Partilhar via

Conectar fontes de dados ao Microsoft Sentinel usando conectores de dados

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Para conectar fontes de dados ao Microsoft Sentinel, você precisa instalar e configurar conectores de dados. Este artigo geralmente explica como instalar conectores de dados disponíveis no hub de conteúdo do Microsoft Sentinel para ingerir e analisar dados para melhorar a deteção de ameaças.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Pré-requisitos

Antes de começar, certifique-se de que tem o acesso adequado e que você ou alguém na sua organização instala a solução relacionada.

Ativar um conector de dados

Depois que você ou alguém em sua organização instalar a solução que inclui o conector de dados necessário, configure o conector de dados para começar a ingerir dados.

  1. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configurations>Data connectors. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.

  2. Procure e selecione o conector. Se você não vir o conector de dados desejado, verifique novamente se a solução relevante está instalada no hub de conteúdo.

  3. Selecione Abrir página do conector.

  4. Revise os pré-requisitos para seu conector de dados e verifique se eles foram atendidos.

  5. Siga as etapas descritas na seção Configurações para seu conector de dados.

    Para alguns conectores, encontre informações de configuração mais específicas na seção Coletar dados na documentação do Microsoft Sentinel.

Configurar a retenção de dados e a tierização

Se você tiver integrado ao data lake do Microsoft Sentinel, poderá configurar a retenção de dados e a hierarquização para o conector de dados. O data lake consiste em uma camada de análise - seus espaços de trabalho atuais do Microsoft Sentinel e uma camada de data lake onde você pode armazenar dados por até 12 anos. Para obter mais informações sobre integração, consulte Integração ao data lake do Microsoft Sentinel.

Quando você habilita um conector, por padrão, os dados são enviados para a camada de análise e espelhados na camada do data lake. Configure a retenção de dados em cada camada ou envie os dados somente para a camada do data lake. A retenção e a hierarquização são gerenciadas a partir das páginas de configuração do conector ou usando a página Gerenciamento de tabela no portal do Defender. Para obter mais informações sobre gerenciamento e retenção de tabelas, consulte Gerenciar camadas de dados e retenção no Portal do Microsoft Defender.

Depois de configurar o conector, configure a retenção de dados e a hierarquização usando as seguintes etapas:

  1. Na página Detalhes do conector , na seção Gerenciamento de tabela , selecione a tabela que deseja gerenciar.

    Uma captura de tela mostrando uma página de detalhes do conector.

  2. O painel da tabela é exibido mostrando as configurações de retenção atuais.

  3. Para configurar a retenção, selecione Gerenciar tabela. Uma captura de ecrã mostrando o painel gerir a tabela.

  4. O painel Gerenciar tabela é exibido, mostrando as configurações de retenção atuais. Você pode alterar as configurações de retenção para a camada de análise e a camada de data lake. O padrão é espelhar os dados para a camada de data lake com a mesma retenção que a camada analítica.

  5. Em Retenção do Google Analytics , selecione o período de retenção para a camada de análise.

  6. Para configurar a camada de data lake, selecione um período de retenção na lista suspensa retenção total. Uma captura de tela mostrando as opções de camada de análise e data lake.

  7. Para alterar a camada apenas para data lake, selecione a camada Data lake e selecione uma opção de retenção na lista suspensa Retenção. Selecionar essa opção interrompe a ingestão adicional para a camada de análise.

  8. Selecione Guardar para guardar as alterações.

Uma captura de tela mostrando a opção somente retenção da camada do data lake.

Depois de configurar o conector de dados, pode levar algum tempo para que os dados sejam ingeridos no Microsoft Sentinel. Leva de 90 a 120 minutos para que os dados sejam ingeridos no data lake. Quando o conector de dados está conectado, você vê um resumo dos dados no gráfico Dados recebidos e o status de conectividade dos tipos de dados.

Captura de tela de uma página do conector de dados com status conectado e gráfico que mostra os dados recebidos.

Ativar a Análise de Comportamento do Utilizador e da Entidade (UEBA) a partir de conectores suportados

A Análise de Comportamento de Utilizadores e Entidades (UEBA) no Microsoft Sentinel analisa registos e alertas provenientes de fontes de dados conectadas para construir perfis comportamentais base das entidades da sua organização — como utilizadores, hosts, endereços IP e aplicações. Utilizando aprendizagem automática, a UEBA identifica atividades anómalas que podem indicar um ativo comprometido.

Para ativar o UEBA a partir de conectores de dados suportados no portal Microsoft Defender:

  1. No menu de navegação do portal Microsoft Defender, selecione Microsoft Sentinel > Configuração > Conectores de Dados.

  2. Selecione um conector de dados suportado pela UEBA que suporte UEBA. Para mais informações sobre conectores e tabelas de dados suportados pela UEBA, consulte a referência Microsoft Sentinel UEBA.

  3. No painel do conector de dados, selecione Abrir página do conector.

  4. Na página de detalhes do Conector , selecione Opções Avançadas.

  5. Em Configurar UEBA, ativa as tabelas que queres ativar para UEBA.

    Captura de ecrã da configuração UEBA no conector de dados.

Encontre os seus dados

Depois de habilitar o conector com êxito, o conector começa a transmitir dados para os esquemas de tabela relacionados aos tipos de dados configurados.

No portal do Defender, consulte os dados na página Caça avançada ou, no portal do Azure, consulte os dados na página Logs .
Navegue até Data Lake Explorer, Consultas KQL para consultar dados no data lake. Para obter mais informações, consulte KQL e o data lake do Microsoft Sentinel.

Encontre suporte para um conector de dados

Tanto a Microsoft como outras organizações criam conectores de dados Microsoft Sentinel. Encontre o contacto de suporte na página do conector de dados do Microsoft Sentinel.

  1. Na página Conectores de dados do Microsoft Sentinel, selecione o conector relevante.

  2. Para acessar o suporte e a manutenção do conector, use o link de contato de suporte no campo Suportado por no painel lateral do conector.

    Captura de ecrã a mostrar o campo Suportado por para um conector de dados no Microsoft Sentinel.

Para obter mais informações, consulte Suporte ao conector de dados.

Conteúdos relacionados

Para obter mais informações sobre soluções e conectores de dados no Microsoft Sentinel, consulte os seguintes artigos.

  • Last updated on