Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Microsoft Sentinel fornece uma ampla gama de conectores prontos para uso para serviços do Azure e soluções externas e também oferece suporte à ingestão de dados de algumas fontes sem um conector dedicado.
Se você não conseguir conectar sua fonte de dados ao Microsoft Sentinel usando qualquer uma das soluções existentes disponíveis, considere criar seu próprio conector de fonte de dados.
Para obter uma lista completa dos conectores suportados, consulte Localizar o conector de dados do Microsoft Sentinel).
Comparar métodos de conector personalizados
A tabela a seguir compara detalhes essenciais sobre cada método de criação de conectores personalizados descrito neste artigo. Selecione os links na tabela para obter mais detalhes sobre cada método.
| Descrição do método | Capacidade | Sem servidor | Complexidade |
|---|---|---|---|
|
Estrutura de conector sem código (CCF) Melhor para públicos menos técnicos para criar conectores SaaS usando um arquivo de configuração em vez de desenvolvimento avançado. |
Suporta todas as funcionalidades disponíveis com o código. | Sim | Baixo custo; desenvolvimento simples e sem necessidade de programação |
|
Azure Monitor Agent Ideal para coletar arquivos de fontes locais e IaaS |
Recolha de ficheiros, transformação de dados | Não | Baixo |
|
Logstash Ideal para fontes locais e IaaS, qualquer fonte para a qual um plug-in esteja disponível e organizações já familiarizadas com o Logstash |
Suporta todos os recursos do Azure Monitor Agent | Não; requer a execução de uma VM ou cluster de VM | Baixa; suporta muitos cenários com plugins |
|
Aplicações Lógicas Alto custo; evitar para dados de grande volume Ideal para fontes de nuvem de baixo volume |
A programação sem código permite uma flexibilidade limitada, sem suporte para a implementação de algoritmos. Se nenhuma ação disponível já suportar seus requisitos, criar uma ação personalizada pode adicionar complexidade. |
Sim | Baixo custo; desenvolvimento simples e sem necessidade de programação |
|
API de ingestão de log no Azure Monitor Ideal para ISVs implementando integração e para requisitos de coleta exclusivos |
Suporta todas as funcionalidades disponíveis com o código. | Depende da implementação | Alto |
|
Funções do Azure Ideal para fontes de nuvem de alto volume e para requisitos exclusivos de coleta |
Suporta todas as funcionalidades disponíveis com o código. | Sim | Alta; requer conhecimentos de programação |
Gorjeta
Para comparações do uso de Aplicativos Lógicos e Azure Functions para o mesmo conector, consulte:
- O Ingest Fastly Web Application Firewall inicia sessão no Microsoft Sentinel
- Office 365 (comunidade do Microsoft Sentinel GitHub): Conector de Logic App | Conector da Função Azure
Conecte-se com o Codeless Connector Framework
O Codeless Connector Framework (CCF) fornece um arquivo de configuração que pode ser usado por clientes e parceiros e, em seguida, implantado em seu próprio espaço de trabalho ou como uma solução para o hub de conteúdo do Microsoft Sentinel.
Os conectores criados usando o CCF são totalmente SaaS, sem quaisquer requisitos para instalações de serviço, e também incluem monitoramento de integridade e suporte total do Microsoft Sentinel.
Para obter mais informações, consulte Criar um conector sem código para o Microsoft Sentinel.
Conecte-se com o Azure Monitor Agent
Se sua fonte de dados entregar eventos em arquivos de texto, recomendamos que você use o Azure Monitor Agent para criar seu conector personalizado.
Para obter mais informações, consulte Coletar logs de um arquivo de texto com o Azure Monitor Agent.
Para obter um exemplo desse método, consulte Coletar logs de um arquivo JSON com o Azure Monitor Agent.
Conecte-se com o Logstash
Se você estiver familiarizado com o Logstash, convém usar o Logstash com o plug-in de saída Logstash para o Microsoft Sentinel para criar seu conector personalizado.
Com o plug-in Microsoft Sentinel Logstash Output, você pode usar qualquer entrada Logstash e plug-ins de filtragem e configurar o Microsoft Sentinel como a saída para um pipeline Logstash. O Logstash tem uma grande biblioteca de plugins que permitem a entrada de várias fontes, como Hubs de Eventos, Apache Kafka, Arquivos, Bancos de Dados e Serviços de Nuvem. Use plug-ins de filtragem para analisar eventos, filtrar eventos desnecessários, ofuscar valores e muito mais.
Para obter exemplos de como usar o Logstash como um conector personalizado, consulte:
- Procurando Táticas, Técnicas e Procedimentos (TTPs) da violação da Capital One nos logs da AWS usando o Microsoft Sentinel (blog)
- Guia de implementação do Radware Microsoft Sentinel
Para obter exemplos de plugins Logstash úteis, consulte:
- Plug-in de entrada do Cloudwatch
- Plug-in dos Hubs de Eventos do Azure
- Plug-in de entrada do Google Cloud Storage
- Extensão de entrada Google_pubsub
Gorjeta
O Logstash também permite a coleta de dados dimensionados usando um cluster. Para obter mais informações, consulte Usando uma VM Logstash com balanceamento de carga em escala.
Conectar-se com o Logic Apps
Utilize Azure Logic Apps para criar um conector personalizado sem servidor para o Microsoft Sentinel.
Nota
Embora a criação de conectores sem servidor usando aplicativos lógicos possa ser conveniente, usar aplicativos lógicos para seus conectores pode ser caro para grandes volumes de dados.
Recomendamos que você use esse método apenas para fontes de dados de baixo volume ou para enriquecer seus carregamentos de dados.
Use um dos seguintes gatilhos para iniciar seus aplicativos lógicos:
Acionador Descrição Uma tarefa recorrente Por exemplo, agende seu Aplicativo Lógico para recuperar dados regularmente de arquivos, bancos de dados ou APIs externas específicos.
Para obter mais informações, consulte Criar, agendar e executar tarefas e fluxos de trabalho recorrentes nos Aplicativos Lógicos do Azure.Acionamento sob demanda Execute seu aplicativo lógico sob demanda para coleta e teste manual de dados.
Para obter mais informações, consulte Chamar, acionar ou aninhar aplicações lógicas usando endereços de extremidade HTTPS.Ponto de extremidade HTTP/S Recomendado para streaming e se o sistema de origem pode iniciar a transferência de dados.
Para obter mais informações, consulte Endereços de serviço de chamada via HTTP ou HTTPS.Use qualquer um dos conectores do Aplicativo Lógico que leem informações para obter seus eventos. Por exemplo:
Gorjeta
Conectores personalizados para APIs REST, SQL Servers e sistemas de arquivos também oferecem suporte à recuperação de dados de fontes de dados locais. Para obter mais informações, consulte a documentação de Instalação do gateway de dados local.
Prepare as informações que deseja recuperar.
Por exemplo, use a ação analisar JSON para aceder a propriedades no conteúdo JSON, permitindo-lhe selecionar essas propriedades na lista de conteúdos dinâmicos ao especificar entradas para a sua Aplicação Lógica.
Para obter mais informações, consulte Executar operações de dados em Aplicativos Lógicos do Azure.
Escreva os dados no Log Analytics.
Para obter mais informações, consulte a documentação do Azure Log Analytics Data Collector .
Para obter exemplos de como você pode criar um conector personalizado para o Microsoft Sentinel usando aplicativos lógicos, consulte:
- Criar um pipeline de dados com a API do coletor de dados
- Conector do Logic App Palo Alto Prisma usando um webhook (comunidade do GitHub do Microsoft Sentinel)
- Proteja suas chamadas do Microsoft Teams com ativação agendada (blog)
- Integrar indicadores de ameaça OTX do AlienVault no Microsoft Sentinel (blog)
Conecte-se com a API de ingestão de log
Pode enviar eventos para o Microsoft Sentinel utilizando a API do Coletor de Dados do Log Analytics para chamar diretamente um endpoint RESTful.
Embora chamar diretamente um endpoint RESTful exija mais codificação, isso também oferece mais flexibilidade.
Para obter mais informações, consulte os seguintes artigos:
- API de ingestão de log no Azure Monitor.
- Código de exemplo para enviar dados para o Azure Monitor usando a API de ingestão de Logs.
Conecte-se com o Azure Functions
Use o Azure Functions junto com uma API RESTful e várias linguagens de codificação, como o PowerShell, para criar um conector personalizado sem servidor.
Para exemplos deste método, consulte:
- Conecte seu VMware Carbon Black Cloud Endpoint Standard ao Microsoft Sentinel com o Azure Function
- Conecte seu logon único Okta ao Microsoft Sentinel com o Azure Function
- Conecte seu Proofpoint TAP ao Microsoft Sentinel com o Azure Function
- Conecte sua VM do Qualys ao Microsoft Sentinel com o Azure Function
- Ingerir XML, CSV ou outros formatos de dados
- Monitorando o Zoom com o Microsoft Sentinel (blog)
- Implantar um aplicativo de função para obter dados da API de gerenciamento do Office 365 no Microsoft Sentinel (comunidade do Microsoft Sentinel GitHub)
Analise os dados do conector personalizado
Para aproveitar os dados coletados com seu conector personalizado, desenvolva analisadores ASIM (Advanced Security Information Model) para trabalhar com seu conector. O uso do ASIM permite que o conteúdo interno do Microsoft Sentinel use seus dados personalizados e facilita a consulta dos dados pelos analistas.
Se o método do conector o permitir, poderá implementar parte da análise no conector para melhorar o desempenho do processamento durante as consultas.
- Se você usou o Logstash, use o plug-in de filtro Grok para analisar seus dados.
- Se você usou uma função do Azure, analise seus dados com código.
Você ainda precisará implementar analisadores ASIM, mas implementar parte da análise diretamente com o conector simplifica a análise e melhora o desempenho.
Próximos passos
Use os dados ingeridos no Microsoft Sentinel para proteger seu ambiente com qualquer um dos seguintes processos: