Búsqueda del conector de datos de Microsoft Sentinel
Nota
Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.
En este artículo se explica cómo implementar conectores de datos en Microsoft Sentinel, se enumeran todos los conectores de datos de serie compatibles, junto con vínculos a procedimientos de implementación genéricos, y se proporcionan pasos adicionales necesarios para conectores específicos.
Sugerencia
Algunos conectores de datos solo se implementan a través de soluciones. Para obtener más información, vea el catálogo de soluciones de Microsoft Sentinel. También puede encontrar otros conectores de datos compilados por la comunidad en el repositorio de GitHub de Microsoft Sentinel.
Cómo utilizar esta guía
En primer lugar, busque y seleccione el conector del producto, servicio o dispositivo en el menú de títulos de la derecha.
El primer fragmento de información que verá para cada conector es su método de ingesta de datos. El método que aparece tiene un vínculo a uno de los siguientes procedimientos de implementación genéricos, que contienen la mayor parte de la información necesaria para conectar los orígenes de datos a Microsoft Sentinel:
Método de ingesta de datos Artículo vinculado con instrucciones Integración entre servicios de Azure Conexión a servicios de Azure, Windows, Microsoft y Amazon Formato de evento común (CEF) sobre Syslog Obtención de registros con formato CEF del dispositivo en Microsoft Sentinel Data Collector API de Microsoft Azure Sentinel Conexión del origen de datos a Data Collector API de Microsoft Sentinel para ingerir datos Azure Functions y la API REST Uso de Azure Functions para conectar Microsoft Sentinel a un origen de datos Syslog Recopilación de datos de orígenes basados en Linux mediante Syslog Registros personalizados Recopilación de datos en formatos de registro personalizados para Microsoft Sentinel con el agente de Log Analytics Nota
El método de ingesta de datos de integración entre servicios de Azure se vincula a tres secciones diferentes de su artículo, en función del tipo de conector. En la sección siguiente de cada conector se especifica la sección de ese artículo a la que se vincula.
Al implementar un conector específico, elija el artículo adecuado vinculado a su método de ingesta de datos y use la información y las instrucciones adicionales de la sección correspondiente para complementar la información de ese artículo.
Sugerencia
Muchos conectores de datos también se pueden implementar como parte de una solución de Microsoft Sentinel, junto con reglas de análisis, libros y cuadernos de estrategias relacionados. Para obtener más información, vea el catálogo de soluciones de Microsoft Sentinel.
La comunidad de Microsoft Sentinel proporciona más conectores de datos, que se pueden encontrar en Azure Marketplace. La documentación de los conectores de datos de la comunidad es responsabilidad de la organización que ha creado el conector.
Si tiene un origen de datos que no aparece en la lista o actualmente se admite, también puede crear un conector personalizado propio. Para obtener más información, vea Recursos para crear conectores personalizados de Microsoft Sentinel.
Importante
Los conectores de datos indicados de Microsoft Sentinel están actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Requisitos previos del conector de datos.
Cada conector de datos tendrá su propio conjunto de requisitos previos, como los permisos necesarios en el área de trabajo, la suscripción o la directiva de Azure, entre otros, u otros requisitos para el origen de datos del asociado al que se conecta.
Los requisitos previos para cada conector de datos se enumeran en la página correspondiente del conector de datos de Microsoft Sentinel, en la pestaña Instrucciones.
Agari Phishing Defense y Brand Protection (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST Antes de la implementación: habilite Security Graph API (opcional). Después de la implementación: asigne los permisos necesarios a la aplicación de funciones |
| Tabla de Log Analytics | agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-agari-functionapp |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Configuración de la aplicación | Obligatorio si enableSecurityGraphSharing está establecido en true (vea a continuación): |
| Compatible con | Agari |
Habilite Security Graph API (opcional)
Importante
Si realiza este paso, haga esto antes de implementar el conector de datos.
La aplicación de funciones Agari permite compartir inteligencia sobre amenazas con Microsoft Sentinel por medio de Security Graph API. Para usar esta característica, no solo es preciso habilitar el conector Sentinel Threat Intelligence Platforms, sino también registrar una aplicación en Azure Active Directory.
Este proceso proporcionará tres datos que se usarán al implementar la aplicación de funciones: el id. de inquilino de Graph, el id. de cliente de Graph y el secreto de cliente de Graph (vea la configuración de la aplicación en la tabla anterior).
Asigne los permisos necesarios a la aplicación de funciones
El conector de Agari usa una variable de entorno para almacenar las marcas de tiempo de acceso al registro. Para que la aplicación escriba en esta variable, es preciso asignar permisos a la identidad asignada por el sistema.
- En Azure Portal, vaya a Aplicación de funciones.
- En la página Aplicación de funciones, seleccione una aplicación de funciones de la lista y, después, seleccione Identidad en la opción Configuración del menú de navegación de Aplicación de funciones.
- En la pestaña Asignado por el sistema, en Estado seleccione Activado.
- Seleccione Guardar y aparecerá el botón Asignaciones de roles de Azure. Selecciónela.
- En la pantalla Asignaciones de roles de Azure, seleccione Agregar asignación de rol. En Ámbito, seleccione Suscripción, seleccione la suscripción en la lista desplegable Suscripción y en Rol, seleccione App Configuration Data Owner (Propietario de datos de la configuración de la aplicación).
- Seleccione Guardar.
AI Analyst (AIA) de Darktrace (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog Configuración del reenvío de registros CEF para AI Analyst |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Darktrace |
Configuración del reenvío de registros CEF para AI Analyst
Configure Darktrace para reenviar mensajes de Syslog en formato CEF al área de trabajo de Azure por medio del agente de Log Analytics.
- En el visualizador de amenazas de Darktrace, vaya a la página System Config (Configuración del sistema) en el menú principal bajo Admin (Administración).
- En el menú de la izquierda, seleccione Módulos y luego Microsoft Sentinel en Workflow Integrations (Integraciones de flujo de trabajo).
- Se abrirá una ventana de configuración. Busque Microsoft Sentinel Syslog CEF y seleccione Nuevo para mostrar los valores de configuración, a menos que ya aparezcan.
- En el campo Server configuration (Configuración del servidor), escriba la ubicación del reenviador de registros y, opcionalmente, modifique el puerto de comunicación. Asegúrese de que el puerto seleccionado está establecido en 514 y que lo permiten los firewalls intermedios.
- Configure los umbrales de alerta, los desplazamientos de tiempo o los valores adicionales según sea necesario.
- Revise las opciones de configuración adicionales que quiera habilitar para modificar la sintaxis de Syslog.
- Habilite Send Alerts (Enviar alertas) y guarde los cambios.
AI Vectra Detect (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog Configuración del reenvío de registros CEF para AI Vectra Detect |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Vectra AI |
Configuración del reenvío de registros CEF para AI Vectra Detect
Configure el agente de Vectra (serie X) para reenviar mensajes de Syslog en formato CEF al área de trabajo de Microsoft Sentinel por medio del agente de Log Analytics.
En la interfaz de Vectra, vaya a Configuración > Notificaciones y, después, elija Editar configuración de Syslog. Siga estas instrucciones para configurar la conexión:
- Agregue un nuevo destino (el nombre de host del reenviador de registros)
- Establezca el puerto como 514.
- Establezca el protocolo como UDP.
- Establezca el formato en CEF.
- Establezca los tipos de registro (seleccione todos los tipos disponibles).
- Seleccione Guardar.
Puede seleccionar el botón Test (Probar) para forzar el envío de algunos eventos de prueba al reenviador de registros.
Para obtener más información, vea la Guía de Syslog de detección de Cognito, que se puede descargar desde la página de recursos de Detect UI.
Akamai Security Events (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | AkamaiSIEMEvent |
| URL de función de Kusto: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt |
| Documentación del proveedor/ Instrucciones de instalación |
Configuración de la integración de administración de eventos e información de seguridad (SIEM) Configure un conector CEF. |
| Compatible con | Akamai |
Alcide kAudit
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | alcide_kaudit_activity_1_CL: registros de actividad de Alcide kAudit alcide_kaudit_detections_1_CL: detecciones de Alcide kAudit alcide_kaudit_selections_count_1_CL: recuentos de actividad de cAlcide kAudit alcide_kaudit_selections_details_1_CL: detalles de actividad de Alcide kAudit |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de instalación de Alcide kAudit |
| Compatible con | Alcide |
Alsid para Active Directory
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Agente de Log Analytics: registros personalizados Configuración adicional para Alsid |
| Tabla de Log Analytics | AlsidForADLog_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Alias de función de Kusto: | afad_parser |
| URL de función de Kusto: | https://aka.ms/Sentinel-alsidforad-parser |
| Compatible con | Alsid |
Configuración adicional para Alsid
Configuración del servidor de Syslog
Primero necesitará un servidor Syslog de Linux al que Alsid para AD enviará los registros. Normalmente, puede ejecutar rsyslog en Ubuntu.
Después, puede configurar este servidor como prefiera, pero se recomienda que pueda generar registros de AFAD en un archivo independiente. Como alternativa, puede usar una plantilla de inicio rápido para implementar el servidor de Syslog y el agente de Microsoft automáticamente. Si usa la plantilla, puede omitir las instrucciones de instalación del agente.
Configuración de Alsid para enviar registros al servidor de Syslog
En el portal de Alsid para AD, vaya a Sistema, Configuración y, a continuación, Syslog. Desde allí puede crear una nueva alerta de Syslog para el servidor de Syslog.
Una vez que haya creado una nueva alerta de Syslog, compruebe que los registros se han recopilado correctamente en su servidor en un archivo independiente. Por ejemplo, para consultar los registros, puede usar el botón Probar la configuración en la configuración de alertas de Syslog de AFAD. Si ha usado la plantilla de inicio rápido, el servidor de Syslog escuchará de forma predeterminada en el puerto 514 en UDP y en 1514 en TCP, sin TLS.
Amazon Web Services
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexión de Microsoft Sentinel a Amazon Web Services para ingerir datos de registro del servicio AWS (artículo conector principal) |
| Tabla de Log Analytics | AWSCloudTrail |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Amazon Web Services S3 (vista previa)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexión de Microsoft Sentinel a Amazon Web Services para ingerir datos de registro del servicio AWS (artículo conector principal) |
| Tabla de Log Analytics | AWSCloudTrail AWSGuardDuty AWSVPCFlow |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Servidor HTTP de Apache
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Agente de Log Analytics: registros personalizados |
| Tabla de Log Analytics | ApacheHTTPServer_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Alias de función de Kusto: | ApacheHTTPServer |
| URL de función de Kusto: | https://aka.ms/Sentinel-apachehttpserver-parser |
| Archivo de ejemplo de registro personalizado: | access.log o error.log |
Apache Tomcat
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Agente de Log Analytics: registros personalizados |
| Tabla de Log Analytics | Tomcat_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Alias de función de Kusto: | TomcatEvent |
| URL de función de Kusto: | https://aka.ms/Sentinel-ApacheTomcat-parser |
| Archivo de ejemplo de registro personalizado: | access.log o error.log |
Aruba ClearPass (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | ArubaClearPass |
| URL de función de Kusto: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt |
| Documentación del proveedor/ Instrucciones de instalación |
Siga las instrucciones de Aruba para configurar ClearPass. |
| Compatible con | Microsoft |
Atlassian Confluence Audit (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST |
| Tabla de Log Analytics | Confluence_Audit_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-confluenceauditapi-functionapp |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | ConfluenceAudit |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-confluenceauditapi-parser |
| Configuración de la aplicación | |
| Compatible con | Microsoft |
Atlassian Jira Audit (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST |
| Tabla de Log Analytics | Jira_Audit_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-jiraauditapi-functionapp |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | JiraAudit |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-jiraauditapi-parser |
| Configuración de la aplicación | |
| Compatible con | Microsoft |
Azure Active Directory
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexión de datos de Azure Active Directory a Microsoft Sentinel (artículo conector principal) |
| Requisitos previos de licencia/ Información de costo |
Es posible que se apliquen cargos adicionales |
| Tabla de Log Analytics | SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Azure Active Directory Identity Protection
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API |
| Requisitos previos de licencia/ Información de costo |
Suscripción a Azure AD Premium P2 Es posible que se apliquen cargos adicionales |
| Tabla de Log Analytics | SecurityAlert |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Nota
Este conector se diseñó para importar solo aquellas alertas cuyo estado sea "abierto". Las alertas que se han cerrado en Azure AD Identity Protection no se importarán a Microsoft Sentinel.
Actividad de Azure
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en la configuración de diagnóstico, administradas por Azure Policy Actualización al nuevo conector de actividad de Azure |
| Tabla de Log Analytics | AzureActivity |
| Compatibilidad con DCR | No se admite actualmente. |
| Compatible con | Microsoft |
Actualización al nuevo conector de actividad de Azure
Cambios en la estructura de datos
Este conector ha cambiado recientemente su mecanismo de back-end para recopilar eventos del registro de actividad. Ahora usa la canalización de configuración de diagnóstico. Si todavía usa el método heredado para este conector, se recomienda encarecidamente actualizar a la nueva versión, que proporciona una mejor funcionalidad y una mayor coherencia con los registros de recursos. Consulte las instrucciones a continuación.
El método de configuración de diagnóstico envía los mismos datos que el método heredado que se envía desde el servicio Registro de actividad, aunque ha habido algunos cambios en la estructura de la tabla AzureActivity.
Estas son algunas de las mejoras clave resultantes del pasaje a la canalización de configuración de diagnóstico:
- Se mejoró la latencia de ingesta (ingesta de eventos de entre 2 y 3 minutos desde la aparición en lugar de 15 o 20 minutos).
- Se mejoró la confiabilidad.
- Rendimiento mejorado.
- Compatibilidad con todas las categorías de eventos registrados por el servicio Registro de actividad (el mecanismo heredado solo admite un subconjunto; por ejemplo, no admite eventos de Service Health).
- Administración a gran escala con Azure Policy.
Vea la documentación de Azure Monitor para obtener un tratamiento más detallado del Registro de actividad de Azure y la canalización de configuración de diagnóstico.
Desconexión de la canalización antigua
Antes de configurar el nuevo conector del registro de actividad de Azure, debe desconectar las suscripciones existentes del método heredado.
En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos. En la lista de conectores, seleccione Actividad de Azure y, después, seleccione el botón Abrir página del conector en la parte inferior derecha.
En la pestaña Instrucciones, en la sección Configuración, en el paso 1, revise la lista de suscripciones existentes que están conectadas al método heredado (para saber cuáles se van a agregar al nuevo) y desconéctelas todas a la vez con el botón Desconectar todo que aparece a continuación.
Siga configurando el nuevo conector con las instrucciones vinculadas en la tabla anterior.
Azure DDoS Protection
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en configuración de diagnóstico |
| Requisitos previos de licencia/ Información de costo |
Es posible que se apliquen cargos adicionales |
| Tabla de Log Analytics | AzureDiagnostics |
| Compatibilidad con DCR | No se admite actualmente. |
| Diagnósticos recomendados | DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports |
| Compatible con | Microsoft |
Nota:
El estado del conector de datos de Azure DDoS Protection cambia a Conectado solo cuando los recursos protegidos se enfrentan a un ataque DDoS.
Azure Defender
Consulte Microsoft Defender for Cloud.
