Conectar fontes de dados ao Microsoft Sentinel usando conectores de dados

Para conectar fontes de dados ao Microsoft Sentinel, você precisa instalar e configurar conectores de dados. Este artigo geralmente explica como instalar conectores de dados disponíveis no Hub de Conteúdo do Microsoft Sentinel para ingerir e analisar dados para melhor detecção de ameaças.

• Conectores de dados do Microsoft Sentinel
• Localizar o conector de dados do Microsoft Sentinel
• Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel

Pré-requisitos

Antes de começar, verifique se você tem o acesso apropriado e se você ou alguém da sua organização instala a solução relacionada.

• Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
• Instale a solução que inclui o conector de dados do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Habilitar um conector de dados

Depois que você ou alguém da sua organização instalar a solução que inclui o conector de dados necessário, configure-o para começar a ingerir dados.

1. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configurações>Conectores de dados. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.

2. Procure e selecione o conector. Se você não vir o conector de dados desejado, verifique novamente se a solução relevante está instalada no Hub de Conteúdo.

3. Selecione Abrir página do conector.

   • Portal do Defender
   • Portal do Azure

   

4. Examine os pré-requisitos do conector de dados e verifique se eles foram atendidos.

5. Siga as etapas descritas na seção Configurações do conector de dados.

   Para alguns conectores, encontre informações de configuração mais específicas na seção Coletar dados na documentação do Microsoft Sentinel.

   • Conectar o Microsoft Sentinel aos serviços Azure, Windows, Microsoft e Amazon
   • Pré-requisitos do conector de dados

Configurar a retenção e a hierarquização de dados

Se você tiver se integrado ao data lake do Microsoft Sentinel, poderá configurar a retenção de dados e a camada para o conector de dados. O data lake consiste em uma camada de análise - seus workspaces atuais do Microsoft Sentinel e uma camada de armazenamento de dados em que você pode armazenar dados por até 12 anos. Para obter mais informações sobre integração, consulte Integração ao data lake do Microsoft Sentinel.

Quando você habilita um conector, por padrão, os dados são enviados para a camada de análise e espelhados na camada data lake. Configure a retenção de dados em cada camada ou envie os dados apenas para a camada do data lake. A retenção e a camada são gerenciadas nas páginas de instalação do conector ou usando a página Gerenciamento de tabelas no portal do Defender. Para obter mais informações sobre gerenciamento e retenção de tabelas, consulte Gerenciar camadas de dados e retenção no Microsoft Defender Portal.

Depois de configurar o conector, configure a retenção e o escalonamento de dados usando as seguintes etapas:

1. Na página de detalhes do Conector , na seção Gerenciamento de tabelas , selecione a tabela que você deseja gerenciar.

   

2. O painel de tabela é exibido mostrando as configurações de retenção atuais.

3. Para configurar a retenção, selecione Gerenciar tabela.

4. O painel Gerenciar tabela é exibido, mostrando as configurações de retenção atuais. Você pode alterar as configurações de retenção para a camada de análise e a camada data lake. O padrão é espelhar os dados para a camada data lake com a mesma retenção que a camada de análise.

5. Em Retenção de análise, selecione o período de retenção para a camada de análise.

6. Para configurar a camada de data lake, selecione um período de retenção na lista suspensa Retenção total.

7. Para alterar a camada somente para data lake, selecione a camada data lake e selecione um período de retenção na lista suspensa Retenção. Selecionar essa opção interrompe novas ingestas na camada de análise.

8. Selecione Salvar para salvar as alterações.

Depois de configurar o conector de dados, pode levar algum tempo até que os dados sejam ingeridos no Microsoft Sentinel. Leva de 90 a 120 minutos para que os dados sejam ingeridos no data lake. Quando o conector de dados estiver conectado, você verá um resumo dos dados no grafo De dados recebidos e o status de conectividade dos tipos de dados.

Encontre seus dados

Depois de habilitar o conector com êxito, o conector começa a transmitir dados para os esquemas de tabela relacionados aos tipos de dados configurados.

No portal do Defender, consulte dados na página Busca Avançada ou no portal do Azure, consulte dados na página Logs .
Navegue até Data Lake Explorer e Consultas KQL para consultar os dados no Data Lake. Para obter mais informações, consulte KQL e o data lake do Microsoft Sentinel.

Encontrar suporte para um conector de dados

Tanto a Microsoft quanto outras organizações criam conectores de dados do Microsoft Sentinel. Localize o contato de suporte na página do conector de dados no Microsoft Sentinel.

1. Na página Conectores de Dados do Microsoft Sentinel, selecione o conector relevante.

2. Para acessar o suporte e a manutenção do conector, use o link de contato de suporte no campo Com suporte no painel lateral do conector.

   

Para obter mais informações, consulte Suporte ao conector de dados.

Conteúdo relacionado

Para obter mais informações sobre soluções e conectores de dados no Microsoft Sentinel, consulte os artigos a seguir.

• Conectores de dados do Microsoft Sentinel
• Localizar o conector de dados do Microsoft Sentinel
• Conectar o Microsoft Sentinel aos serviços Azure, Windows, Microsoft e Amazon
• O que é o data lake do Microsoft Sentinel?
• Integração ao data lake do Microsoft Sentinel
• Gerenciar camadas de dados e retenção no Microsoft Defender Portal.
• KQL e o data lake do Microsoft Sentinel
• Jupyter Notebooks e o data lake do Microsoft Sentinel