Conexión con orígenes de datosConnect data sources

Para incorporar Azure Sentinel, primero debe conectarse a sus orígenes de datos.To on-board Azure Sentinel, you first need to connect to your data sources. Azure Sentinel llega con varios conectores para soluciones de Microsoft que están disponibles inmediatamente y proporcionan integración en tiempo real; por ejemplo, para soluciones de Microsoft Threat Protection y orígenes de Microsoft 365, como Office 365, Azure AD, Azure ATP y Microsoft Cloud App Security, entre muchos otros.Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft Threat Protection solutions, and Microsoft 365 sources, including Office 365, Azure AD, Azure ATP, and Microsoft Cloud App Security, and more. Además, hay conectores integrados al amplio ecosistema de seguridad para soluciones que no son de Microsoft.In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. También puede usar el formato de evento común, Syslog o las API de REST para conectar los orígenes de datos con Azure Sentinel.You can also use common event format, Syslog or REST-API to connect your data sources with Azure Sentinel as well.

  1. En el menú, seleccione Data connectors (Conectores de datos).On the menu, select Data connectors. Esta página permite ver la lista completa de los conectores que Azure Sentinel proporciona, y su estado.This page lets you see the full list of connectors that Azure Sentinel provides and their status. Seleccione el conector al que desea conectarse y seleccione Open connector page (Abrir la página del conector).Select the connector you want to connect and select Open connector page.

    Recopiladores de datos

  2. En la página específica del conector, asegúrese de que cumple todos los requisitos previos y siga las instrucciones para conectar los datos a Azure Sentinel.On the specific connector page, make sure you have fulfilled all the prerequisites and follow the instructions to connect the data to Azure Sentinel. Los registros pueden tardar algún tiempo en iniciar la sincronización con Azure Sentinel.It may take some time for the logs to start syncing with Azure Sentinel. Después de conectarse, verá un resumen de los datos en el gráfico Datos recibidos, y el estado de conectividad de los tipos de datos.After you connect, you see a summary of the data in the Data received graph, and connectivity status of the data types.

    Recopiladores de conexión

  3. Haga clic en la pestaña Siguientes pasos para obtener una lista del contenido que Azure Sentinel proporciona para el tipo de datos específico.Click the Next steps tab to get a list of out-of-the-box content Azure Sentinel provides for the specific data type.

    Recopiladores de datos

Métodos de conexión de datosData connection methods

Los siguientes métodos de conexión de datos son compatibles con Azure Sentinel:The following data connection methods are supported by Azure Sentinel:

  • Servicios Microsoft:Microsoft services:
    Los servicios Microsoft se conectan de forma nativa, aprovechando la base de Azure de la integración lista para usar. Con solo unos clics, se pueden conectar las soluciones siguientes:Microsoft services are connected natively, leveraging the Azure foundation for out-of-the box integration, the following solutions can be connected in a few clicks:

  • Soluciones externas mediante API: algunos orígenes de datos se conectan mediante las API proporcionadas por el origen de datos conectado.External solutions via API: Some data sources are connected using APIs that are provided by the connected data source. Normalmente, la mayoría de las tecnologías de seguridad proporcionan un conjunto de API a través del cual se pueden recuperar registros de eventos. Las API se conectan a Azure Sentinel y recopilan y envían tipos de datos específicos a Azure Log Analytics.Typically, most security technologies provide a set of APIs through which event logs can be retrieved.The APIs connect to Azure Sentinel and gather specific data types and send them to Azure Log Analytics. Entre los dispositivos conectados mediante API se incluyen:Appliances connected via API include:

  • Soluciones externas mediante agente: Azure Sentinel se puede conectar a todos los demás orígenes de datos que pueden realizar secuencias de registro en tiempo real mediante el protocolo de Syslog, a través de un agente.External solutions via agent: Azure Sentinel can be connected to all other data sources that can perform real-time log streaming using the Syslog protocol, via an agent.
    La mayoría de las aplicaciones usan el protocolo de Syslog para enviar mensajes de eventos que incluyen el propio registro y datos sobre este.Most appliances use the Syslog protocol to send event messages that include the log itself and data about the log. El formato de los registros varía, pero la mayoría de los dispositivos admiten el estándar de Common Event Format (CEF).The format of the logs varies, but most appliances support the Common Event Format (CEF) standard.
    El agente de Azure Sentinel, que se basa en el agente de Log Analytics, convierte los registros con formato CEF a un formato que Log Analytics puede ingerir.The Azure Sentinel agent, which is based on the Log Analytics agent, converts CEF formatted logs into a format that can be ingested by Log Analytics. Dependiendo del tipo de dispositivo, el agente se instala directamente en el dispositivo o en un servidor Linux dedicado.Depending on the appliance type, the agent is installed either directly on the appliance, or on a dedicated Linux server. El agente para Linux recibe eventos del demonio de Syslog a través de UDP; sin embargo,si se espera que una máquina Linux recopile un gran volumen de eventos Syslog, se envían a través de TCP desde el demonio de Syslog al agente y desde allí a Log Analytics.The agent for Linux receives events from the Syslog daemon over UDP, but if a Linux machine is expected to collect a high volume of Syslog events, they are sent over TCP from the Syslog daemon to the agent and from there to Log Analytics.

Opciones de conexión del agenteAgent connection options

Para conectar su dispositivo externo a Azure Sentinel, el agente debe implementarse en una máquina dedicada (máquina virtual o local) para admitir la comunicación entre el dispositivo y Azure Sentinel.To connect your external appliance to Azure Sentinel, the agent must be deployed on a dedicated machine (VM or on premises) to support the communication between the appliance and Azure Sentinel. Puede implementar el agente automáticamente o de forma manual.You can deploy the agent automatically or manually. La implementación automática solo está disponible si su máquina dedicada es una nueva máquina virtual que crea en Azure.Automatic deployment is only available if your dedicated machine is a new VM you are creating in Azure.

CEF en Azure

También puede implementar el agente manualmente en una máquina virtual existente, en una máquina virtual en otra nube o en una máquina local.Alternatively, you can deploy the agent manually on an existing Azure VM, on a VM in another cloud, or on an on-premises machine.

CEF local

Asignación de tipos de datos con opciones de conexión de Azure SentinelMap data types with Azure Sentinel connection options

Tipo de datosData type ConexiónHow to connect ¿Conector de datos?Data connector? ComentariosComments
AWSCloudTrailAWSCloudTrail Conexión de AWSConnect AWS VV
AzureActivityAzureActivity Conexión del registro de actividad de Azure e Introducción a los registros de actividadConnect Azure Activity and Activity logs overview VV
AuditLogsAuditLogs Conexión de Azure ADConnect Azure AD VV
SigninLogsSigninLogs Conexión de Azure ADConnect Azure AD VV
AzureFirewallAzureFirewall Diagnóstico de AzureAzure Diagnostics VV
InformationProtectionLogs_CLInformationProtectionLogs_CL Informes de Azure Information ProtectionAzure Information Protection reports
Conexión de Azure Information ProtectionConnect Azure Information Protection
VV Normalmente usa la función InformationProtectionEvents además del tipo de datos.This usually uses the InformationProtectionEvents function in addition to the data type. Para más información, consulte Modificación de informes y creación de consultas personalizadasFor more information, see How to modify the reports and create custom queries
AzureNetworkAnalytics_CLAzureNetworkAnalytics_CL Esquema de análisis de tráfico Análisis de tráficoTraffic analytic schema Traffic analytics
CommonSecurityLogCommonSecurityLog Conexión de CEFConnect CEF VV
OfficeActivityOfficeActivity Conexión de Office 365Connect Office 365 VV
SecurityEventsSecurityEvents Conexión de eventos de seguridad de WindowsConnect Windows security events VV Para los libros de protocolos poco seguros, vea Configuración de libros de protocolos poco segurosFor the Insecure Protocols workbooks, see Insecure protocols workbook setup
syslogSyslog Conexión de SyslogConnect Syslog VV
Firewall de aplicaciones web (WAF) de Microsoft: (AzureDiagnostics)Microsoft Web Application Firewall (WAF) - (AzureDiagnostics) Conexión del firewall de aplicaciones web de MicrosoftConnect Microsoft Web Application Firewall VV
SymantecICDx_CLSymantecICDx_CL Conexión de SymantecConnect Symantec VV
ThreatIntelligenceIndicatorThreatIntelligenceIndicator Conexión de Inteligencia sobre amenazasConnect threat intelligence VV
VMConnectionVMConnection
ServiceMapComputer_CLServiceMapComputer_CL
ServiceMapProcess_CLServiceMapProcess_CL
Mapa de servicio de Azure MonitorAzure Monitor service map
Incorporación de VM Insights de Azure MonitorAzure Monitor VM insights onboarding
Habilitación de VM Insights de Azure MonitorEnable Azure Monitor VM insights
Uso de la incorporación de una máquina virtual individualUsing Single VM On-boarding
Uso de la incorporación mediante PolicyUsing On-boarding Via Policy
XX Libro de VM InsightsVM insights workbook
DnsEventsDnsEvents Conexión de DNSConnect DNS VV
W3CIISLogW3CIISLog Conexión de registros de IISConnect IIS logs XX
WireDataWireData Conexión de Wire DataConnect Wire Data XX
WindowsFirewallWindowsFirewall Conexión de Firewall de WindowsConnect Windows Firewall VV
AADIP SecurityAlertAADIP SecurityAlert Conexión de Azure AD Identity ProtectionConnect Azure AD Identity Protection VV
AATP SecurityAlertAATP SecurityAlert Conexión de Azure Advanced Threat ProtectionConnect Azure ATP VV
ASC SecurityAlertASC SecurityAlert Conexión de Azure Security CenterConnect Azure Security Center VV
MCAS SecurityAlertMCAS SecurityAlert Conexión de Microsoft Cloud App SecurityConnect Microsoft Cloud App Security VV
SecurityAlertSecurityAlert
Sysmon (evento)Sysmon (Event) Conexión de SysmonConnect Sysmon
Conexión de eventos de WindowsConnect Windows Events
Obtención del analizador de SysmonGet the Sysmon Parser
XX La colección de Sysmon no se instala de forma predeterminada en máquinas virtuales.Sysmon collection is not installed by default on virtual machines. Para más información sobre cómo instalar el agente Sysmon, consulte Sysmon.For more information on how to install the Sysmon Agent, see Sysmon.
ConfigurationDataConfigurationData Automatización del inventario de máquinas virtualesAutomate VM inventory XX
ConfigurationChangeConfigurationChange Automatización del seguimiento de VMAutomate VM tracking XX
F5 BIG-IPF5 BIG-IP Conexión de F5 BIG-IPConnect F5 BIG-IP XX
McasShadowItReportingMcasShadowItReporting XX
Barracuda_CLBarracuda_CL Conexión de BarracudaConnect Barracuda VV

Pasos siguientesNext steps