Azure Firewall
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en configuración de diagnóstico |
| Tabla de Log Analytics | AzureDiagnostics |
| Compatibilidad con DCR | No se admite actualmente. |
| Diagnósticos recomendados | AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy |
| Compatible con | Microsoft |
Azure Information Protection (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servicios de Azure |
| Tabla de Log Analytics | InformationProtectionLogs_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Compatible con | Microsoft |
Nota
El conector de datos de Azure Information Protection (AIP) usa la característica de registros de auditoría de AIP (versión preliminar pública). A partir del 18 de marzo de 2022, se pone fin a la versión preliminar pública de los registros de auditoría y análisis de AIP y, en adelante, se usará la solución de auditoría de Microsoft 365. La retirada completa está programada para el 30 de septiembre de 2022.
Para obtener más información, consulte Servicios eliminados y retirados.
Azure Key Vault
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en la configuración de diagnóstico, administradas por Azure Policy |
| Tabla de Log Analytics | KeyVaultData |
| Compatibilidad con DCR | No se admite actualmente. |
| Compatible con | Microsoft |
Azure Kubernetes Service (AKS)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en la configuración de diagnóstico, administradas por Azure Policy |
| Tabla de Log Analytics | kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler cluster-autoscaler guard |
| Compatibilidad con DCR | No se admite actualmente. |
| Compatible con | Microsoft |
Microsoft Purview
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en configuración de diagnóstico Para obtener más información, vea Tutorial: Integración de Microsoft Sentinel y Microsoft Purview. |
| Tabla de Log Analytics | PurviewDataSensitivityLogs |
| Compatibilidad con DCR | No se admite actualmente. |
| Compatible con | Microsoft |
Azure SQL Database
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en la configuración de diagnóstico, administradas por Azure Policy También está disponible en las soluciones de Azure SQL y Microsoft Sentinel para PaaS de SQL |
| Tabla de Log Analytics | SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics Errors DatabaseWaitStatistics Tiempos de espera Blocks Interbloqueos Básico InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit |
| Compatibilidad con DCR | No se admite actualmente. |
| Compatible con | Microsoft |
Cuenta de Azure Storage
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en configuración de diagnóstico Notas sobre la configuración de diagnóstico de la cuenta de almacenamiento |
| Tabla de Log Analytics | StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs |
| Diagnósticos recomendados | Recurso de cuenta Recursos de blob, cola, tabla o archivo |
| Compatibilidad con DCR | No se admite actualmente. |
| Compatible con | Microsoft |
Notas sobre la configuración de diagnóstico de la cuenta de almacenamiento
El recurso de cuenta de almacenamiento (primario) contiene otros recursos (secundarios) para cada tipo de almacenamiento: archivos, tablas, colas y blobs.
Al configurar diagnósticos para una cuenta de almacenamiento, debe seleccionar y configurar lo siguiente, por orden:
- El recurso de la cuenta primaria, y exportar la métrica Transacción.
- Cada uno de los recursos de tipo de almacenamiento secundario, y exportar todos los registros y las métricas (vea la tabla anterior).
Solo verá los tipos de almacenamiento para los que realmente ha definido recursos.
Firewall de aplicaciones web (WAF) de Azure
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en configuración de diagnóstico |
| Tabla de Log Analytics | AzureDiagnostics |
| Compatibilidad con DCR | No se admite actualmente. |
| Diagnósticos recomendados | Application Gateway Front Door Directiva WAF de CDN |
| Compatible con | Microsoft |
Barracuda CloudGen Firewall
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | CGFWFirewallActivity |
| URL de función de Kusto: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity |
| Documentación del proveedor/ Instrucciones de instalación |
https://aka.ms/Sentinel-barracudacloudfirewall-connector |
| Compatible con | Barracuda |
Firewall de aplicaciones web Barracuda
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | CommonSecurityLog (Barracuda) Barracuda_CL |
| Documentación del proveedor/ Instrucciones de instalación |
https://aka.ms/asi-barracuda-connector |
| Compatible con | Barracuda |
Consulte las instrucciones de Barracuda: anote las funciones asignadas para los distintos tipos de registros y asegúrese de agregarlos a la configuración predeterminada de Syslog.
BETTER Mobile Threat Defense (MTD) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Documentación de BETTER MTD Configuración de la directiva de amenazas, que define los incidentes que se notifican a Microsoft Sentinel:
|
| Compatible con | Better Mobile |
Beyond Security beSECURE
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Acceda al menú Integration (Integración):
|
| Compatible con | Beyond Security |
BlackBerry CylancePROTECT (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | CylancePROTECT |
| URL de función de Kusto: | https://aka.ms/Sentinel-cylanceprotect-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de Syslog de Cylance |
| Compatible con | Microsoft |
Broadcom Symantec Data Loss Prevention (DLP) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | SymantecDLP |
| URL de función de Kusto: | https://aka.ms/Sentinel-symantecdlp-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Configuración de la acción Registrar en un servidor de Syslog |
| Compatible con | Microsoft |
Punto de comprobación
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog Disponible en la solución Check Point |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Exportador de registros: Check Point Log Export |
| Compatible con | Check Point |
Cisco ASA
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog Disponible en la solución Cisco ASA |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Cisco ASA Series CLI Configuration Guide (Guía de configuración de la serie Cisco ASA mediante CLI) |
| Compatible con | Microsoft |
Cisco Firepower eStreamer (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog Configuración adicional para Cisco Firepower eStreamer |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de operaciones de eStreamer eNcore for Sentinel |
| Compatible con | Cisco |
Configuración adicional para Cisco Firepower eStreamer
Instalación del cliente de Firepower eNcore
Instale y configure el cliente de eStreamer de Firepower eNcore. Para obtener más información, vea la guía completa de instalación de Cisco.Descarga de Firepower Connector desde GitHub
Descargue la versión más reciente del conector Firepower eNcore para Microsoft Sentinel desde el repositorio de GitHub de Cisco. Si tiene pensado usar Python 3, utilice el conector eStreamer para Python 3.Creación de un archivo pkcs12 con la dirección IP de la máquina virtual o Azure
Cree un certificado pkcs12 mediante la dirección IP pública de la instancia de máquina virtual en Firepower en System > Integration > eStreamer (Sistema > Integración > eStreamer). Para obtener más información, vea la guía de instalación.Prueba de la conectividad entre el cliente de Azure o la máquina virtual, y FMC
Copie el archivo pkcs12 de FMC a la instancia de Azure o VM, y ejecute la utilidad de prueba (./encore.sh test) para asegurarse de que se puede establecer una conexión. Para obtener más información, vea la guía de configuración.Configuración de eNcore para transmitir datos al agente
Configure eNcore para transmitir datos mediante TCP al agente de Log Analytics. Esta configuración debe estar habilitada de forma predeterminada, pero se pueden configurar puertos y protocolos de streaming adicionales en función de la postura de seguridad de red. También es posible guardar los datos en el sistema de archivos. Para obtener más información, vea Configuración de eNcore.
Cisco Meraki (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog Disponible en la solución Cisco ISE |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | CiscoMeraki |
| URL de función de Kusto: | https://aka.ms/Sentinel-ciscomeraki-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Documentación de Meraki Device Reporting |
| Compatible con | Microsoft |
Cisco Umbrella (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST Disponible en la solución Cisco Umbrella |
| Tabla de Log Analytics | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | Cisco_Umbrella |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-ciscoumbrella-function |
| Configuración de la aplicación | |
| Compatible con | Microsoft |
Cisco Unified Computing System (UCS) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | CiscoUCS |
| URL de función de Kusto: | https://aka.ms/Sentinel-ciscoucs-function |
| Documentación del proveedor/ Instrucciones de instalación |
Configuración de Syslog para Cisco UCS: Cisco |
| Compatible con | Microsoft |
Citrix Analytics (Security)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | CitrixAnalytics_SAlerts_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Conexión de Citrix a Microsoft Sentinel |
| Compatible con | Citrix Systems |
Citrix Web App Firewall (WAF) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Para configurar WAF, vea Support WIKI - WAF Configuration with NetScaler (WIKI de soporte técnico: configuración de WAF con NetScaler). Para configurar los registros de CEF, vea CEF Logging Support in the Application Firewall (Compatibilidad con el registro de CEF en el firewall de aplicaciones). Para reenviar los registros al proxy, vea Configuring Citrix ADC appliance for audit logging (Configuración de dispositivos Citrix ADC para el registro de auditoría). |
| Compatible con | Citrix Systems |
Cognni (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | CognniIncidents_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Conexión a Cognni
|
| Compatible con | Cognni |
Supervisión continua de amenazas para SAP (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Solo está disponible después de instalar la solución Supervisión continua de amenazas para SAP |
| Tabla de Log Analytics | Consulte Referencia de datos de la solución de SAP para Microsoft Sentinel. |
| Documentación del proveedor/ Instrucciones de instalación |
Implementación de la supervisión de amenazas continua de SAP |
| Compatible con | Microsoft |
Eventos de CyberArk Enterprise Password Vault (EPV) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Aplicaciones de administración de eventos e información de seguridad (SIEM) |
| Compatible con | CyberArk |
Cyberpion Security Logs (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | CyberpionActionItems_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Obtención de una suscripción a Cyberpion Integración de alertas de seguridad de Cyberpion en Microsoft Sentinel |
| Compatible con | Cyberpion |
DNS (versión preliminar)
Consulte Servidor DNS de Windows (versión preliminar).
Dynamics 365
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API También está disponible como parte de la solución Microsoft Sentinel para Dynamics 365 |
| Requisitos previos de licencia/ Información de costo |
Es posible que se apliquen cargos adicionales |
| Tabla de Log Analytics | Dynamics365Activity |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
ESET Enterprise Inspector (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST Creación de un usuario de API |
| Tabla de Log Analytics | ESETEnterpriseInspector_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM) |
| Compatible con | ESET |
Creación de un usuario de API
- Inicie sesión en la consola ESET Security Management Center / ESET PROTECT con una cuenta de administrador, seleccione la pestaña More (Más) y la subpestaña Users (Usuarios).
- Seleccione el botón ADD NEW (AGREGAR NUEVO) y agregue un usuario nativo.
- Cree un usuario para la cuenta de API. Opcional: seleccione un Home group (grupo Inicio) distinto de All (Todos) para limitar las detecciones que se ingieren.
- En la pestaña Permission Sets (Conjuntos de permisos), asigne el conjunto de permisos Enterprise Inspector reviewer (Revisor de Enterprise Inspector).
- Cierre la sesión de la cuenta de administrador, inicie sesión en la consola con las nuevas credenciales de API para la validación y, después, cierre la sesión de la cuenta de API.
ESET Security Management Center (SMC) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog Configuración de los registros de ESET SMC que se van a recopilar Configuración del agente de OMS para pasar los datos de Eset SMC en formato de API Cambio de la configuración del agente de OMS para detectar la etiqueta oms.api.eset y analizar los datos estructurados Deshabilitación de la configuración automática y reinicio del agente |
| Tabla de Log Analytics | eset_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Documentación del servidor de Syslog de ESET |
| Compatible con | ESET |
Configuración de los registros de ESET SMC que se van a recopilar
Configure rsyslog para que acepte registros de la dirección IP de Eset SMC.
sudo -i
# Set ESET SMC source IP address
export ESETIP={Enter your IP address}
# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-remote.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $ESETIP
\$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning @127.0.0.1:25224
EOF
# Restart rsyslog
systemctl restart rsyslog
Configuración del agente de OMS para pasar los datos de Eset SMC en formato de API
Para reconocer fácilmente los datos de Eset, insértelos en una tabla independiente y analícelos en el agente a fin de simplificar y acelerar la consulta de Microsoft Sentinel.
En el archivo /etc/opt/microsoft/omsagent/{REEMPLACE_id_del_área_de_trabajo}/conf/omsagent.conf, modifique la sección match oms.** para enviar los datos como objetos de API, y cambie el tipo a out_oms_api.
El código siguiente es un ejemplo de la sección match oms.** completa:
<match oms.** docker.**>
type out_oms_api
log_level info
num_threads 5
run_in_background false
omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
buffer_chunk_limit 15m
buffer_type file
buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
buffer_queue_limit 10
buffer_queue_full_action drop_oldest_chunk
flush_interval 20s
retry_limit 10
retry_wait 30s
max_retry_wait 9m
</match>
Cambio de la configuración del agente de OMS para detectar la etiqueta oms.api.eset y analizar los datos estructurados
Modifique el archivo /etc/opt/microsoft/omsagent/{REEMPLACE_id_del_área_de_trabajo}/conf/omsagent.d/syslog.conf.
Por ejemplo:
<source>
type syslog
port 25224
bind 127.0.0.1
protocol_type udp
tag oms.api.eset
</source>
<filter oms.api.**>
@type parser
key_name message
format /(?<message>.*?{.*})/
</filter>
<filter oms.api.**>
@type parser
key_name message
format json
</filter>
Deshabilitación de la configuración automática y reinicio del agente
Por ejemplo:
# Disable changes to configuration files from Portal
sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
# Restart agent
sudo /opt/microsoft/omsagent/bin/service_control restart
# Check agent logs
tail -f /var/opt/microsoft/omsagent/log/omsagent.log
Configuración de Eset SMC para enviar registros al conector
Configure los registros de Eset con el estilo BSD y el formato JSON.
- Vaya a la configuración del servidor de Syslog para configurar el host (el conector), con el formato BSD y el transporte TCP
- Vaya a la sección Logging (Registro) y habilite JSON.
Para obtener más información, vea la documentación de Eset.
Exabeam Advanced Analytics (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | ExabeamEvent |
| URL de función de Kusto: | https://aka.ms/Sentinel-Exabeam-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Configuración de notificaciones de actividad del sistema de Análisis avanzado |
| Compatible con | Microsoft |
ExtraHop Reveal(x)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Conector SIEM de ExtraHop Detection |
| Compatible con | ExtraHop |
F5 BIG-IP
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Integración de F5 BIG-IP con Microsoft Sentinel |
| Compatible con | Redes F5 |
F5 Networks (ASM)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Configuración del registro de eventos de seguridad de aplicaciones |
| Compatible con | Redes F5 |
Forcepoint Cloud Access Security Broker (CASB) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Forcepoint CASB y Microsoft Sentinel |
| Compatible con | Forcepoint |
Forcepoint Cloud Security Gateway (CSG) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Forcepoint Cloud Security Gateway y Microsoft Sentinel |
| Compatible con | Forcepoint |
Forcepoint Data Loss Prevention (DLP) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | ForcepointDLPEvents_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Forcepoint Data Loss Prevention y Microsoft Sentinel |
| Compatible con | Forcepoint |
Forcepoint Next Generation Firewall (NGFW) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Forcepoint Next-Gen Firewall y Microsoft Sentinel |
| Compatible con | Forcepoint |
ForgeRock Common Audit (CAUD) for CEF (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Instale esto primero. ForgeRock Common Audit (CAUD) para Microsoft Sentinel |
| Compatible con | ForgeRock |
Fortinet
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog Envío de registros de Fortinet al reenviador de registros Disponible en la solución Fortinet Fortigate |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Biblioteca de documentos de Fortinet Seleccione la versión y use los PDF Handbook (Manual) y Log Message Reference (Referencia de mensajes de registro). |
| Compatible con | Fortinet |
Envío de registros de Fortinet al reenviador de registros
Abra la CLI en su dispositivo Fortinet y ejecute los siguientes comandos:
config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end
- Reemplace la dirección IP del servidor por la dirección IP del reenviador de registros.
- Establezca el puerto de syslog en 514 o en el que haya establecido en el demonio de Syslog en el reenviador.
- Para habilitar el formato CEF en las primeras versiones de FortiOS, es posible que deba ejecutar el conjunto de comandos csv disable.
GitHub (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel Solo está disponible después de instalar la solución Supervisión continua de amenazas para GitHub. |
| Tabla de Log Analytics | GitHubAuditLogPolling_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Credenciales de API | Token de acceso de GitHub |
| Instrucciones de implementación del conector | Configuración adicional para el conector de GitHub |
| Compatible con | Microsoft |
Configuración adicional para el conector de GitHub
Requisito previo: debe tener una cuenta GitHub enterprise y una organización accesible para poder conectarse a GitHub desde Microsoft Sentinel.
Instale la solución Supervisión continua de amenazas para GitHub en el área de trabajo de Microsoft Sentinel. Para obtener más información, consulte Detección e implementación central de soluciones y contenido integrados de Microsoft Sentinel (vista previa pública).
Cree un GitHub de acceso personal para usarlo en el conector de Microsoft Sentinel. Para obtener más información, vea la documentación pertinente de GitHub.
En el área Conectores de datos de Microsoft Sentinel, busque y localice el conector de GitHub. En la derecha, seleccione Abrir página del conector.
En la pestaña Instrucciones, en el área Configuración, escriba los detalles siguientes:
- Nombre de la organización: escriba el nombre de la organización a la que desea conectarse.
- Clave de API: escriba el token de acceso personal de GitHub que creó anteriormente en este procedimiento.
Seleccione Conectar para empezar a ingerir los registros de GitHub en Microsoft Sentinel.
Google Workspace (G-Suite) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST Configuración adicional para la API de informes de Google |
| Tabla de Log Analytics | GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | GWorkspaceActivityReports |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser |
| Configuración de la aplicación | |
| Compatible con | Microsoft |
Configuración adicional para la API de informes de Google
Agregue http://localhost:8081/ en Authorized redirect URIs (URI de redireccionamiento autorizados) al crear las credenciales de aplicación web.
- Siga las instrucciones para obtener el archivo credentials.json.
- Para obtener la cadena pickle de Google, ejecute este script de Python (en la misma ruta que credentials.json).
- Copie la salida de la cadena pickle entre comillas simples y guárdela. La necesitará para implementar la aplicación de funciones.
Illusive Attack Management System (AMS) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de administración de Illusive Networks |
| Compatible con | Illusive Networks |
Imperva WAF Gateway (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog Disponible en la solución Imperva Cloud WAF |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Pasos para habilitar el registro de alertas de Imperva WAF Gateway en Microsoft Sentinel |
| Compatible con | Imperva |
Infoblox Network Identity Operating System (NIOS) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog disponible en la solución InfoBlox Threat Defense |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | InfobloxNIOS |
| URL de función de Kusto: | https://aka.ms/sentinelgithubparsersinfoblox |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de implementación de SNMP y Syslog de NIOS |
| Compatible con | Microsoft |
Juniper SRX (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | JuniperSRX |
| URL de función de Kusto: | https://aka.ms/Sentinel-junipersrx-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Configuración del registro de tráfico (registros de directivas de seguridad) para dispositivos de rama SRX Configuración del registro del sistema |
| Compatible con | Juniper Networks |
Lookout Mobile Threat Defense (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST Solo está disponible después de instalar la solución Lookout Mobile Threat Defense para Microsoft Sentinel |
| Tabla de Log Analytics | Lookout_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Compatible con | Lookout |
Microsoft 365 Defender
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexión de datos de Microsoft 365 Defender con Microsoft Sentinel (artículo conector principal) |
| Requisitos previos de licencia/ Información de costo |
Licencia válida para Microsoft 365 Defender |
| Tabla de Log Analytics | Alertas: SecurityAlert SecurityIncident Eventos de Defender para punto de conexión: DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Eventos de Defender para Office 365: EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents Eventos de Defender for Identity: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents Eventos de las aplicaciones de Defender for Cloud: CloudAppEvents Alertas de Defender como eventos: AlertInfo AlertEvidence |
| Compatibilidad con DCR | No se admite actualmente. |
| Compatible con | Microsoft |
Microsoft Purview Insider Risk Management (IRM) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API También está disponible en la solución Microsoft Purview Insider Risk Management |
| Licencia y otros requisitos previos |
|
| Tabla de Log Analytics | SecurityAlert |
| Filtro de consulta de datos | SecurityAlert| where ProductName == "Microsoft Purview Insider Risk Management" |
| Compatible con | Microsoft |
Microsoft Defender for Cloud
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexión de alertas de seguridad de Microsoft Defender for Cloud (artículo conector principal) |
| Tabla de Log Analytics | SecurityAlert |
| Compatible con | Microsoft |
Microsoft Defender for Cloud Apps
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API Para transmitir registros de Cloud Discovery, habilite Microsoft Sentinel como SIEM en Microsoft Defender for Cloud Apps |
| Tabla de Log Analytics | SecurityAlert: para alertas McasShadowItReporting: para registros de Cloud Discovery |
| Compatible con | Microsoft |
Microsoft Defender para punto de conexión
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API |
| Requisitos previos de licencia/ Información de costo |
Licencia válida para Microsoft Defender para punto de conexión |
| Tabla de Log Analytics | SecurityAlert |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Microsoft Defender for Identity
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API |
| Tabla de Log Analytics | SecurityAlert |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Microsoft Defender para IoT
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API |
| Tabla de Log Analytics | SecurityAlert |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Microsoft Defender para Office 365
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API |
| Requisitos previos de licencia/ Información de costo |
Debe tener una licencia válida para Defender para Office 365 Plan 2 |
| Tabla de Log Analytics | SecurityAlert |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Microsoft Office 365
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API |
| Requisitos previos de licencia/ Información de costo |
La implementación de Office 365 debe estar en el mismo inquilino que el área de trabajo de Microsoft Sentinel. Es posible que se apliquen cargos adicionales. |
| Tabla de Log Analytics | OfficeActivity |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Microsoft Power BI (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API |
| Requisitos previos de licencia/ Información de costo |
La implementación de Office 365 debe estar en el mismo inquilino que el área de trabajo de Microsoft Sentinel. Es posible que se apliquen cargos adicionales. |
| Tabla de Log Analytics | PowerBIActivity |
| Compatible con | Microsoft |
Microsoft Project (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en API |
| Requisitos previos de licencia/ Información de costo |
La implementación de Office 365 debe estar en el mismo inquilino que el área de trabajo de Microsoft Sentinel. Es posible que se apliquen cargos adicionales. |
| Tabla de Log Analytics | ProjectActivity |
| Compatible con | Microsoft |
Microsoft Sysmon for Linux (vista preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog, con analizadores de ASIM basados en funciones de Kusto |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Morphisec UTPP (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | Morphisec |
| URL de función de Kusto | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/ |
| Compatible con | Morphisec |
Netskope (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST |
| Tabla de Log Analytics | Netskope_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-netskope-functioncode |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | Netskope |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-netskope-parser |
| Configuración de la aplicación | https://<Tenant Name>.goskope.com) |
| Compatible con | Microsoft |
NGINX HTTP Server (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Agente de Log Analytics: registros personalizados |
| Tabla de Log Analytics | NGINX_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Alias de función de Kusto: | NGINXHTTPServer |
| URL de función de Kusto | https://aka.ms/Sentinel-NGINXHTTP-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Módulo ngx_http_log_module |
| Archivo de ejemplo de registro personalizado: | access.log o error.log |
| Compatible con | Microsoft |
NXLog Basic Security Module (BSM) en macOS (Preview)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | BSMmacOS_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de usuario de NXLog para Microsoft Sentinel |
| Compatible con | NXLog |
Registros DNS de NXLog (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | DNS_Logs_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de usuario de NXLog para Microsoft Sentinel |
| Compatible con | NXLog |
NXLog LinuxAudit (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | LinuxAudit_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de usuario de NXLog para Microsoft Sentinel |
| Compatible con | NXLog |
Inicio de sesión único de Okta (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST |
| Tabla de Log Analytics | Okta_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/sentineloktaazurefunctioncodev2 |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Configuración de la aplicación | https://<OktaDomain>/api/v1/logs?since=. Se identifica el espacio de nombres de dominio). |
| Compatible con | Microsoft |
Onapsis Platform (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog, con una función de enriquecimiento y búsqueda de Kusto Configuración de Onapsis para enviar registros CEF al reenviador de registros |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | incident_lookup |
| URL de función de Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt |
| Compatible con | Onapsis |
Configuración de Onapsis para enviar registros CEF al reenviador de registros
Consulte la ayuda de Onapsis en el producto para configurar el reenvío de registros al agente de Log Analytics.
- Vaya a Setup > Third-party integrations > Defend Alarms (Configuración > Integraciones de terceros > Alarmas de defensa) y siga las instrucciones para Microsoft Sentinel.
- Asegúrese de que la consola de Onapsis puede acceder a la máquina del reenviador de registros donde está instalado el agente. Los registros se deben enviar al puerto 514 mediante TCP.
One Identity Safeguard (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de administración de One Identity Safeguard for Privileged Sessions |
| Compatible con | One Identity |
Oracle WebLogic Server (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Agente de Log Analytics: registros personalizados |
| Tabla de Log Analytics | OracleWebLogicServer_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Alias de función de Kusto: | OracleWebLogicServerEvent |
| URL de función de Kusto: | https://aka.ms/Sentinel-OracleWebLogicServer-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Documentación de Oracle WebLogic Server |
| Archivo de ejemplo de registro personalizado: | server.log |
| Compatible con | Microsoft |
Orca Security (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | OrcaAlerts_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Integración de Microsoft Azure Sentinel |
| Compatible con | Orca Security |
OSSEC (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | OSSECEvent |
| URL de función de Kusto: | https://aka.ms/Sentinel-OSSEC-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Documentación de OSSEC Envío de alertas mediante syslog |
| Compatible con | Microsoft |
Palo Alto Networks
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog También está disponible en las soluciones Palo Alto PAN-OS y Prisma. |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Guías de configuración de formato de evento común (CEF) Configuración de la supervisión de Syslog |
| Compatible con | Palo Alto Networks |
Registros de actividad de Perimeter 81 (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | Perimeter81_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Documentación de Perimeter 81 |
| Compatible con | Perimeter 81 |
Proofpoint On Demand (POD) Email Security (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST También está disponible en la solución Proofpoint POD |
| Tabla de Log Analytics | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-proofpointpod-functionapp |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | ProofpointPOD |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-proofpointpod-parser |
| Configuración de la aplicación | |
| Compatible con | Microsoft |
Proofpoint Targeted Attack Protection (TAP) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST También está disponible en la solución Proofpoint TAP |
| Tabla de Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/sentinelproofpointtapazurefunctioncode |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Configuración de la aplicación | https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300) |
| Compatible con | Microsoft |
Pulse Connect Secure (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | PulseConnectSecure |
| URL de función de Kusto: | https://aka.ms/sentinelgithubparserspulsesecurevpn |
| Documentación del proveedor/ Instrucciones de instalación |
Configuración de Syslog |
| Compatible con | Microsoft |
Qualys VM KnowledgeBase (KB) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST Configuración adicional para la KB de máquina virtual de Qualys También está disponible en la solución Qualys VM |
| Tabla de Log Analytics | QualysKB_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-qualyskb-functioncode |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | QualysKB |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-qualyskb-parser |
| Configuración de la aplicación | https://<API Server>/api/2.0.&. Sin espacios). |
| Compatible con | Microsoft |
Configuración adicional para la KB de máquina virtual de Qualys
- Inicie sesión en la consola de administración de vulnerabilidades de Qualys con una cuenta de administrador, seleccione la pestaña Users (Usuarios) y la subpestaña Users (Usuarios).
- Seleccione el menú desplegable New (Nuevo) y seleccione Users (Usuarios).
- Cree un nombre de usuario y una contraseña para la cuenta de API.
- En la pestaña User Roles (Roles de usuario), asegúrese de que el rol de la cuenta está establecido en Manager (Administrador) y de que se permite el acceso a GUI y API.
- Cierre la sesión de la cuenta de administrador, inicie sesión en la consola con las nuevas credenciales de API para la validación y, después, cierre la sesión de la cuenta de API.
- Vuelva a iniciar sesión en la consola con una cuenta de administrador y modifique las cuentas de API, los roles de usuario y quite el acceso a la GUI.
- Guarde todos los cambios.
Qualys Vulnerability Management (VM) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST Configuración adicional para la máquina virtual de Qualys Implementación manual: después de configurar la aplicación de funciones |
| Tabla de Log Analytics | QualysHostDetection_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/sentinelqualysvmazurefunctioncode |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Configuración de la aplicación | https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=.&. Sin espacios). |
| Compatible con | Microsoft |
Configuración adicional para la máquina virtual de Qualys
- Inicie sesión en la consola de administración de vulnerabilidades de Qualys con una cuenta de administrador, seleccione la pestaña Users (Usuarios) y la subpestaña Users (Usuarios).
- Seleccione el menú desplegable New (Nuevo) y seleccione Users (Usuarios).
- Cree un nombre de usuario y una contraseña para la cuenta de API.
- En la pestaña User Roles (Roles de usuario), asegúrese de que el rol de la cuenta está establecido en Manager (Administrador) y de que se permite el acceso a GUI y API.
- Cierre la sesión de la cuenta de administrador, inicie sesión en la consola con las nuevas credenciales de API para la validación y, después, cierre la sesión de la cuenta de API.
- Vuelva a iniciar sesión en la consola con una cuenta de administrador y modifique las cuentas de API, los roles de usuario y quite el acceso a la GUI.
- Guarde todos los cambios.
Implementación manual: después de configurar la aplicación de funciones
Configuración del archivo host.json
Debido a la cantidad potencialmente grande de datos de detección de host de Qualys que se ingieren, puede hacer que el tiempo de ejecución supere el tiempo de espera predeterminado de la aplicación de funciones de cinco minutos. Aumente la duración del tiempo de espera predeterminado hasta el máximo de diez minutos, en el Plan de consumo, para permitir más tiempo para que se ejecute la aplicación de funciones.
- En la aplicación de funciones, seleccione el nombre de la aplicación y, después, el panel Editor de App Service.
- Seleccione Ir para abrir el editor y después el archivo host.json en el directorio wwwroot.
- Agregue la línea
"functionTimeout": "00:10:00",por encima de la líneamanagedDependancy. - Compruebe que aparezca GUARDADO en la esquina superior derecha del editor y, después, salga del editor.
Si se necesita una tiempo de espera más largo, considere la posibilidad de actualizar a un plan de App Service.
Salesforce Service Cloud (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST |
| Tabla de Log Analytics | SalesforceServiceCloud_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
Guía para desarrolladores de API REST de Salesforce En Configurar autorización, use el método Id. de sesión en lugar de OAuth. |
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | SalesforceServiceCloud |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-SalesforceServiceCloud-parser |
| Configuración de la aplicación | |
| Compatible con | Microsoft |
Eventos de seguridad mediante el agente antiguo (Windows)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en el agente de Log Analytics (heredado) |
| Tabla de Log Analytics | SecurityEvents |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Para más información, consulte:
- Conjuntos de eventos de seguridad de Windows que pueden enviarse a Microsoft Sentinel
- Configuración del libro de protocolos no seguros
- Conector de eventos de seguridad de Windows a través de AMA basado en Agente de Azure Monitor (AMA)
- Configuración del conector de eventos de seguridad o de eventos de seguridad de Windows para la detección de inicios de sesión de RDP anómalos.
SentinelOne (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST Configuración adicional para SentinelOne |
| Tabla de Log Analytics | SentinelOne_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-SentinelOneAPI-functionapp |
| Credenciales de API | https://<SOneInstanceDomain>.sentinelone.net) |
| Documentación del proveedor/ Instrucciones de instalación |
<SOneInstanceDomain>.sentinelone.net/api-doc/overview |
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | SentinelOne |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-SentinelOneAPI-parser |
| Configuración de la aplicación | |
| Compatible con | Microsoft |
Configuración adicional para SentinelOne
Siga las instrucciones para obtener las credenciales.
- Inicie sesión en la consola de administración de SentinelOne con credenciales de usuario administrador.
- En la consola de administración, seleccione Settings (Configuración).
- En la vista SETTINGS (CONFIGURACIÓN), seleccione Users (USUARIOS).
- Seleccione New User (Nuevo usuario).
- Escriba la información del nuevo usuario de la consola.
- En Role (Rol), seleccione Admin (Administrador).
- Seleccione SAVE (Guardar).
- Guarde las credenciales del nuevo usuario para utilizarlo en el conector de datos.
SonicWall Firewall (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Log > Syslog Seleccione la instalación local4 y ArcSight como formato de Syslog. |
| Compatible con | SonicWall |
Sophos Cloud Optix (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | SophosCloudOptix_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Integración con Microsoft Sentinel; omita el primer paso. Ejemplos de consultas de Sophos |
| Compatible con | Sophos |
Sophos XG Firewall (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | SophosXGFirewall |
| URL de función de Kusto: | https://aka.ms/sentinelgithubparserssophosfirewallxg |
| Documentación del proveedor/ Instrucciones de instalación |
Adición de un servidor de Syslog |
| Compatible con | Microsoft |
Squadra Technologies secRMM
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | secRMM_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Guía del administrador de secRMM para Microsoft Sentinel |
| Compatible con | Squadra Technologies |
Squid Proxy (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Agente de Log Analytics: registros personalizados |
| Tabla de Log Analytics | SquidProxy_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Alias de función de Kusto: | SquidProxy |
| URL de función de Kusto | https://aka.ms/Sentinel-squidproxy-parser |
| Archivo de ejemplo de registro personalizado: | access.log o cache.log |
| Compatible con | Microsoft |
Symantec Integrated Cyber Defense Exchange (ICDx)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel |
| Tabla de Log Analytics | SymantecICDx_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Configuración de reenviadores de Microsoft Sentinel (Log Analytics) |
| Compatible con | Broadcom Symantec |
Symantec ProxySG (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | SymantecProxySG |
| URL de función de Kusto: | https://aka.ms/sentinelgithubparserssymantecproxysg |
| Documentación del proveedor/ Instrucciones de instalación |
Envío de registros de acceso a un servidor de Syslog |
| Compatible con | Microsoft |
Symantec VIP (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | SymantecVIP |
| URL de función de Kusto: | https://aka.ms/sentinelgithubparserssymantecvip |
| Documentación del proveedor/ Instrucciones de instalación |
Configuración de Syslog |
| Compatible con | Microsoft |
Thycotic Secret Server (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Registro seguro de Syslog/CEF |
| Compatible con | Thycotic |
Trend Micro Deep Security
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | TrendMicroDeepSecurity |
| URL de función de Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
| Documentación del proveedor/ Instrucciones de instalación |
Reenvío de eventos de seguridad profunda a un servidor de Syslog o SIEM |
| Compatible con | Trend Micro |
Trend Micro TippingPoint (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | TrendMicroTippingPoint |
| URL de función de Kusto | https://aka.ms/Sentinel-trendmicrotippingpoint-function |
| Documentación del proveedor/ Instrucciones de instalación |
Envíe mensajes de Syslog en formato ArcSight CEF v4.2. |
| Compatible con | Trend Micro |
Trend Micro Vision One (XDR) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST |
| Tabla de Log Analytics | TrendMicro_XDR_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM) |
| Compatible con | Trend Micro |
VMware Carbon Black Endpoint Standard (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST |
| Tabla de Log Analytics | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/sentinelcarbonblackazurefunctioncode |
| Credenciales de API | Nivel de acceso de API (para registros de auditoría y eventos): Nivel de acceso SIEM (para eventos de notificación): |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Configuración de la aplicación | https://<API URL>.conferdeploy.net). |
| Compatible con | Microsoft |
VMware ESXi (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | VMwareESXi |
| URL de función de Kusto: | https://aka.ms/Sentinel-vmwareesxi-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Habilitación de syslog en ESXi 3.5 y 4.x Configuración de Syslog en hosts de ESXi |
| Compatible con | Microsoft |
WatchGuard Firebox (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Syslog |
| Tabla de Log Analytics | Syslog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Alias de función de Kusto: | WatchGuardFirebox |
| URL de función de Kusto: | https://aka.ms/Sentinel-watchguardfirebox-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de integración de Microsoft Sentinel |
| Compatible con | WatchGuard Technologies |
WireX Network Forensics Platform (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Póngase en contacto con el soporte técnico de WireX a fin de configurar la solución NFP para enviar mensajes de Syslog en formato CEF. |
| Compatible con | WireX Systems |
Servidor DNS de Windows (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en el agente de Log Analytics (heredado) |
| Tabla de Log Analytics | DnsEvents DnsInventory |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Compatible con | Microsoft |
Solución de problemas del conector de datos del servidor de DNS de Windows
Si los eventos de DNS no se muestran en Microsoft Sentinel:
- Asegúrese de que los registros de análisis de DNS en los servidores están habilitados.
- Vaya Azure DNS Analytics.
- En el área Configuración, cambie cualquiera de las opciones y guarde los cambios. Vuelva a cambiar la configuración si es necesario y, a continuación, guarde los cambios de nuevo.
- Compruebe el Azure DNS Analytics para asegurarse de que los eventos y las consultas se muestran correctamente.
Para más información, consulte Recopilación de información sobre la infraestructura de DNS con la solución DNS Analytics en versión preliminar.
Eventos reenviados de Windows (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en agente de Azure Monitor Instrucciones adicionales para implementar el conector de eventos reenviados de Windows |
| Requisitos previos | Debe tener habilitada y en ejecución la recopilación de eventos de Windows. Instale el agente de Azure Monitor en la máquina WEC. |
| Prefijo de consultas xPath | "ForwardedEvents!*" |
| Tabla de Log Analytics | WindowsEvents |
| Compatibilidad con DCR | DCR estándar |
| Compatible con | Microsoft |
Instrucciones adicionales para implementar el conector de eventos reenviados de Windows
Se recomienda instalar los analizadores del Modelo avanzado de información de seguridad (ASIM) para garantizar la compatibilidad total con la normalización de datos. Puede implementar estos analizadores desde el repositorio de GitHub de Azure-Sentinel mediante el botón Implementar en Azure que aparece allí.
Firewall de Windows
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en el agente de Log Analytics (heredado) |
| Tabla de Log Analytics | WindowsFirewall |
| Compatible con | Microsoft |
Eventos de seguridad de Windows a través de AMA
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Integración entre servidores de Azure: Conexiones basadas en agente de Azure Monitor |
| Prefijo de consultas xPath | "Security!*" |
| Tabla de Log Analytics | SecurityEvents |
| Compatibilidad con DCR | DCR estándar |
| Compatible con | Microsoft |
Consulte también: conector Eventos de seguridad mediante el agente antiguo.
Configuración del conector de eventos de seguridad o de eventos de seguridad de Windows para la detección de inicios de sesión de RDP anómalos
Importante
La detección de inicios de sesión de RDP anómalos se encuentra actualmente en versión preliminar pública. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.
Microsoft Sentinel puede aplicar aprendizaje automático (ML) a los datos de eventos de seguridad para identificar actividad de inicio de sesión de Protocolo de Escritorio remoto (RDP) anómala. Los escenarios incluyen:
IP inusual: la dirección IP no se ha observado nunca o casi nunca en los últimos 30 días
Ubicación geográfica inusual: la dirección IP, la ciudad, el país y el ASN no se han observado nunca o casi nunca en los últimos 30 días
Nuevo usuario: un nuevo usuario inicia sesión desde una dirección IP o una ubicación geográfica que no se esperaba ver de acuerdo con los datos de los 30 días anteriores.
Instrucciones de configuración
Debe recopilar los datos de inicio de sesión de RDP (identificador de evento 4624) mediante los conector de datos de eventos de seguridad o de eventos de seguridad de Windows. Asegúrese de que ha seleccionado un conjunto de eventos que no sea "Ninguno", o que ha creado una regla de recopilación de datos que incluye este identificador de evento, para la transmisión a Microsoft Sentinel.
En el portal de Microsoft Sentinel, seleccione Análisis y luego la pestaña Plantillas de reglas. Seleccione la regla (Versión preliminar) Detección de inicios de sesión anómalos mediante RDP y mueva el control deslizanteEstado a Habilitado.
Nota
Dado que el algoritmo de aprendizaje automático requiere datos de 30 días para crear un perfil de base de referencia del comportamiento de los usuarios, debe permitir que se recopilen los datos de eventos de seguridad de Windows de 30 días antes de que se puedan detectar incidentes.
Workplace from Facebook (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST Configuración de webhooks Adición de la dirección URL de devolución de llamada a la configuración de webhook |
| Tabla de Log Analytics | Workplace_Facebook_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | Workplace_Facebook |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt |
| Configuración de la aplicación | |
| Compatible con | Microsoft |
Configuración de webhooks
- Inicie sesión en Workplace con credenciales de usuario administrador.
- En el panel Administración, seleccione Integraciones.
- En la vista All integrations (Todas las integraciones), seleccione Create custom integration (Crear integración personalizada).
- Escriba el nombre y la descripción, y seleccione Create (Crear).
- En el panel Integration details (Detalles de integración), muestre el App secret (Secreto de la aplicación) y cópielo.
- En el panel Integration permissions (Permisos de integración), establezca todos los permisos de lectura. Consulte la página de permisos para obtener más información.
Adición de la dirección URL de devolución de llamada a la configuración de webhook
- Abra la página de la aplicación de funciones, vaya a la lista Funciones, seleccione Obtener la dirección URL de la función y cópiela.
- Vuelva a Workplace from Facebook. En el panel Configure webhooks (Configurar webhooks), en cada pestaña, establezca Callback URL (Dirección URL de devolución de llamada) en la dirección URL de la función que ha copiado en el último paso y Verify token (Comprobar token) en el mismo valor que ha recibido durante la implementación automática o que ha escrito durante la implementación manual.
- Seleccione Guardar.
Zimperium Mobile Thread Defense (versión preliminar)
El conector de datos Zimperium Mobile Threat Defense conecta el registro de amenazas de Zimperium a Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Este conector le ofrece más conclusiones sobre el panorama de amenazas móviles de la organización y mejora las capacidades de las operaciones de seguridad.
Para obtener más información, vea Conexión de Zimperium a Microsoft Sentinel.
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Data Collector API de Microsoft Azure Sentinel Configuración y conexión de Zimperium MTD |
| Tabla de Log Analytics | ZimperiumThreatLog_CL ZimperiumMitigationLog_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Documentación del proveedor/ Instrucciones de instalación |
Portal del servicio de atención al cliente de Zimperium (inicio de sesión necesario) |
| Compatible con | Zimperium |
Configuración y conexión de Zimperium MTD
- En zConsole, seleccione Manage (Administrar) en la barra de navegación.
- Seleccione la pestaña Integrations (Integraciones).
- Seleccione el botón Threat Reporting (Informes de amenazas) y después el botón Add Integrations (Agregar integraciones).
- Cree la integración:
- En las integraciones disponibles, seleccione Microsoft Sentinel.
- Escriba el identificador de área de trabajo y la clave principal, y seleccione Next (Siguiente).
- Rellene un nombre para la integración de Microsoft Sentinel.
- Seleccione un Nivel de filtro para los datos de amenaza que quiera enviar a Microsoft Sentinel.
- Seleccione Finalizar.
Zoom Reports (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Azure Functions y la API REST |
| Tabla de Log Analytics | Zoom_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Código de la aplicación de funciones de Azure | https://aka.ms/Sentinel-ZoomAPI-functionapp |
| Credenciales de API | |
| Documentación del proveedor/ Instrucciones de instalación |
|
| Instrucciones de implementación del conector | |
| Alias de función de Kusto | Zoom |
| URL de función de Kusto/ Instrucciones de configuración del analizador |
https://aka.ms/Sentinel-ZoomAPI-parser |
| Configuración de la aplicación | |
| Compatible con | Microsoft |
Zscaler
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Formato de evento común (CEF) sobre Syslog |
| Tabla de Log Analytics | CommonSecurityLog |
| Compatibilidad con DCR | DCR de transformación del área de trabajo |
| Documentación del proveedor/ Instrucciones de instalación |
Guía de implementación de Zscaler y Microsoft Sentinel |
| Compatible con | Zscaler |
Zscaler Private Access (ZPA) (versión preliminar)
| Atributo del conector | Descripción |
|---|---|
| Método de ingesta de datos | Agente de Log Analytics: registros personalizados Configuración adicional para Zscaler Private Access |
| Tabla de Log Analytics | ZPA_CL |
| Compatibilidad con DCR | No se admite actualmente. |
| Alias de función de Kusto: | ZPAEvent |
| URL de función de Kusto | https://aka.ms/Sentinel-zscalerprivateaccess-parser |
| Documentación del proveedor/ Instrucciones de instalación |
Documentación de Zscaler Private Access Además, vea lo siguiente |
| Compatible con | Microsoft |
Configuración adicional para Zscaler Private Access
Use los pasos de configuración siguientes para obtener los registros de Zscaler Private Access en Microsoft Sentinel. Para obtener más información, consulte la documentación de Azure Monitor. Los registros de Zscaler Private Access se entregan por medio de Log Streaming Service (LSS). Para obtener más información, consulte la documentación de LSS.
Configure receptores de registro. Al configurar un receptor de registro, elija JSON como Log Template (Plantilla de registro).
Descargue el archivo de configuración zpa.conf.
wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.confInicie sesión en el servidor donde ha instalado el agente de Azure Log Analytics.
Copie zpa.conf en la carpeta /etc/opt/microsoft/omsagent/
workspace_id/conf/omsagent.d/.Edite zpa.conf como se muestra a continuación:
- Especifique el puerto que ha establecido para que los receptores de registro de Zscaler reenvíen los registros (línea 4).
- Reemplace
workspace_idpor el valor real del identificador del área de trabajo (líneas 14, 15, 16 y 19)
Guarde los cambios y reinicie el servicio del agente de Log Analytics para Linux con el siguiente comando:
sudo /opt/microsoft/omsagent/bin/service_control restart
Puede encontrar el valor del identificador del área de trabajo en la página del conector ZScaler Private Access o en la página de administración de agentes del área de trabajo de Log Analytics.
Pasos siguientes
Para más información, consulte: