Conectores de datos de Microsoft Sentinel

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Después de incorporar Microsoft Sentinel al área de trabajo, conecte los orígenes de datos para empezar a ingerir los datos en Microsoft Sentinel. Microsoft Sentinel incluye varios conectores para productos de Microsoft, que están disponibles inmediatamente y proporcionan integración en tiempo real. Por ejemplo, los conectores de servicio a servicio incluyen conectores de Microsoft 365 Defender y orígenes de Microsoft 365, como Office 365, Azure Active Directory (Azure AD), Microsoft Defender for Identity y Microsoft Defender for Cloud Apps.

También puede habilitar conectores de serie en el amplio ecosistema de seguridad para productos que no son de Microsoft. Por ejemplo, puede usar Syslog, el formato de evento común (CEF) o las API REST para conectar los orígenes de datos a Microsoft Sentinel.

La página Conectores de datos, accesible desde el menú de navegación de Microsoft Sentinel, muestra la lista completa de conectores que proporciona Microsoft Sentinel y su estado en el área de trabajo. Seleccione el conector al que desea conectarse y, después, seleccione Abrir la página del conector.

Galería de conectores de datos

En este artículo, se describen los métodos de conexión de datos admitidos. Para más información, consulte los artículos sobre la referencia de conectores de datos de Microsoft Sentinel y el catálogo de soluciones de Microsoft Sentinel.

Habilitación de un conector de datos

La página Conectores de datos, accesible desde el menú de navegación de Microsoft Sentinel, muestra la lista completa de conectores que proporciona Microsoft Sentinel y su estado. Seleccione el conector al que desea conectarse y, después, seleccione Abrir la página del conector.

Galería de conectores de datos

Tendrá que cumplir todos los requisitos previos y verá instrucciones completas en la página del conector para ingerir los datos en Microsoft Sentinel. Los datos pueden tardar algún tiempo en empezar a llegar. Después de conectarse, verá un resumen de los datos en el gráfico Datos recibidos, y el estado de conectividad de los tipos de datos.

Configuración de conectores de datos

En la pestaña Pasos siguientes, verá el contenido adicional que proporciona Microsoft Sentinel para el tipo de datos específico: consultas de ejemplo, libros de visualización y plantillas de reglas de análisis para ayudarle a detectar e investigar amenazas.

Pasos siguientes para los conectores

Para más información, consulte la sección pertinente para el conector de datos en Búsqueda del conector de datos de Azure Sentinel.

Integración de API REST

Muchas tecnologías de seguridad proporcionan un conjunto de API para recuperar archivos de registro, y algunos orígenes de datos pueden usar esas API para conectarse a Microsoft Sentinel.

Los conectores de datos que usan API se integran desde el lado del proveedor o se integran mediante Azure Functions, como se describe en las secciones siguientes.

Para obtener una lista completa e información sobre estos conectores, consulte Búsqueda del conector de datos de Azure Sentinel.

Integración de la API de REST en el lado del proveedor

Una integración de la API creada por el proveedor se conecta con los orígenes de datos del proveedor e inserta los datos en las tablas de registro personalizadas de Microsoft Sentinel mediante la API de recopilador de datos de Azure Monitor.

Para más información, consulte la documentación del proveedor y Conexión del origen de datos a Data Collector API REST de Microsoft Sentinel para ingerir datos.

Integración de la API de REST mediante Azure Functions

Las integraciones que usan Azure Functions para conectarse con una API de proveedor dan formato primero a los datos y, a continuación, los envían a las tablas de registro personalizadas de Microsoft Sentinel mediante la API de recopilador de datos de Azure Monitor.

Para configurar estos conectores de datos para conectarse con la API del proveedor y recopilar registros en Microsoft Sentinel, siga los pasos que se muestran para cada conector de datos en Microsoft Sentinel.

Para más información, consulte Uso de Azure Functions para conectar Microsoft Sentinel a un origen de datos.

Importante

Las integraciones que usan Azure Functions pueden incurrir en costos de ingesta de datos adicionales, ya que hospeda Azure Functions en el inquilino de Azure. Para más información, consulte la página de precios de Azure Functions.

Integración basada en agente

Microsoft Sentinel puede usar el protocolo Syslog para conectarse a través de un agente a cualquier origen de datos que pueda realizar el streaming de registros en tiempo real. Por ejemplo, la mayoría de los orígenes de datos locales se conectan a través de la integración basada en agente.

En las secciones siguientes se describen los distintos tipos de conectores de datos basados en agente de Microsoft Sentinel. Siga los pasos descritos en cada página del conector de datos de Microsoft Sentinel para configurar las conexiones mediante mecanismos basados en agente.

Para obtener una lista completa de firewalls, servidores proxy y puntos de conexión que se conecten a Microsoft Sentinel mediante CEF o Syslog, consulte el artículo sobre la referencia de conectores de datos.

syslog

Puede transmitir eventos de dispositivos compatibles con Syslog basados en Linux a Microsoft Sentinel mediante el agente de Log Analytics para Linux, anteriormente conocido como agente de OMS. El agente de Log Analytics es compatible con cualquier dispositivo que le permita instalar el agente de Log Analytics directamente en el dispositivo.

El demonio de Syslog integrado del dispositivo recopila los eventos locales de los tipos especificados y los reenvía localmente al agente, que los transmite al área de trabajo de Log Analytics. Después de una configuración correcta, los datos aparecen en la tabla Syslog de Log Analytics.

Dependiendo del tipo de dispositivo, el agente se instala directamente en el dispositivo o en un reenviador de registros basado en Linux. El agente de Log Analytics recibe eventos del demonio de Syslog a través de UDP. Si se espera que una máquina Linux recopile un gran volumen de eventos Syslog, enviará los eventos a través de TCP desde el demonio de Syslog al agente y desde allí a Log Analytics.

Para más información, consulte el artículo sobre la conexión de los dispositivos basados en Syslog a Microsoft Sentinel.

Formato de evento común (CEF)

Los formatos de registro varían, pero muchos orígenes admiten el formato basado en CEF. El agente de Microsoft Sentinel, que es realmente el agente de Log Analytics, convierte los registros con formato CEF en un formato que Log Analytics puede ingerir.

En el caso de los orígenes de datos que emiten datos en CEF, configure el agente de Syslog y, a continuación, configure el flujo de datos CEF. Después de una configuración correcta, los datos aparecen en la tabla CommonSecurityLog.

Para más información, consulte el artículo sobre la conexión de los dispositivos basados en CEF a Microsoft Sentinel.

Registros personalizados

Algunos orígenes de datos tienen registros disponibles para su recopilación como archivos en Windows o Linux. Puede recopilar estos registros mediante el agente de recopilación de registros personalizados de Log Analytics.

Siga los pasos descritos en cada página del conector de datos de Microsoft Sentinel para conectarse mediante el agente de recopilación de registros personalizados de Log Analytics. Después de una configuración correcta, los datos aparecen en tablas personalizadas.

Para más información, consulte Recopilación de datos en formatos de registro personalizados para Microsoft Sentinel con el agente de Log Analytics.

Integración de servicio a servicio

Microsoft Sentinel usa la base de Azure para proporcionar compatibilidad integrada de servicio a servicio de serie con los servicios de Microsoft y Amazon Web Services.

Para más información, consulte Conexión de Azure Sentinel a servicios de Azure, Windows, Microsoft y Amazon y Búsqueda del conector de datos de Azure Sentinel.

Implementación como parte de una solución

Las soluciones de Microsoft Sentinel proporcionan paquetes de contenido de seguridad, incluidos conectores de datos, libros, reglas de análisis, cuadernos de estrategias, etc. Al implementar una solución con un conector de datos, se obtiene el conector de datos junto con el contenido relacionado en la misma implementación.

Para más información, consulte Detección central e implementación de las soluciones y el contenido integrado de Microsoft Sentinel y el catálogo de soluciones de Microsoft Sentinel.

Soporte técnico de los conectores de datos

Tanto Microsoft como otras organizaciones crean conectores de datos de Microsoft Sentinel. Cada conector de datos tiene uno de los siguientes tipos de soporte técnico:

Tipo de soporte técnico Descripción
Soporte técnico de Microsoft Se aplica a:
  • Conectores de datos para orígenes de datos donde Microsoft es el proveedor y creador de datos.
  • Algunos conectores de datos creados por Microsoft para orígenes de datos que no son de Microsoft.
Microsoft admite y mantiene los conectores de datos en esta categoría de acuerdo con Planes de soporte técnico de Microsoft Azure.

Los asociados o los conectores de datos de soporte técnico de la comunidad creados por cualquier entidad distinta de Microsoft.
Soporte técnico de asociados Se aplica a los conectores de datos creados por entidades distintas de Microsoft.

La empresa asociada proporciona soporte técnico o mantenimiento para estos conectores de datos. La empresa asociada puede ser un fabricante de software independiente, un proveedor de servicios administrados (MSP/MSSP), un integrador de sistemas (SI) o cualquier organización cuya información de contacto se proporcione en la página de Microsoft Sentinel para ese conector de datos.

Para cualquier problema con el conector de datos compatible con asociados, póngase en contacto con el contacto de soporte técnico de los conectores de datos especificado.
Soporte técnico de la comunidad Se aplica a los conectores de datos creados por Microsoft o desarrolladores asociados que no incluyen contactos para el soporte técnico y el mantenimiento de los conectores de datos en la página del conector de datos especificada de Microsoft Sentinel.

Si tiene preguntas o problemas relacionados con estos conectores de datos, puede registrar un problema en la comunidad GitHub de Microsoft Sentinel.

Búsqueda del contacto de soporte técnico para una conector de datos

Para encontrar la información de contacto del soporte técnico para un conector de datos:

  1. En el menú izquierdo de Microsoft Sentinel, seleccione Conectores de datos.

  2. Seleccione el conector para el que desea encontrar información de soporte técnico.

  3. Consulte el campo Compatible con en el panel lateral del conector de datos.

    Captura de pantalla que muestra el campo Compatible con de un conector de datos en Microsoft Sentinel.

    El campo Compatible con tiene un vínculo de contacto de soporte técnico que puede usar para acceder al soporte técnico y mantenimiento para el conector de datos seleccionado.

Pasos siguientes