalho Microsoft Sentinel com o agente de Monitorização do Azure (AMA). Ter estes dados no Microsoft Sentinel ajuda-o a identificar problemas e ameaças de segurança, tais como:
- A tentar resolver nomes de domínio maliciosos.
- Registos de recursos obsoletos.
- Os nomes de domínio frequentemente consultados e os clientes DNS talkativos.
- Ataques realizados no servidor DNS.
Pode obter as seguintes informações sobre os servidores DNS do Windows a partir de Microsoft Sentinel:
- Todos os registos centralizados num único local.
- Pedir carga em servidores DNS.
- Falhas de registo de DNS dinâmicos.
Os eventos DNS do Windows são suportados pelo Advanced SIEM Information Model (ASIM) e transmitem dados para a tabela ASimDnsActivityLogs. Saiba mais.
Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ASimDnsActivityLogs |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Windows Firewall
Suportado por:Microsoft Corporation
A Firewall do Windows é uma aplicação do Microsoft Windows que filtra as informações que chegam ao seu sistema a partir da Internet e bloqueia programas potencialmente prejudiciais. O software bloqueia a comunicação da maioria dos programas através da firewall. Os utilizadores simplesmente adicionam um programa à lista de programas permitidos para permitir que comunique através da firewall. Ao utilizar uma rede pública, a Firewall do Windows também pode proteger o sistema ao bloquear todas as tentativas não solicitadas de ligação ao seu computador. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|
Suporte de regras de recolha de dados: Não suportado atualmente
Eventos da Firewall do Windows através do AMA
Suportado por:Microsoft Corporation
A Firewall do Windows é uma aplicação do Microsoft Windows que filtra as informações que chegam ao seu sistema a partir da Internet e bloqueia programas potencialmente prejudiciais. O software de firewall bloqueia a comunicação da maioria dos programas através da firewall. Para transmitir em fluxo os registos de aplicações da Firewall do Windows recolhidos a partir dos computadores, utilize o agente do Azure Monitor (AMA) para transmitir esses registos para a área de trabalho Microsoft Sentinel.
É necessário associar um ponto final de recolha de dados (DCE) configurado à regra de recolha de dados (DCR) criada para o AMA recolher registos. Para este conector, é criada automaticamente uma DCE na mesma região que a área de trabalho. Se já utilizar um DCE armazenado na mesma região, é possível alterar a DCE criada por predefinição e utilizar a existente através da API. Os DCEs podem estar localizados nos seus recursos com o prefixo SentinelDCE no nome do recurso.
Para mais informações, consulte os seguintes artigos:
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|
Suporte de regras de recolha de dados: Não suportado atualmente
Eventos Reencaminhados do Windows
Suportado por:Microsoft Corporation
Pode transmitir em fluxo todos os registos do Reencaminhamento de Eventos do Windows (WEF) a partir dos Windows Servers ligados à área de trabalho Microsoft Sentinel com o Agente do Azure Monitor (AMA). Esta ligação permite-lhe ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
WindowsEvent |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Segurança do Windows Eventos via AMA
Suportado por:Microsoft Corporation
Pode transmitir em fluxo todos os eventos de segurança a partir dos computadores Windows ligados à área de trabalho Microsoft Sentinel com o agente do Windows. Esta ligação permite-lhe ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityEvent |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
WithSecure Elements API (Função Azure)
Suportado por:WithSecure
WithSecure Elements é a plataforma de cibersegurança unificada baseada na cloud concebida para reduzir o risco, a complexidade e a ineficiência.
Eleve a sua segurança dos pontos finais para as suas aplicações na cloud. Arme-se contra todos os tipos de ameaças cibernéticas, desde ataques direcionados a ransomware de zero dias.
Os Elementos WithSecure combinam poderosas capacidades de segurança preditivas, preventivas e reativas, todas geridas e monitorizadas através de um único centro de segurança. A nossa estrutura modular e modelos de preços flexíveis dão-lhe a liberdade de evoluir. Com a nossa experiência e perspicácia, estarás sempre capacitado e nunca estarás sozinho.
Com Microsoft Sentinel integração, pode correlacionar dados de eventos de segurança da solução Elementos WithSecure com dados de outras origens, permitindo uma descrição geral avançada de todo o seu ambiente e uma reação mais rápida às ameaças.
Com esta solução Azure Função é implementada no seu inquilino, consulta periodicamente os eventos de segurança Elementos WithSecure.
Para obter mais informações, visite o nosso site em: https://www.withsecure.com.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
WsSecurityEvents_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Com credenciais de cliente da API de Elementos do WithSecure: são necessárias credenciais de cliente.
Veja a documentação para saber mais.
Wiz (com Funções do Azure)
Suportado por:Wiz
O conector Wiz permite-lhe enviar facilmente Problemas de Wiz, Resultados de Vulnerabilidades e Registos de auditoria para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
Não | Não |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
Não | Não |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais da Conta de Serviço Wiz: certifique-se de que tem o ID de cliente da conta de serviço Wiz e o segredo do cliente, o URL do ponto final da API e o URL de autenticação. Pode encontrar instruções na documentação do Wiz.
Atividade do Utilizador do Workday
Suportado por:Microsoft Corporation
O conector de dados Atividade do Utilizador do Workday fornece a capacidade de ingerir Registos de Atividades do Utilizador da API workday para Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ASimAuditEventLogs |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Acesso à API de Atividade do Utilizador do Workday: o acesso à API de atividade de utilizador do Workday através do Oauth é necessário. O Cliente da API tem de ter o âmbito: Sistema e tem de ser autorizado por uma conta com permissões de Auditoria do Sistema.
Área de trabalho a partir de Facebook (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados da Área de Trabalho fornece a capacidade de ingerir eventos comuns da Área de Trabalho em Microsoft Sentinel através de Webhooks. Os webhooks permitem que as aplicações de integração personalizada subscrevam eventos na Área de Trabalho e recebam atualizações em tempo real. Quando ocorre uma alteração na Área de Trabalho, é enviado um pedido HTTPS POST com informações de evento para um URL do conector de dados de chamada de retorno. Veja a documentação dos Webhooks para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Workplace_Facebook_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões de Webhooks: WorkplaceAppSecret, WorkplaceVerifyToken, URL de Chamada de Retorno são necessários para webhooks de trabalho. Veja a documentação para saber mais sobre como configurar Webhooks, configurar permissões.
Plataforma de Segurança XBOW (através da Função Azure)
Suportado por:XBOW
O conector de dados XBOW ingere instantâneos de recursos, resultados de vulnerabilidades e atividade de avaliação da Plataforma de Segurança XBOW para Microsoft Sentinel. Uma Função Azure consulta a API XBOW num temporizador e envia instantâneos JSON de recursos para XbowAssets_CL, resultados enriquecidos (com provas, receitas PoC, impacto e mitigações) em XbowFindings_CLeventos XbowAssessments_CLde ciclo de vida de avaliação e em , com a API de Ingestão de Azure Monitor (DCE/DCR).
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
XbowAssets_CL |
Não | Não |
XbowFindings_CL |
Não | Não |
XbowAssessments_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Token de API XBOW: é necessário um Token de Acesso Pessoal XBOW. Gere um na consola XBOW em Definições Tokens > de Acesso Pessoal. Defina o âmbito do token para a organização que pretende monitorizar.
- ID da Organização XBOW: o ID da Organização da sua conta XBOW. Localize-o no URL da consola XBOW ou através da API.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
- Pré-requisitos personalizados, se necessário, caso contrário, elimine esta etiqueta de alfândega: Descrição de quaisquer pré-requisitos personalizados
-
Azure AD Registo de Aplicações: é necessário um Registo de Aplicações Azure AD (principal de serviço). Tem de atribuir manualmente a função Editor de Métricas de Monitorização na Regra de Recolha de Dados (DCR) a este Registo de Aplicações após a implementação.
Segmento de Redes Zero (Push)
Suportado por:Zero Redes
O conector push Segmento de Redes Zero permite que Zero Redes enviem Auditorias, Atividades de Rede, Atividades de Identidade e Atividades RPC diretamente para Microsoft Sentinel em tempo real. Implemente o conector para criar uma Regra de Recolha de Dados (DCR) e Microsoft Entra aplicação; em seguida, configure a aplicação Zero Networks com os detalhes de ligação para emitir eventos.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ZNAudit_CL |
Sim | Sim |
ZNNetworkActivity_CL |
Sim | Sim |
ZNIdentityActivity_CL |
Sim | Sim |
ZNRPCActivity_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Microsoft Entra: permissão para criar um registo de aplicação no Microsoft Entra ID. Normalmente, requer Entra função de Programador de Aplicações de ID ou superior.
-
Microsoft Azure: Permissão para atribuir a função de Editor de Métricas de Monitorização na regra de recolha de dados (DCR). Normalmente, requer Azure função de Proprietário de RBAC ou Administrador de Acesso de Utilizador.
Auditoria de Segmento de Redes Zero
Suportado por:Zero Redes
O conector de dados Auditoria de Segmentos de Redes Zero fornece a capacidade de ingerir eventos de Auditoria de Redes Zero em Microsoft Sentinel através da API REST. Este conector de dados utiliza Microsoft Sentinel capacidade de consulta nativa.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Token de API de Redes Zero: é necessário ZeroNetworksAPIToken para a API REST. Veja o Guia da API e siga as instruções para obter credenciais.
ZeroFox CTI
Suportado por:ZeroFox
Os conectores de dados CTI do ZeroFox fornecem a capacidade de ingerir os diferentes alertas de informações sobre ameaças cibernéticas do ZeroFox em Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
Não | Não |
ZeroFox_CTI_botnet_CL |
Não | Não |
ZeroFox_CTI_breaches_CL |
Não | Não |
ZeroFox_CTI_C2_CL |
Não | Não |
ZeroFox_CTI_compromised_credentials_CL |
Não | Não |
ZeroFox_CTI_credit_cards_CL |
Não | Não |
ZeroFox_CTI_dark_web_CL |
Não | Não |
ZeroFox_CTI_discord_CL |
Não | Não |
ZeroFox_CTI_disruption_CL |
Não | Não |
ZeroFox_CTI_email_addresses_CL |
Não | Não |
ZeroFox_CTI_exploits_CL |
Não | Não |
ZeroFox_CTI_irc_CL |
Não | Não |
ZeroFox_CTI_malware_CL |
Não | Não |
ZeroFox_CTI_national_ids_CL |
Não | Não |
ZeroFox_CTI_phishing_CL |
Não | Não |
ZeroFox_CTI_phone_numbers_CL |
Não | Não |
ZeroFox_CTI_ransomware_CL |
Não | Não |
ZeroFox_CTI_telegram_CL |
Não | Não |
ZeroFox_CTI_threat_actors_CL |
Não | Não |
ZeroFox_CTI_vulnerabilities_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API do ZeroFox: o Nome de Utilizador do ZeroFox, o Token de Acesso Pessoal do ZeroFox são necessários para a API REST do CTI do ZeroFox.
ZeroFox Enterprise - Alertas (CcF de Consulta)
Suportado por:ZeroFox
Recolhe alertas da API do ZeroFox.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ZeroFoxAlertPoller_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
-
Token de Acesso Pessoal do ZeroFox (PAT): é necessário um PAT do ZeroFox. Pode obtê-lo nos Feeds de Dados da API dos Conectores> de Dados.
Defesa Contra Ameaças para Dispositivos Móveis do Zimperium
Suportado por:Zimperium
O conector da Defesa Contra Ameaças para Dispositivos Móveis do Zimperium permite-lhe ligar o registo de ameaças do Zimperium com Microsoft Sentinel para ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre o panorama das ameaças para dispositivos móveis da sua organização e melhora as suas capacidades de operação de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ZimperiumThreatLog_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Relatórios de Zoom (com Funções do Azure)
Suportado por:Microsoft Corporation
O conector de dados Relatórios de Zoom fornece a capacidade de ingerir eventos de Relatórios de Zoom em Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Zoom_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API REST: AccountID, ClientID e ClientSecret são necessários para a API de Zoom. Para obter mais informações, veja API de Zoom.
Siga as instruções para configurações da API de Zoom.
Conector de Relatórios de Zoom (através do Codeless Connector Framework)
Suportado por:Microsoft Corporation
O conector de dados Relatórios de Zoom permite-lhe ingerir dados de Relatórios de Zoom em Microsoft Sentinel através da API REST de Zoom v2, permitindo-lhe monitorizar e auditar a utilização do Zoom em toda a sua organização. Este conector utiliza credenciais de conta OAuth servidor a servidor para autenticação e suporta a ingestão de vários tipos de relatórios, incluindo Relatórios de Utilização Diária para estatísticas de reunião e métricas de utilização, Relatórios de Utilizador para informações ativas/inativas do anfitrião do utilizador, Relatórios de Telefonia para estatísticas de utilização de telefonia, Relatórios de Utilização da Gravação na Cloud para armazenamento na nuvem e utilização de registos, Registos de Operações para operações administrativas e registo de auditoria, e Registos de Atividades para atividades de início de sessão/início de sessão do utilizador. Cada tipo de relatório é recolhido numa configuração de consulta separada com suporte de paginação automática com NextPageToken. O conector de dados baseia-se no Microsoft Sentinel Codeless Connector Framework e suporta transformações de tempo de ingestão baseadas em DCR para um desempenho de consulta otimizado.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
ZoomV2_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Acesso à API de Zoom: Acesso à API REST de Zoom v2 com credenciais de conta
Conectores de dados Sentinel preteridos
Nota
A tabela seguinte lista os conectores de dados preteridos e legados. Os conectores preteridos já não são suportados.
[Preterido] Registo de Auditoria do GitHub Enterprise
Suportado por:Microsoft Corporation
O conector de registo de auditoria do GitHub fornece a capacidade de ingerir registos do GitHub no Microsoft Sentinel. Ao ligar os registos de auditoria do GitHub ao Microsoft Sentinel, pode ver estes dados em livros, utilizá-lo para criar alertas personalizados e melhorar o processo de investigação.
Nota: Se pretender ingerir eventos subscritos do GitHub em Microsoft Sentinel, consulte o Conector do GitHub (com Webhooks) na galeria "Conectores de Dados".
NOTA: este conector de dados foi preterido, considere mudar para o conector de dados CCF disponível na solução que substitui a ingestão através da API do Recoletor de Dados HTTP preterida.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
GitHubAuditLogPolling_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Token de acesso pessoal da API do GitHub: precisa de um token de acesso pessoal do GitHub para ativar a consulta para o registo de auditoria da organização. Pode utilizar um token clássico com o âmbito "read:org" ou um token detalhado com o âmbito "Administração: Só de leitura".
-
Tipo de GitHub Enterprise: este conector só funcionará com o GitHub Enterprise Cloud; não suportará o GitHub Enterprise Server.
[Preterido] Infoblox SOC Insight Data Connector via Agente Legado
Suportado por:Infoblox
O Infoblox SOC Insight Data Connector permite-lhe ligar facilmente os seus dados do Infoblox BloxOne SOC Insight com Microsoft Sentinel. Ao ligar os registos ao Microsoft Sentinel, pode tirar partido da pesquisa & correlação, alertas e melhoramento das informações sobre ameaças para cada registo.
Este conector de dados ingere os registos do Infoblox SOC Insight CDC na área de trabalho do Log Analytics com o agente do Log Analytics legado.
A Microsoft recomenda a instalação do Infoblox SOC Insight Data Connector através do Conector AMA. O conector legado utiliza o agente do Log Analytics que está prestes a ser preterido até 31 de agosto de 2024 e só deve ser instalado quando o AMA não é suportado.
A utilização de MMA e AMA no mesmo computador pode causar a duplicação de registos e o custo de ingestão extra. Mais detalhes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CommonSecurityLog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
[Preterido] Registos de Segurança IONIX (Push)
Suportado por:IONIX
⚠} Este conector foi preterido e será removido em junho de 2026. Utilize o novo conector "Registos de Segurança IONIX (através do Codeless Connector Framework)", que fornece consultas diárias automáticas sem necessidade de configuração manual no portal IONIX.
O conector de dados registos de segurança IONIX ingere registos do sistema IONIX diretamente no Sentinel. O conector permite que os utilizadores visualizem os seus dados, criem alertas e incidentes e melhorem as investigações de segurança.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
CyberpionActionItems_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
-
Subscrição IONIX: é necessária uma subscrição e uma conta para os registos IONIX.
Pode-se adquirir aqui.
[Preterido] Lookout
Suportado por:Lookout
O conector de dados do Lookout fornece a capacidade de ingerir eventos do Lookout em Microsoft Sentinel através da API de Risco Móvel. Veja a documentação da API para obter mais informações. O conector de dados do Lookout permite obter eventos que ajudam a examinar potenciais riscos de segurança e muito mais.
NOTA: este conector de dados foi preterido, considere mudar para o conector de dados CCF disponível na solução que substitui a ingestão através da API do Recoletor de Dados HTTP preterida.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Lookout_CL |
Não | Não |
Suporte de regras de recolha de dados: Não suportado atualmente
Pré-requisitos:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Funções do Azure para criar uma Aplicação de Funções. Para obter mais informações, veja Funções do Azure.
-
Credenciais/permissões da API de Risco Móvel: o EnterpriseName & ApiKey são necessários para a API de Risco Móvel. Para obter mais informações, veja API. Verifique todos os requisitos e siga as instruções para obter credenciais.
[Preterido] Eventos e Registos do Microsoft Exchange
Suportado por:Comunidade
Preterido, utilize os dataconnectors "ESI-Opt". Pode transmitir em fluxo todos os eventos de Auditoria do Exchange, Registos do IIS, registos de Proxy HTTP e Registos de Eventos de Segurança a partir dos computadores Windows ligados à área de trabalho Microsoft Sentinel com o agente do Windows. Esta ligação permite-lhe ver dashboards, criar alertas personalizados e melhorar a investigação. Isto é utilizado pelos Livros de Segurança do Microsoft Exchange para fornecer informações de segurança do seu ambiente do Exchange no Local
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Event |
Sim | Não |
SecurityEvent |
Sim | Sim |
W3CIISLog |
Sim | Não |
MessageTrackingLog_CL |
Sim | Sim |
ExchangeHttpProxy_CL |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Pré-requisitos:
- Azure o Log Analytics será preterido, para recolher dados de VMs não Azure, recomenda-se Azure Arc. Saiba mais
-
Documentação detalhada: >NOTA: pode encontrar documentação detalhada sobre o procedimento de instalação e a utilização aqui
Eventos de Segurança através do Agente Legado
Suportado por:Microsoft Corporation
Pode transmitir em fluxo todos os eventos de segurança a partir dos computadores Windows ligados à área de trabalho Microsoft Sentinel com o agente do Windows. Esta ligação permite-lhe ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança. Para obter mais informações, veja a documentação do Microsoft Sentinel.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityEvent |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Microsoft Defender baseado na subscrição para a Cloud (Legado)
Suportado por:Microsoft Corporation
Microsoft Defender para a Cloud é uma ferramenta de gestão de segurança que lhe permite detetar e responder rapidamente a ameaças em cargas de trabalho Azure, híbridas e multi cloud. Este conector permite-lhe transmitir os alertas de segurança do Microsoft Defender para a Cloud para Microsoft Sentinel, para que possa ver dados do Defender em livros, consultar os mesmos para produzir alertas e investigar e responder a incidentes.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
SecurityAlert |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Syslog via Agente Legado
Suportado por:Microsoft Corporation
O Syslog é um protocolo de registo de eventos que é comum a Linux. As aplicações irão enviar mensagens que podem ser armazenadas no computador local ou entregues a um recoletor Syslog. Quando o Agente para Linux está instalado, configura o daemon Syslog local para reencaminhar mensagens para o agente. Em seguida, o agente envia a mensagem para a área de trabalho.
Tabelas do Log Analytics:
| Tabela | Suporte dcr | Ingestão apenas de lagos |
|---|---|---|
Syslog |
Sim | Sim |
Suporte de regras de recolha de dados:DcR de transformação da área de trabalho
Passos seguintes
Para mais informações, consulte: