Búsqueda del conector de datos de Microsoft Sentinel

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

En este artículo se explica cómo implementar conectores de datos en Microsoft Sentinel, se enumeran todos los conectores de datos de serie compatibles, junto con vínculos a procedimientos de implementación genéricos, y se proporcionan pasos adicionales necesarios para conectores específicos.

Sugerencia

Algunos conectores de datos solo se implementan a través de soluciones. Para obtener más información, vea el catálogo de soluciones de Microsoft Sentinel. También puede encontrar otros conectores de datos compilados por la comunidad en el repositorio de GitHub de Microsoft Sentinel.

Cómo utilizar esta guía

  1. En primer lugar, busque y seleccione el conector del producto, servicio o dispositivo en el menú de títulos de la derecha.

    El primer fragmento de información que verá para cada conector es su método de ingesta de datos. El método que aparece tiene un vínculo a uno de los siguientes procedimientos de implementación genéricos, que contienen la mayor parte de la información necesaria para conectar los orígenes de datos a Microsoft Sentinel:

    Método de ingesta de datos Artículo vinculado con instrucciones
    Integración entre servicios de Azure Conexión a servicios de Azure, Windows, Microsoft y Amazon
    Formato de evento común (CEF) sobre Syslog Obtención de registros con formato CEF del dispositivo en Microsoft Sentinel
    Data Collector API de Microsoft Azure Sentinel Conexión del origen de datos a Data Collector API de Microsoft Sentinel para ingerir datos
    Azure Functions y la API REST Uso de Azure Functions para conectar Microsoft Sentinel a un origen de datos
    Syslog Recopilación de datos de orígenes basados en Linux mediante Syslog
    Registros personalizados Recopilación de datos en formatos de registro personalizados para Microsoft Sentinel con el agente de Log Analytics

    Nota

    El método de ingesta de datos de integración entre servicios de Azure se vincula a tres secciones diferentes de su artículo, en función del tipo de conector. En la sección siguiente de cada conector se especifica la sección de ese artículo a la que se vincula.

  2. Al implementar un conector específico, elija el artículo adecuado vinculado a su método de ingesta de datos y use la información y las instrucciones adicionales de la sección correspondiente para complementar la información de ese artículo.

Sugerencia

  • Muchos conectores de datos también se pueden implementar como parte de una solución de Microsoft Sentinel, junto con reglas de análisis, libros y cuadernos de estrategias relacionados. Para obtener más información, vea el catálogo de soluciones de Microsoft Sentinel.

  • La comunidad de Microsoft Sentinel proporciona más conectores de datos, que se pueden encontrar en Azure Marketplace. La documentación de los conectores de datos de la comunidad es responsabilidad de la organización que ha creado el conector.

  • Si tiene un origen de datos que no aparece en la lista o actualmente se admite, también puede crear un conector personalizado propio. Para obtener más información, vea Recursos para crear conectores personalizados de Microsoft Sentinel.

Importante

Los conectores de datos indicados de Microsoft Sentinel están actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Agari Phishing Defense y Brand Protection (versión preliminar)

Atributo del conector Descripción
Método de ingesta de datos Azure Functions y la API REST

Antes de la implementación: habilite Security Graph API (opcional).
Después de la implementación: asigne los permisos necesarios a la aplicación de funciones
Tabla de Log Analytics agari_bpalerts_log_CL
agari_apdtc_log_CL
agari_apdpolicy_log_CL
Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-agari-functionapp
Credenciales de API
  • Id. de cliente
  • Secreto del cliente
  • (Opcional: id. de inquilino de Graph, id. de cliente de Graph, secreto de cliente de Graph)
  • Documentación del proveedor/
    instrucciones de instalación
  • Inicio rápido
  • Sitio para desarrolladores de Agari
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Configuración de la aplicación
  • clientID
  • clientSecret
  • workspaceID
  • workspaceKey
  • enableBrandProtectionAPI (true/false)
  • enablePhishingResponseAPI (true/false)
  • enablePhishingDefenseAPI (true/false)
  • resGroup (escriba el grupo de recursos)
  • functionName
  • subId (escriba el id. de suscripción)
  • enableSecurityGraphSharing (true/false; vea a continuación)
    Obligatorio si enableSecurityGraphSharing está establecido en true (vea a continuación):
  • GraphTenantId
  • GraphClientId
  • GraphClientSecret
  • logAnalyticsUri (opcional)
  • Compatible con Agari

    Habilite Security Graph API (opcional)

    Importante

    Si realiza este paso, haga esto antes de implementar el conector de datos.

    La aplicación de funciones Agari permite compartir inteligencia sobre amenazas con Microsoft Sentinel por medio de Security Graph API. Para usar esta característica, no solo es preciso habilitar el conector Sentinel Threat Intelligence Platforms, sino también registrar una aplicación en Azure Active Directory.

    Este proceso proporcionará tres datos que se usarán al implementar la aplicación de funciones: el id. de inquilino de Graph, el id. de cliente de Graph y el secreto de cliente de Graph (vea la configuración de la aplicación en la tabla anterior).

    Asigne los permisos necesarios a la aplicación de funciones

    El conector de Agari usa una variable de entorno para almacenar las marcas de tiempo de acceso al registro. Para que la aplicación escriba en esta variable, es preciso asignar permisos a la identidad asignada por el sistema.

    1. En Azure Portal, vaya a Aplicación de funciones.
    2. En la página Aplicación de funciones, seleccione una aplicación de funciones de la lista y, después, seleccione Identidad en la opción Configuración del menú de navegación de Aplicación de funciones.
    3. En la pestaña Asignado por el sistema, en Estado seleccione Activado.
    4. Seleccione Guardar y aparecerá el botón Asignaciones de roles de Azure. Selecciónela.
    5. En la pantalla Asignaciones de roles de Azure, seleccione Agregar asignación de rol. En Ámbito, seleccione Suscripción, seleccione la suscripción en la lista desplegable Suscripción y en Rol, seleccione App Configuration Data Owner (Propietario de datos de la configuración de la aplicación).
    6. Seleccione Guardar.

    AI Analyst (AIA) de Darktrace (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog

    Configuración del reenvío de registros CEF para AI Analyst
    Tabla de Log Analytics CommonSecurityLog
    Compatible con Darktrace

    Configuración del reenvío de registros CEF para AI Analyst

    Configure Darktrace para reenviar mensajes de Syslog en formato CEF al área de trabajo de Azure por medio del agente de Log Analytics.

    1. En el visualizador de amenazas de Darktrace, vaya a la página System Config (Configuración del sistema) en el menú principal bajo Admin (Administración).
    2. En el menú de la izquierda, seleccione Módulos y luego Microsoft Sentinel en Workflow Integrations (Integraciones de flujo de trabajo).
    3. Se abrirá una ventana de configuración. Busque Microsoft Sentinel Syslog CEF y seleccione Nuevo para mostrar los valores de configuración, a menos que ya aparezcan.
    4. En el campo Server configuration (Configuración del servidor), escriba la ubicación del reenviador de registros y, opcionalmente, modifique el puerto de comunicación. Asegúrese de que el puerto seleccionado está establecido en 514 y que lo permiten los firewalls intermedios.
    5. Configure los umbrales de alerta, los desplazamientos de tiempo o los valores adicionales según sea necesario.
    6. Revise las opciones de configuración adicionales que quiera habilitar para modificar la sintaxis de Syslog.
    7. Habilite Send Alerts (Enviar alertas) y guarde los cambios.

    AI Vectra Detect (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog

    Configuración del reenvío de registros CEF para AI Vectra Detect
    Tabla de Log Analytics CommonSecurityLog
    Compatible con Vectra AI

    Configuración del reenvío de registros CEF para AI Vectra Detect

    Configure el agente de Vectra (serie X) para reenviar mensajes de Syslog en formato CEF al área de trabajo de Microsoft Sentinel por medio del agente de Log Analytics.

    En la interfaz de Vectra, vaya a Configuración > Notificaciones y, después, elija Editar configuración de Syslog. Siga estas instrucciones para configurar la conexión:

    • Agregue un nuevo destino (el nombre de host del reenviador de registros)
    • Establezca el puerto como 514.
    • Establezca el protocolo como UDP.
    • Establezca el formato en CEF.
    • Establezca los tipos de registro (seleccione todos los tipos disponibles).
    • Seleccione Guardar.

    Puede seleccionar el botón Test (Probar) para forzar el envío de algunos eventos de prueba al reenviador de registros.

    Para obtener más información, vea la Guía de Syslog de detección de Cognito, que se puede descargar desde la página de recursos de Detect UI.

    Akamai Security Events (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto
    Tabla de Log Analytics CommonSecurityLog
    Alias de función de Kusto: AkamaiSIEMEvent
    URL de función de Kusto: https://aka.ms/Sentinel-akamaisecurityevents-parser
    Documentación del proveedor/
    instrucciones de instalación
    Configuración de la integración de administración de eventos e información de seguridad (SIEM)
    Configure un conector CEF.
    Compatible con Akamai

    Alcide kAudit

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics alcide_kaudit_activity_1_CL: registros de actividad de Alcide kAudit
    alcide_kaudit_detections_1_CL: detecciones de Alcide kAudit
    alcide_kaudit_selections_count_1_CL: recuentos de actividad de cAlcide kAudit
    alcide_kaudit_selections_details_1_CL: detalles de actividad de Alcide kAudit
    Documentación del proveedor/
    instrucciones de instalación
    Guía de instalación de Alcide kAudit
    Compatible con Alcide

    Alsid para Active Directory

    Atributo del conector Descripción
    Método de ingesta de datos Agente de Log Analytics: registros personalizados

    Configuración adicional para Alsid
    Tabla de Log Analytics AlsidForADLog_CL
    Alias de función de Kusto: afad_parser
    URL de función de Kusto: https://aka.ms/Sentinel-alsidforad-parser
    Compatible con Alsid

    Configuración adicional para Alsid

    1. Configuración del servidor de Syslog

      Primero necesitará un servidor Syslog de Linux al que Alsid para AD enviará los registros. Normalmente, puede ejecutar rsyslog en Ubuntu.

      Después, puede configurar este servidor como prefiera, pero se recomienda que pueda generar registros de AFAD en un archivo independiente. Como alternativa, puede usar una plantilla de inicio rápido para implementar el servidor de Syslog y el agente de Microsoft automáticamente. Si usa la plantilla, puede omitir las instrucciones de instalación del agente.

    2. Configuración de Alsid para enviar registros al servidor de Syslog

      En el portal de Alsid para AD, vaya a Sistema, Configuración y, a continuación, Syslog. Desde allí puede crear una nueva alerta de Syslog para el servidor de Syslog.

      Una vez que haya creado una nueva alerta de Syslog, compruebe que los registros se han recopilado correctamente en su servidor en un archivo independiente. Por ejemplo, para consultar los registros, puede usar el botón Probar la configuración en la configuración de alertas de Syslog de AFAD. Si ha usado la plantilla de inicio rápido, el servidor de Syslog escuchará de forma predeterminada en el puerto 514 en UDP y en 1514 en TCP, sin TLS.

    Amazon Web Services: CloudTrail

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexión de AWS CloudTrail a Microsoft Sentinel
    (Artículo de conector principal)
    Tabla de Log Analytics AWSCloudTrail
    Compatible con Microsoft

    Servidor HTTP de Apache

    Atributo del conector Descripción
    Método de ingesta de datos Agente de Log Analytics: registros personalizados
    Tabla de Log Analytics ApacheHTTPServer_CL
    Alias de función de Kusto: ApacheHTTPServer
    URL de función de Kusto: https://aka.ms/Sentinel-apachehttpserver-parser
    Archivo de ejemplo de registro personalizado: access.log o error.log

    Apache Tomcat

    Atributo del conector Descripción
    Método de ingesta de datos Agente de Log Analytics: registros personalizados
    Tabla de Log Analytics Tomcat_CL
    Alias de función de Kusto: TomcatEvent
    URL de función de Kusto: https://aka.ms/Sentinel-ApacheTomcat-parser
    Archivo de ejemplo de registro personalizado: access.log o error.log

    Aruba ClearPass (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto
    Tabla de Log Analytics CommonSecurityLog
    Alias de función de Kusto: ArubaClearPass
    URL de función de Kusto: https://aka.ms/Sentinel-arubaclearpass-parser
    Documentación del proveedor/
    instrucciones de instalación
    Siga las instrucciones de Aruba para configurar ClearPass.
    Compatible con Microsoft

    Atlassian Confluence Audit (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST
    Tabla de Log Analytics Confluence_Audit_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-confluenceauditapi-functionapp
    Credenciales de API
  • ConfluenceAccessToken
  • ConfluenceUsername
  • ConfluenceHomeSiteName
  • Documentación del proveedor/
    instrucciones de instalación
  • Documentación de la API
  • Requisitos e instrucciones para obtener credenciales
  • Visualización del registro de auditoría
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto ConfluenceAudit
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-confluenceauditapi-parser
    Configuración de la aplicación
  • ConfluenceUsername
  • ConfluenceAccessToken
  • ConfluenceHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Atlassian Jira Audit (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST
    Tabla de Log Analytics Jira_Audit_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-jiraauditapi-functionapp
    Credenciales de API
  • JiraAccessToken
  • JiraUsername
  • JiraHomeSiteName
  • Documentación del proveedor/
    instrucciones de instalación
  • Documentación de API: registros de auditoría
  • Requisitos e instrucciones para obtener credenciales
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto JiraAudit
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-jiraauditapi-parser
    Configuración de la aplicación
  • JiraUsername
  • JiraAccessToken
  • JiraHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Azure Active Directory

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexión de datos de Azure Active Directory a Microsoft Sentinel
    (Artículo de conector principal)
    Requisitos previos de licencia/
    Información de costos
  • Licencia de Azure Active Directory P1 o P2 para registros de inicio de sesión
  • Cualquier licencia de Azure AD (Free/O365/P1/P2) para otros tipos de registro
    Es posible que se apliquen cargos adicionales
  • Tabla de Log Analytics SigninLogs
    AuditLogs
    AADNonInteractiveUserSignInLogs
    AADServicePrincipalSignInLogs
    AADManagedIdentitySignInLogs
    AADProvisioningLogs
    ADFSSignInLogs
    Compatible con Microsoft

    Azure Active Directory Identity Protection

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en API
    Requisitos previos de licencia/
    Información de costos
    Suscripción a Azure AD Premium P2
    Es posible que se apliquen cargos adicionales
    Tabla de Log Analytics SecurityAlert
    Compatible con Microsoft

    Actividad de Azure

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en configuración de diagnóstico, administradas por Azure Policy


    Actualización al nuevo conector de actividad de Azure
    Tabla de Log Analytics AzureActivity
    Compatible con Microsoft

    Actualización al nuevo conector de actividad de Azure

    Cambios en la estructura de datos

    Este conector ha cambiado recientemente su mecanismo de back-end para recopilar eventos del registro de actividad. Ahora usa la canalización de configuración de diagnóstico. Si todavía usa el método heredado para este conector, se recomienda encarecidamente actualizar a la nueva versión, que proporciona una mejor funcionalidad y una mayor coherencia con los registros de recursos. Consulte las instrucciones a continuación.

    El método de configuración de diagnóstico envía los mismos datos que el método heredado que se envía desde el servicio Registro de actividad, aunque ha habido algunos cambios en la estructura de la tabla AzureActivity.

    Estas son algunas de las mejoras clave resultantes del pasaje a la canalización de configuración de diagnóstico:

    • Se mejoró la latencia de ingesta (ingesta de eventos de entre 2 y 3 minutos desde la aparición en lugar de 15 o 20 minutos).
    • Se mejoró la confiabilidad.
    • Rendimiento mejorado.
    • Compatibilidad con todas las categorías de eventos registrados por el servicio Registro de actividad (el mecanismo heredado solo admite un subconjunto; por ejemplo, no admite eventos de Service Health).
    • Administración a gran escala con Azure Policy.

    Vea la documentación de Azure Monitor para obtener un tratamiento más detallado del Registro de actividad de Azure y la canalización de configuración de diagnóstico.

    Desconexión de la canalización antigua

    Antes de configurar el nuevo conector del registro de actividad de Azure, debe desconectar las suscripciones existentes del método heredado.

    1. En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos. En la lista de conectores, seleccione Actividad de Azure y, después, seleccione el botón Abrir página del conector en la parte inferior derecha.

    2. En la pestaña Instrucciones, en la sección Configuración, en el paso 1, revise la lista de suscripciones existentes que están conectadas al método heredado (para saber cuáles se van a agregar al nuevo) y desconéctelas todas a la vez con el botón Desconectar todo que aparece a continuación.

    3. Siga configurando el nuevo conector con las instrucciones vinculadas en la tabla anterior.

    Azure DDoS Protection

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en configuración de diagnóstico
    Requisitos previos de licencia/
    Información de costos
  • Debe tener configurado un plan de protección de Azure DDoS Standard.
  • Debe tener configurada una red virtual con Azure DDoS Standard habilitado.
    Es posible que se apliquen cargos adicionales
  • Tabla de Log Analytics AzureDiagnostics
    Diagnósticos recomendados DDoSProtectionNotifications
    DDoSMitigationFlowLogs
    DDoSMitigationReports
    Compatible con Microsoft

    Microsoft Defender for Cloud

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexión de alertas de seguridad de Microsoft Defender for Cloud
    (Artículo de conector principal)
    Tabla de Log Analytics SecurityAlert
    Compatible con Microsoft

    Microsoft Defender para IoT

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en API
    Tabla de Log Analytics SecurityAlert
    Compatible con Microsoft

    Azure Firewall

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en configuración de diagnóstico
    Tabla de Log Analytics AzureDiagnostics
    Diagnósticos recomendados AzureFirewallApplicationRule
    AzureFirewallNetworkRule
    AzureFirewallDnsProxy
    Compatible con Microsoft

    Azure Information Protection

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure
    Tabla de Log Analytics InformationProtectionLogs_CL
    Compatible con Microsoft

    Para obtener más información, vea la documentación de Azure Information Protection.

    Azure Key Vault

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en configuración de diagnóstico, administradas por Azure Policy
    Tabla de Log Analytics KeyVaultData
    Compatible con Microsoft

    Azure Kubernetes Service (AKS)

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en configuración de diagnóstico, administradas por Azure Policy
    Tabla de Log Analytics kube-apiserver
    kube-audit
    kube-audit-admin
    kube-controller-manager
    kube-scheduler
    cluster-autoscaler
    guard
    Compatible con Microsoft

    Azure SQL Database

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en configuración de diagnóstico, administradas por Azure Policy


    También está disponible en las soluciones de Azure SQL y Microsoft Sentinel para PaaS de SQL
    Tabla de Log Analytics SQLSecurityAuditEvents
    SQLInsights
    AutomaticTuning
    QueryStoreWaitStatistics
    Errors
    DatabaseWaitStatistics
    Tiempos de espera
    Blocks
    Interbloqueos
    Básico
    InstanceAndAppAdvanced
    WorkloadManagement
    DevOpsOperationsAudit
    Compatible con Microsoft

    Cuenta de Azure Storage

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en configuración de diagnóstico


    Notas sobre la configuración de diagnóstico de la cuenta de almacenamiento
    Tabla de Log Analytics StorageBlobLogs
    StorageQueueLogs
    StorageTableLogs
    StorageFileLogs
    Diagnósticos recomendados Recurso de cuenta
  • Transacción
    Recursos de blob, cola, tabla o archivo
  • StorageRead
  • StorageWrite
  • StorageDelete
  • Transacción
  • Compatible con Microsoft

    Notas sobre la configuración de diagnóstico de la cuenta de almacenamiento

    El recurso de cuenta de almacenamiento (primario) contiene otros recursos (secundarios) para cada tipo de almacenamiento: archivos, tablas, colas y blobs.

    Al configurar diagnósticos para una cuenta de almacenamiento, debe seleccionar y configurar lo siguiente, por orden:

    • El recurso de la cuenta primaria, y exportar la métrica Transacción.
    • Cada uno de los recursos de tipo de almacenamiento secundario, y exportar todos los registros y las métricas (vea la tabla anterior).

    Solo verá los tipos de almacenamiento para los que realmente ha definido recursos.

    Firewall de aplicaciones web (WAF) de Azure

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en configuración de diagnóstico
    Tabla de Log Analytics AzureDiagnostics
    Diagnósticos recomendados Application Gateway
  • ApplicationGatewayAccessLog
  • ApplicationGatewayFirewallLog
    Front Door
  • FrontdoorAccessLog
  • FrontdoorWebApplicationFirewallLog
    Directiva WAF de CDN
  • WebApplicationFirewallLogs
  • Compatible con Microsoft

    Barracuda CloudGen Firewall

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: CGFWFirewallActivity
    URL de función de Kusto: https://aka.ms/Sentinel-barracudacloudfirewall-function
    Documentación del proveedor/
    instrucciones de instalación
    https://aka.ms/Sentinel-barracudacloudfirewall-connector
    Compatible con Barracuda

    Firewall de aplicaciones web Barracuda

    Atributo del conector Descripción
    Método de ingesta de datos Agente de Log Analytics: registros personalizados
    Tabla de Log Analytics syslog
    Documentación del proveedor/
    instrucciones de instalación
    https://aka.ms/asi-barracuda-connector
    Compatible con Barracuda

    BETTER Mobile Threat Defense (MTD) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics BetterMTDDeviceLog_CL
    BetterMTDIncidentLog_CL
    BetterMTDAppLog_CL
    BetterMTDNetflowLog_CL
    Documentación del proveedor/
    instrucciones de instalación
    Documentación de BETTER MTD

    Configuración de la directiva de amenazas, que define los incidentes que se notifican a Microsoft Sentinel:
    1. En Better MTD Console (Consola de Better MTD), seleccione Policies (Directivas) en la barra lateral.
    2. Seleccione el botón Edit (Editar) de la directiva que use.
    3. Para cada tipo de incidente que quiera registrar, vaya al campo Send to Integrations (Enviar a integraciones) y seleccione Sentinel.
    Compatible con Better Mobile

    Beyond Security beSECURE

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics beSECURE_ScanResults_CL
    beSECURE_ScanEvents_CL
    beSECURE_Audit_CL
    Documentación del proveedor/
    instrucciones de instalación
    Acceda al menú Integration (Integración):
    1. Seleccione la opción de menú More (Más).
    2. Seleccione Server (Servidor).
    3. Seleccione Integration (Integración).
    4. Habilitación de Microsoft Sentinel
    5. Pegue los valores Workspace ID (Id. de área de trabajo) y Primary Key (Clave principal) en la configuración de beSECURE.
    6. Seleccione Modificar.
    Compatible con Beyond Security

    BlackBerry CylancePROTECT (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: CylancePROTECT
    URL de función de Kusto: https://aka.ms/Sentinel-cylanceprotect-parser
    Documentación del proveedor/
    instrucciones de instalación
    Guía de Syslog de Cylance
    Compatible con Microsoft

    Broadcom Symantec Data Loss Prevention (DLP) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto
    Tabla de Log Analytics CommonSecurityLog
    Alias de función de Kusto: SymantecDLP
    URL de función de Kusto: https://aka.ms/Sentinel-symantecdlp-parser
    Documentación del proveedor/
    instrucciones de instalación
    Configuración de la acción Registrar en un servidor de Syslog
    Compatible con Microsoft

    Punto de comprobación

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog

    Disponible en la solución Check Point
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Exportador de registros: Check Point Log Export
    Compatible con Check Point

    Cisco ASA

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog

    Disponible en la solución Cisco ASA
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Cisco ASA Series CLI Configuration Guide (Guía de configuración de la serie Cisco ASA mediante CLI)
    Compatible con Microsoft

    Cisco Firepower eStreamer (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog

    Configuración adicional para Cisco Firepower eStreamer
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Guía de operaciones de eStreamer eNcore for Sentinel
    Compatible con Cisco

    Configuración adicional para Cisco Firepower eStreamer

    1. Instalación del cliente de Firepower eNcore
      Instale y configure el cliente de eStreamer de Firepower eNcore. Para obtener más información, vea la guía completa de instalación de Cisco.

    2. Descarga de Firepower Connector desde GitHub
      Descargue la versión más reciente del conector Firepower eNcore para Microsoft Sentinel desde el repositorio de GitHub de Cisco. Si tiene pensado usar Python 3, utilice el conector eStreamer para Python 3.

    3. Creación de un archivo pkcs12 con la dirección IP de la máquina virtual o Azure
      Cree un certificado pkcs12 mediante la dirección IP pública de la instancia de máquina virtual en Firepower en System > Integration > eStreamer (Sistema > Integración > eStreamer). Para obtener más información, vea la guía de instalación.

    4. Prueba de la conectividad entre el cliente de Azure o la máquina virtual, y FMC
      Copie el archivo pkcs12 de FMC a la instancia de Azure o VM, y ejecute la utilidad de prueba (./encore.sh test) para asegurarse de que se puede establecer una conexión. Para obtener más información, vea la guía de configuración.

    5. Configuración de eNcore para transmitir datos al agente
      Configure eNcore para transmitir datos mediante TCP al agente de Log Analytics. Esta configuración debe estar habilitada de forma predeterminada, pero se pueden configurar puertos y protocolos de streaming adicionales en función de la postura de seguridad de red. También es posible guardar los datos en el sistema de archivos. Para obtener más información, vea Configuración de eNcore.

    Cisco Meraki (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog

    Disponible en la solución Cisco ISE
    Tabla de Log Analytics syslog
    Alias de función de Kusto: CiscoMeraki
    URL de función de Kusto: https://aka.ms/Sentinel-ciscomeraki-parser
    Documentación del proveedor/
    instrucciones de instalación
    Documentación de Meraki Device Reporting
    Compatible con Microsoft

    Cisco Umbrella (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    Disponible en la solución Cisco Umbrella
    Tabla de Log Analytics Cisco_Umbrella_dns_CL
    Cisco_Umbrella_proxy_CL
    Cisco_Umbrella_ip_CL
    Cisco_Umbrella_cloudfirewall_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
    Credenciales de API
  • Id. de la clave de acceso de AWS
  • Clave de acceso del secreto de AWS
  • Nombre del depósito de AWS S3
  • Documentación del proveedor/
    instrucciones de instalación
  • Registro en Amazon S3
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto Cisco_Umbrella
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-ciscoumbrella-function
    Configuración de la aplicación
  • WorkspaceID
  • WorkspaceKey
  • S3Bucket
  • AWSAccessKeyId
  • AWSSecretAccessKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Cisco Unified Computing System (UCS) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: CiscoUCS
    URL de función de Kusto: https://aka.ms/Sentinel-ciscoucs-function
    Documentación del proveedor/
    instrucciones de instalación
    Configuración de Syslog para Cisco UCS: Cisco
    Compatible con Microsoft

    Citrix Analytics (Security)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics CitrixAnalytics_SAlerts_CL
    Documentación del proveedor/
    instrucciones de instalación
    Conexión de Citrix a Microsoft Sentinel
    Compatible con Citrix Systems

    Citrix Web App Firewall (WAF) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Para configurar WAF, vea Support WIKI - WAF Configuration with NetScaler (WIKI de soporte técnico: configuración de WAF con NetScaler).

    Para configurar los registros de CEF, vea CEF Logging Support in the Application Firewall (Compatibilidad con el registro de CEF en el firewall de aplicaciones).

    Para reenviar los registros al proxy, vea Configuring Citrix ADC appliance for audit logging (Configuración de dispositivos Citrix ADC para el registro de auditoría).
    Compatible con Citrix Systems

    Cognni (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics CognniIncidents_CL
    Documentación del proveedor/
    instrucciones de instalación
    Conexión a Cognni
    1. Vaya a la página de integraciones de Cognni.
    2. Seleccione Conectar en el cuadro de Microsoft Sentinel.
    3. Pegue los valores workspaceId y sharedKey en los campos de la pantalla de integraciones de Cognni.
    4. Seleccione el botón Connect (Conectar) para completar la configuración.
    Compatible con Cognni

    Supervisión continua de amenazas para SAP (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Solo está disponible después de instalar la solución Supervisión continua de amenazas para SAP
    Tabla de Log Analytics Vea Referencia sobre los registros de la solución Microsoft Sentinel para SAP
    Documentación del proveedor/
    instrucciones de instalación
    Implementación de la supervisión de amenazas continua de SAP
    Compatible con Microsoft

    Eventos de CyberArk Enterprise Password Vault (EPV) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Aplicaciones de administración de eventos e información de seguridad (SIEM)
    Compatible con CyberArk

    Cyberpion Security Logs (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics CyberpionActionItems_CL
    Documentación del proveedor/
    instrucciones de instalación
    Obtención de una suscripción a Cyberpion
    Integración de alertas de seguridad de Cyberpion en Microsoft Sentinel
    Compatible con Cyberpion

    DNS (versión preliminar)

    Consulte Servidor DNS de Windows (versión preliminar).

    Dynamics 365

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en API


    También está disponible como parte de la solución Microsoft Sentinel para Dynamics 365
    Requisitos previos de licencia/
    Información de costos
  • Licencia de producción de Microsoft Dynamics 365. No disponible para entornos de espacio aislado.
  • Para realizar el registro de actividad se necesita una suscripción a Microsoft 365 Enterprise E3 o E5.
    Es posible que se apliquen cargos adicionales
  • Tabla de Log Analytics Dynamics365Activity
    Compatible con Microsoft

    ESET Enterprise Inspector (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    Creación de un usuario de API
    Tabla de Log Analytics ESETEnterpriseInspector_CL
    Credenciales de API
  • Nombre de usuario de EEI
  • Contraseña de EEI
  • URL base
  • Documentación del proveedor/
    instrucciones de instalación
  • Documentación de la API REST de ESET Enterprise Inspector
  • Instrucciones de implementación del conector Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
    Compatible con ESET

    Creación de un usuario de API

    1. Inicie sesión en la consola ESET Security Management Center / ESET PROTECT con una cuenta de administrador, seleccione la pestaña More (Más) y la subpestaña Users (Usuarios).
    2. Seleccione el botón ADD NEW (AGREGAR NUEVO) y agregue un usuario nativo.
    3. Cree un usuario para la cuenta de API. Opcional: seleccione un Home group (grupo Inicio) distinto de All (Todos) para limitar las detecciones que se ingieren.
    4. En la pestaña Permission Sets (Conjuntos de permisos), asigne el conjunto de permisos Enterprise Inspector reviewer (Revisor de Enterprise Inspector).
    5. Cierre la sesión de la cuenta de administrador, inicie sesión en la consola con las nuevas credenciales de API para la validación y, después, cierre la sesión de la cuenta de API.

    ESET Security Management Center (SMC) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog

    Configuración de los registros de ESET SMC que se van a recopilar
    Configuración del agente de OMS para pasar los datos de Eset SMC en formato de API
    Cambio de la configuración del agente de OMS para detectar la etiqueta oms.api.eset y analizar los datos estructurados
    Deshabilitación de la configuración automática y reinicio del agente
    Tabla de Log Analytics eset_CL
    Documentación del proveedor/
    instrucciones de instalación
    Documentación del servidor de Syslog de ESET
    Compatible con ESET

    Configuración de los registros de ESET SMC que se van a recopilar

    Configure rsyslog para que acepte registros de la dirección IP de Eset SMC.

        sudo -i
        # Set ESET SMC source IP address
        export ESETIP={Enter your IP address}
    
        # Create rsyslog configuration file
        cat > /etc/rsyslog.d/80-remote.conf << EOF
        \$ModLoad imudp
        \$UDPServerRun 514
        \$ModLoad imtcp
        \$InputTCPServerRun 514
        \$AllowedSender TCP, 127.0.0.1, $ESETIP
        \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
        EOF
    
        # Restart rsyslog
        systemctl restart rsyslog
    

    Configuración del agente de OMS para pasar los datos de Eset SMC en formato de API

    Para reconocer fácilmente los datos de Eset, insértelos en una tabla independiente y analícelos en el agente a fin de simplificar y acelerar la consulta de Microsoft Sentinel.

    En el archivo /etc/opt/microsoft/omsagent/{REEMPLACE_id_del_área_de_trabajo}/conf/omsagent.conf, modifique la sección match oms.** para enviar los datos como objetos de API, y cambie el tipo a out_oms_api.

    El código siguiente es un ejemplo de la sección match oms.** completa:

        <match oms.** docker.**>
          type out_oms_api
          log_level info
          num_threads 5
          run_in_background false
    
          omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
          cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
          key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
    
          buffer_chunk_limit 15m
          buffer_type file
          buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
    
          buffer_queue_limit 10
          buffer_queue_full_action drop_oldest_chunk
          flush_interval 20s
          retry_limit 10
          retry_wait 30s
          max_retry_wait 9m
        </match>
    

    Cambio de la configuración del agente de OMS para detectar la etiqueta oms.api.eset y analizar los datos estructurados

    Modifique el archivo /etc/opt/microsoft/omsagent/{REEMPLACE_id_del_área_de_trabajo}/conf/omsagent.d/syslog.conf.

    Por ejemplo:

        <source>
          type syslog
          port 25224
          bind 127.0.0.1
          protocol_type udp
          tag oms.api.eset
        </source>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format /(?<message>.*?{.*})/
        </filter>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format json
        </filter>
    

    Deshabilitación de la configuración automática y reinicio del agente

    Por ejemplo:

        # Disable changes to configuration files from Portal
        sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
    
        # Restart agent
        sudo /opt/microsoft/omsagent/bin/service_control restart
    
        # Check agent logs
        tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    

    Configuración de Eset SMC para enviar registros al conector

    Configure los registros de Eset con el estilo BSD y el formato JSON.

    • Vaya a la configuración del servidor de Syslog para configurar el host (el conector), con el formato BSD y el transporte TCP
    • Vaya a la sección Logging (Registro) y habilite JSON.

    Para obtener más información, vea la documentación de Eset.

    Exabeam Advanced Analytics (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: ExabeamEvent
    URL de función de Kusto: https://aka.ms/Sentinel-Exabeam-parser
    Documentación del proveedor/
    instrucciones de instalación
    Configuración de notificaciones de actividad del sistema de Análisis avanzado
    Compatible con Microsoft

    ExtraHop Reveal(x)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Conector SIEM de ExtraHop Detection
    Compatible con ExtraHop

    F5 BIG-IP

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics F5Telemetry_LTM_CL
    F5Telemetry_system_CL
    F5Telemetry_ASM_CL
    Documentación del proveedor/
    instrucciones de instalación
    Integración de F5 BIG-IP con Microsoft Sentinel
    Compatible con Redes F5

    F5 Networks (ASM)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Configuración del registro de eventos de seguridad de aplicaciones
    Compatible con Redes F5

    Forcepoint Cloud Access Security Broker (CASB) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Forcepoint CASB y Microsoft Sentinel
    Compatible con Forcepoint

    Forcepoint Cloud Security Gateway (CSG) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Forcepoint Cloud Security Gateway y Microsoft Sentinel
    Compatible con Forcepoint

    Forcepoint Data Loss Prevention (DLP) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics ForcepointDLPEvents_CL
    Documentación del proveedor/
    instrucciones de instalación
    Forcepoint Data Loss Prevention y Microsoft Sentinel
    Compatible con Forcepoint

    Forcepoint Next Generation Firewall (NGFW) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Forcepoint Next-Gen Firewall y Microsoft Sentinel
    Compatible con Forcepoint

    ForgeRock Common Audit (CAUD) for CEF (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Instale esto primero. ForgeRock Common Audit (CAUD) para Microsoft Sentinel
    Compatible con ForgeRock

    Fortinet

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog

    Envío de registros de Fortinet al reenviador de registros <br
    Disponible en la solución Fortinet Fortigate
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Biblioteca de documentos de Fortinet
    Seleccione la versión y use los PDF Handbook (Manual) y Log Message Reference (Referencia de mensajes de registro).
    Compatible con Fortinet

    Envío de registros de Fortinet al reenviador de registros

    Abra la CLI en su dispositivo Fortinet y ejecute los siguientes comandos:

    config log syslogd setting
    set status enable
    set format cef
    set port 514
    set server <ip_address_of_Forwarder>
    end
    
    • Reemplace la dirección IP del servidor por la dirección IP del reenviador de registros.
    • Establezca el puerto de syslog en 514 o en el que haya establecido en el demonio de Syslog en el reenviador.
    • Para habilitar el formato CEF en las primeras versiones de FortiOS, es posible que deba ejecutar el conjunto de comandos csv disable.

    Google Workspace (G-Suite) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    Configuración adicional para la API de informes de Google
    Tabla de Log Analytics GWorkspace_ReportsAPI_admin_CL
    GWorkspace_ReportsAPI_calendar_CL
    GWorkspace_ReportsAPI_drive_CL
    GWorkspace_ReportsAPI_login_CL
    GWorkspace_ReportsAPI_mobile_CL
    GWorkspace_ReportsAPI_token_CL
    GWorkspace_ReportsAPI_user_accounts_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
    Credenciales de API
  • GooglePickleString
  • Documentación del proveedor/
    instrucciones de instalación
  • Documentación de la API
  • Obtenga las credenciales en Perform Google Workspace Domain-Wide Delegation of Authority (Delegación de autoridad de todo el dominio de Google Workspace).
  • Conversión del archivo token.pickle en una cadena pickle
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto GWorkspaceActivityReports
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
    Configuración de la aplicación
  • GooglePickleString
  • WorkspaceID
  • workspaceKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Configuración adicional para la API de informes de Google

    Agregue http://localhost:8081/ en Authorized redirect URIs (URI de redireccionamiento autorizados) al crear las credenciales de aplicación web.

    1. Siga las instrucciones para obtener el archivo credentials.json.
    2. Para obtener la cadena pickle de Google, ejecute este script de Python (en la misma ruta que credentials.json).
    3. Copie la salida de la cadena pickle entre comillas simples y guárdela. La necesitará para implementar la aplicación de funciones.

    Illusive Attack Management System (AMS) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Guía de administración de Illusive Networks
    Compatible con Illusive Networks

    Imperva WAF Gateway (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog

    Disponible en la solución Imperva Cloud WAF
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Pasos para habilitar el registro de alertas de Imperva WAF Gateway en Microsoft Sentinel
    Compatible con Imperva

    Infoblox Network Identity Operating System (NIOS) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog

    disponible en la solución InfoBlox Threat Defense
    Tabla de Log Analytics syslog
    Alias de función de Kusto: InfobloxNIOS
    URL de función de Kusto: https://aka.ms/sentinelgithubparsersinfoblox
    Documentación del proveedor/
    instrucciones de instalación
    Guía de implementación de SNMP y Syslog de NIOS
    Compatible con Microsoft

    Juniper SRX (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: JuniperSRX
    URL de función de Kusto: https://aka.ms/Sentinel-junipersrx-parser
    Documentación del proveedor/
    instrucciones de instalación
    Configuración del registro de tráfico (registros de directivas de seguridad) para dispositivos de rama SRX
    Configuración del registro del sistema
    Compatible con Juniper Networks

    Lookout Mobile Threat Defense (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    Solo está disponible después de instalar la solución Lookout Mobile Threat Defense para Microsoft Sentinel
    Tabla de Log Analytics Lookout_CL
    Credenciales de API
  • Lookout Application Key
  • Documentación del proveedor/
    instrucciones de instalación
  • Guía de instalación (inicio de sesión necesario)
  • Documentación de API (inicio de sesión necesario)
  • Lookout Mobile Endpoint Security
  • Compatible con Lookout

    Microsoft 365 Defender

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexión de datos de Microsoft 365 Defender con Microsoft Sentinel
    (Artículo de conector principal)
    Requisitos previos de licencia/
    Información de costos
    Licencia válida para Microsoft 365 Defender
    Tabla de Log Analytics Alertas:
    SecurityAlert
    SecurityIncident
    Eventos de Defender para punto de conexión:
    DeviceEvents
    DeviceFileEvents
    DeviceImageLoadEvents
    DeviceInfo
    DeviceLogonEvents
    DeviceNetworkEvents
    DeviceNetworkInfo
    DeviceProcessEvents
    DeviceRegistryEvents
    DeviceFileCertificateInfo
    Eventos de Defender para Office 365:
    EmailAttachmentInfo
    EmailUrlInfo
    EmailEvents
    EmailPostDeliveryEvents
    Compatible con Microsoft

    Administración de riesgos internos de Microsoft 365 (IRM) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en API


    También está disponible en la solución Microsoft 365 Insider Risk Management
    Licencia y otros requisitos previos
    Tabla de Log Analytics SecurityAlert
    Filtro de consulta de datos SecurityAlert
    \| where ProductName == "Microsoft 365 Insider Risk Management"
    Compatible con Microsoft

    Microsoft Defender for Cloud Apps

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en API


    Para transmitir registros de Cloud Discovery, habilite Microsoft Sentinel como SIEM en Microsoft Defender for Cloud Apps
    Tabla de Log Analytics SecurityAlert: para alertas
    McasShadowItReporting: para registros de Cloud Discovery
    Compatible con Microsoft

    Microsoft Defender para punto de conexión

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en API
    Requisitos previos de licencia/
    Información de costos
    Licencia válida para Microsoft Defender para punto de conexión
    Tabla de Log Analytics SecurityAlert
    Compatible con Microsoft

    Microsoft Defender for Identity

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en API
    Tabla de Log Analytics SecurityAlert
    Compatible con Microsoft

    Microsoft Defender para Office 365

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en API
    Requisitos previos de licencia/
    Información de costos
    Debe tener una licencia válida para Defender para Office 365 Plan 2
    Tabla de Log Analytics SecurityAlert
    Compatible con Microsoft

    Microsoft Office 365

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en API
    Requisitos previos de licencia/
    Información de costos
    La implementación de Office 365 debe estar en el mismo inquilino que el área de trabajo de Microsoft Sentinel.
    Es posible que se apliquen cargos adicionales
    Tabla de Log Analytics OfficeActivity
    Compatible con Microsoft

    Morphisec UTPP (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto
    Tabla de Log Analytics CommonSecurityLog
    Alias de función de Kusto: Morphisec
    URL de función de Kusto https://aka.ms/Sentinel-Morphiescutpp-parser
    Compatible con Morphisec

    Netskope (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST
    Tabla de Log Analytics Netskope_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-netskope-functioncode
    Credenciales de API
  • Token de API de Netskope
  • Documentación del proveedor/
    instrucciones de instalación
  • Plataforma Netskope Cloud Security
  • Documentación de API de Netskope
  • Obtención de un token de API
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto Netskope
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-netskope-parser
    Configuración de la aplicación
  • apikey
  • workspaceID
  • workspaceKey
  • uri (depende de la región, sigue el esquema: https://<Tenant Name>.goskope.com)
  • timeInterval (se establece en 5)
  • logTypes
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    NGINX HTTP Server (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Agente de Log Analytics: registros personalizados
    Tabla de Log Analytics NGINX_CL
    Alias de función de Kusto: NGINXHTTPServer
    URL de función de Kusto https://aka.ms/Sentinel-NGINXHTTP-parser
    Documentación del proveedor/
    instrucciones de instalación
    Módulo ngx_http_log_module
    Archivo de ejemplo de registro personalizado: access.log o error.log
    Compatible con Microsoft

    NXLog Basic Security Module (BSM) en macOS (Preview)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics BSMmacOS_CL
    Documentación del proveedor/
    instrucciones de instalación
    Guía de usuario de NXLog para Microsoft Sentinel
    Compatible con NXLog

    Registros DNS de NXLog (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics DNS_Logs_CL
    Documentación del proveedor/
    instrucciones de instalación
    Guía de usuario de NXLog para Microsoft Sentinel
    Compatible con NXLog

    NXLog LinuxAudit (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics LinuxAudit_CL
    Documentación del proveedor/
    instrucciones de instalación
    Guía de usuario de NXLog para Microsoft Sentinel
    Compatible con NXLog

    Inicio de sesión único de Okta (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST
    Tabla de Log Analytics Okta_CL
    Código de la aplicación de funciones de Azure https://aka.ms/sentineloktaazurefunctioncodev2
    Credenciales de API
  • Token de API
  • Documentación del proveedor/
    instrucciones de instalación
  • Documentación de la API de registro del sistema de Okta
  • Creación de un token de API
  • Conexión de Okta SSO a Microsoft Sentinel
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Configuración de la aplicación
  • apiToken
  • workspaceID
  • workspaceKey
  • uri (sigue el esquema https://<OktaDomain>/api/v1/logs?since=. Identifique el espacio de nombres del dominio).
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Onapsis Platform (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog, con una función de enriquecimiento y búsqueda de Kusto

    Configuración de Onapsis para enviar registros CEF al reenviador de registros
    Tabla de Log Analytics CommonSecurityLog
    Alias de función de Kusto: incident_lookup
    URL de función de Kusto https://aka.ms/Sentinel-Onapsis-parser
    Compatible con Onapsis

    Configuración de Onapsis para enviar registros CEF al reenviador de registros

    Consulte la ayuda de Onapsis en el producto para configurar el reenvío de registros al agente de Log Analytics.

    1. Vaya a Setup > Third-party integrations > Defend Alarms (Configuración > Integraciones de terceros > Alarmas de defensa) y siga las instrucciones para Microsoft Sentinel.
    2. Asegúrese de que la consola de Onapsis puede acceder a la máquina del reenviador de registros donde está instalado el agente. Los registros se deben enviar al puerto 514 mediante TCP.

    One Identity Safeguard (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Guía de administración de One Identity Safeguard for Privileged Sessions
    Compatible con One Identity

    Oracle WebLogic Server (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Agente de Log Analytics: registros personalizados
    Tabla de Log Analytics OracleWebLogicServer_CL
    Alias de función de Kusto: OracleWebLogicServerEvent
    URL de función de Kusto: https://aka.ms/Sentinel-OracleWebLogicServer-parser
    Documentación del proveedor/
    instrucciones de instalación
    Documentación de Oracle WebLogic Server
    Archivo de ejemplo de registro personalizado: server.log
    Compatible con Microsoft

    Orca Security (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics OrcaAlerts_CL
    Documentación del proveedor/
    instrucciones de instalación
    Integración de Microsoft Azure Sentinel
    Compatible con Orca Security

    OSSEC (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto
    Tabla de Log Analytics CommonSecurityLog
    Alias de función de Kusto: OSSECEvent
    URL de función de Kusto: https://aka.ms/Sentinel-OSSEC-parser
    Documentación del proveedor/
    instrucciones de instalación
    Documentación de OSSEC
    Envío de alertas mediante syslog
    Compatible con Microsoft

    Palo Alto Networks

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog

    También está disponible en las soluciones Palo Alto PAN-OS y Prisma.
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Guías de configuración de formato de evento común (CEF)
    Configuración de la supervisión de Syslog
    Compatible con Palo Alto Networks

    Registros de actividad de Perimeter 81 (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics Perimeter81_CL
    Documentación del proveedor/
    instrucciones de instalación
    Documentación de Perimeter 81
    Compatible con Perimeter 81

    Proofpoint On Demand (POD) Email Security (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    También está disponible en la solución Proofpoint POD
    Tabla de Log Analytics ProofpointPOD_message_CL
    ProofpointPOD_maillog_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-proofpointpod-functionapp
    Credenciales de API
  • ProofpointClusterID
  • ProofpointToken
  • Documentación del proveedor/
    instrucciones de instalación
  • Inicio de sesión en Proofpoint Community
  • Instrucciones y documentación de Proofpoint API
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto ProofpointPOD
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-proofpointpod-parser
    Configuración de la aplicación
  • ProofpointClusterID
  • ProofpointToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Proofpoint Targeted Attack Protection (TAP) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    También está disponible en la solución Proofpoint TAP
    Tabla de Log Analytics ProofPointTAPClicksPermitted_CL
    ProofPointTAPClicksBlocked_CL
    ProofPointTAPMessagesDelivered_CL
    ProofPointTAPMessagesBlocked_CL
    Código de la aplicación de funciones de Azure https://aka.ms/sentinelproofpointtapazurefunctioncode
    Credenciales de API
  • Nombre de usuario de API
  • Contraseña de API
  • Documentación del proveedor/
    instrucciones de instalación
  • Documentación de API SIEM de Proofpoint
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Configuración de la aplicación
  • apiUsername
  • apiUsername
  • uri (se establece en https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300)
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Pulse Connect Secure (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: PulseConnectSecure
    URL de función de Kusto: https://aka.ms/sentinelgithubparserspulsesecurevpn
    Documentación del proveedor/
    instrucciones de instalación
    Configuración de Syslog
    Compatible con Microsoft

    Qualys VM KnowledgeBase (KB) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    Configuración adicional para la KB de máquina virtual de Qualys

    También está disponible en la solución Qualys VM
    Tabla de Log Analytics QualysKB_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-qualyskb-functioncode
    Credenciales de API
  • Nombre de usuario de API
  • Contraseña de API
  • Documentación del proveedor/
    instrucciones de instalación
  • Guía del usuario de QualysVM API
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto QualysKB
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-qualyskb-parser
    Configuración de la aplicación
  • apiUsername
  • apiUsername
  • uri (por región; vea Lista de servidores de API. Sigue el esquema https://<API Server>/api/2.0.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (se agrega al final del URI, delimitado por &. Sin espacios).
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Configuración adicional para la KB de máquina virtual de Qualys

    1. Inicie sesión en la consola de administración de vulnerabilidades de Qualys con una cuenta de administrador, seleccione la pestaña Users (Usuarios) y la subpestaña Users (Usuarios).
    2. Seleccione el menú desplegable New (Nuevo) y seleccione Users (Usuarios).
    3. Cree un nombre de usuario y una contraseña para la cuenta de API.
    4. En la pestaña User Roles (Roles de usuario), asegúrese de que el rol de la cuenta está establecido en Manager (Administrador) y de que se permite el acceso a GUI y API.
    5. Cierre la sesión de la cuenta de administrador, inicie sesión en la consola con las nuevas credenciales de API para la validación y, después, cierre la sesión de la cuenta de API.
    6. Vuelva a iniciar sesión en la consola con una cuenta de administrador y modifique las cuentas de API, los roles de usuario y quite el acceso a la GUI.
    7. Guarde todos los cambios.

    Qualys Vulnerability Management (VM) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    Configuración adicional para la máquina virtual de Qualys
    Implementación manual: después de configurar la aplicación de funciones
    Tabla de Log Analytics QualysHostDetection_CL
    Código de la aplicación de funciones de Azure https://aka.ms/sentinelqualysvmazurefunctioncode
    Credenciales de API
  • Nombre de usuario de API
  • Contraseña de API
  • Documentación del proveedor/
    instrucciones de instalación
  • Guía del usuario de QualysVM API
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Configuración de la aplicación
  • apiUsername
  • apiUsername
  • uri (por región; vea Lista de servidores de API. Sigue el esquema https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (se agrega al final del URI, delimitado por &. Sin espacios).
  • timeInterval (se establece en 5. Si lo cambia, modifique el desencadenador del temporizador de la aplicación de funciones según sea necesario).
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Configuración adicional para la máquina virtual de Qualys

    1. Inicie sesión en la consola de administración de vulnerabilidades de Qualys con una cuenta de administrador, seleccione la pestaña Users (Usuarios) y la subpestaña Users (Usuarios).
    2. Seleccione el menú desplegable New (Nuevo) y seleccione Users (Usuarios).
    3. Cree un nombre de usuario y una contraseña para la cuenta de API.
    4. En la pestaña User Roles (Roles de usuario), asegúrese de que el rol de la cuenta está establecido en Manager (Administrador) y de que se permite el acceso a GUI y API.
    5. Cierre la sesión de la cuenta de administrador, inicie sesión en la consola con las nuevas credenciales de API para la validación y, después, cierre la sesión de la cuenta de API.
    6. Vuelva a iniciar sesión en la consola con una cuenta de administrador y modifique las cuentas de API, los roles de usuario y quite el acceso a la GUI.
    7. Guarde todos los cambios.

    Implementación manual: después de configurar la aplicación de funciones

    Configuración del archivo host.json

    Debido a la cantidad potencialmente grande de datos de detección de host de Qualys que se ingieren, puede hacer que el tiempo de ejecución supere el tiempo de espera predeterminado de la aplicación de funciones de cinco minutos. Aumente la duración del tiempo de espera predeterminado hasta el máximo de diez minutos, en el Plan de consumo, para permitir más tiempo para que se ejecute la aplicación de funciones.

    1. En la aplicación de funciones, seleccione el nombre de la aplicación y, después, el panel Editor de App Service.
    2. Seleccione Ir para abrir el editor y después el archivo host.json en el directorio wwwroot.
    3. Agregue la línea "functionTimeout": "00:10:00", por encima de la línea managedDependancy.
    4. Compruebe que aparezca GUARDADO en la esquina superior derecha del editor y, después, salga del editor.

    Si se necesita una tiempo de espera más largo, considere la posibilidad de actualizar a un plan de App Service.

    Salesforce Service Cloud (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST
    Tabla de Log Analytics SalesforceServiceCloud_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
    Credenciales de API
  • Nombre de usuario de la API de Salesforce
  • Contraseña de la API de Salesforce
  • Token de seguridad de Salesforce
  • Clave de consumidor de Salesforce
  • Secreto de consumidor de Salesforce
  • Documentación del proveedor/
    instrucciones de instalación
    Guía para desarrolladores de API REST de Salesforce
    En Configurar autorización, use el método Id. de sesión en lugar de OAuth.
    Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto SalesforceServiceCloud
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-SalesforceServiceCloud-parser
    Configuración de la aplicación
  • SalesforceUser
  • SalesforcePass
  • SalesforceSecurityToken
  • SalesforceConsumerKey
  • SalesforceConsumerSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Eventos de seguridad mediante el agente antiguo (Windows)

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en el agente de Log Analytics
    Tabla de Log Analytics SecurityEvents
    Compatible con Microsoft

    Para obtener más información, vea Configuración de libros de protocolos poco seguros.

    Consulte también: conector Eventos de seguridad de Windows a través de AMA basado en Agente de Azure Monitor (AMA).

    Configuración del conector de eventos de seguridad o de eventos de seguridad de Windows para la detección de inicios de sesión de RDP anómalos.

    SentinelOne (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    Configuración adicional para SentinelOne
    Tabla de Log Analytics SentinelOne_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-SentinelOneAPI-functionapp
    Credenciales de API
  • SentinelOneAPIToken
  • SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net)
  • Documentación del proveedor/
    instrucciones de instalación
  • https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview
  • Vea las instrucciones siguientes
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto SentinelOne
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-SentinelOneAPI-parser
    Configuración de la aplicación
  • SentinelOneAPIToken
  • SentinelOneUrl
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Configuración adicional para SentinelOne

    Siga las instrucciones para obtener las credenciales.

    1. Inicie sesión en la consola de administración de SentinelOne con credenciales de usuario administrador.
    2. En la consola de administración, seleccione Settings (Configuración).
    3. En la vista SETTINGS (CONFIGURACIÓN), seleccione Users (USUARIOS).
    4. Seleccione New User (Nuevo usuario).
    5. Escriba la información del nuevo usuario de la consola.
    6. En Role (Rol), seleccione Admin (Administrador).
    7. Seleccione SAVE (Guardar).
    8. Guarde las credenciales del nuevo usuario para utilizarlo en el conector de datos.

    SonicWall Firewall (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Log > Syslog
    Seleccione la instalación local4 y ArcSight como formato de Syslog.
    Compatible con SonicWall

    Sophos Cloud Optix (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics SophosCloudOptix_CL
    Documentación del proveedor/
    instrucciones de instalación
    Integración con Microsoft Sentinel; omita el primer paso.
    Ejemplos de consultas de Sophos
    Compatible con Sophos

    Sophos XG Firewall (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: SophosXGFirewall
    URL de función de Kusto: https://aka.ms/sentinelgithubparserssophosfirewallxg
    Documentación del proveedor/
    instrucciones de instalación
    Adición de un servidor de Syslog
    Compatible con Microsoft

    Squadra Technologies secRMM

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics secRMM_CL
    Documentación del proveedor/
    instrucciones de instalación
    Guía del administrador de secRMM para Microsoft Sentinel
    Compatible con Squadra Technologies

    Squid Proxy (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Agente de Log Analytics: registros personalizados
    Tabla de Log Analytics SquidProxy_CL
    Alias de función de Kusto: SquidProxy
    URL de función de Kusto https://aka.ms/Sentinel-squidproxy-parser
    Archivo de ejemplo de registro personalizado: access.log o cache.log
    Compatible con Microsoft

    Symantec Integrated Cyber Defense Exchange (ICDx)

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel
    Tabla de Log Analytics SymantecICDx_CL
    Documentación del proveedor/
    instrucciones de instalación
    Configuración de reenviadores de Microsoft Sentinel (Log Analytics)
    Compatible con Broadcom Symantec

    Symantec ProxySG (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: SymantecProxySG
    URL de función de Kusto: https://aka.ms/sentinelgithubparserssymantecproxysg
    Documentación del proveedor/
    instrucciones de instalación
    Envío de registros de acceso a un servidor de Syslog
    Compatible con Microsoft

    Symantec VIP (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: SymantecVIP
    URL de función de Kusto: https://aka.ms/sentinelgithubparserssymantecvip
    Documentación del proveedor/
    instrucciones de instalación
    Configuración de Syslog
    Compatible con Microsoft

    Thycotic Secret Server (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Registro seguro de Syslog/CEF
    Compatible con Thycotic

    Trend Micro Deep Security

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto
    Tabla de Log Analytics CommonSecurityLog
    Alias de función de Kusto: TrendMicroDeepSecurity
    URL de función de Kusto https://aka.ms/TrendMicroDeepSecurityFunction
    Documentación del proveedor/
    instrucciones de instalación
    Reenvío de eventos de seguridad profunda a un servidor de Syslog o SIEM
    Compatible con Trend Micro

    Trend Micro TippingPoint (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog, con un analizador de funciones de Kusto
    Tabla de Log Analytics CommonSecurityLog
    Alias de función de Kusto: TrendMicroTippingPoint
    URL de función de Kusto https://aka.ms/Sentinel-trendmicrotippingpoint-function
    Documentación del proveedor/
    instrucciones de instalación
    Envíe mensajes de Syslog en formato ArcSight CEF v4.2.
    Compatible con Trend Micro

    Trend Micro Vision One (XDR) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST
    Tabla de Log Analytics TrendMicro_XDR_CL
    Credenciales de API
  • Token de API
  • Documentación del proveedor/
    instrucciones de instalación
  • Trend Micro Vision One API
  • Obtención de claves de API para el acceso de terceros
  • Instrucciones de implementación del conector Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
    Compatible con Trend Micro

    VMware Carbon Black Endpoint Standard (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST
    Tabla de Log Analytics CarbonBlackEvents_CL
    CarbonBlackAuditLogs_CL
    CarbonBlackNotifications_CL
    Código de la aplicación de funciones de Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
    Credenciales de API Nivel de acceso de API (para registros de auditoría y eventos):
  • Id. de API
  • Clave de API

    Nivel de acceso SIEM (para eventos de notificación):
  • Id. de API de SIEM
  • Clave de API de SIEM
  • Documentación del proveedor/
    instrucciones de instalación
  • Documentación de Carbon Black API
  • Creación de una clave de API
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Configuración de la aplicación
  • apiId
  • apiKey
  • WorkspaceID
  • WorkspaceKey
  • uri (por región; vea la lista de opciones. Sigue el esquema https://<API URL>.conferdeploy.net).
  • timeInterval (se establece en 5)
  • SIEMapiId (si se ingieren eventos de notificación)
  • SIEMapiKey (si se ingieren eventos de notificación)
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    VMware ESXi (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: VMwareESXi
    URL de función de Kusto: https://aka.ms/Sentinel-vmwareesxi-parser
    Documentación del proveedor/
    instrucciones de instalación
    Habilitación de syslog en ESXi 3.5 y 4.x
    Configuración de Syslog en hosts de ESXi
    Compatible con Microsoft

    WatchGuard Firebox (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Syslog
    Tabla de Log Analytics syslog
    Alias de función de Kusto: WatchGuardFirebox
    URL de función de Kusto: https://aka.ms/Sentinel-watchguardfirebox-parser
    Documentación del proveedor/
    instrucciones de instalación
    Guía de integración de Microsoft Sentinel
    Compatible con WatchGuard Technologies

    WireX Network Forensics Platform (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Póngase en contacto con el soporte técnico de WireX a fin de configurar la solución NFP para enviar mensajes de Syslog en formato CEF.
    Compatible con WireX Systems

    Servidor DNS de Windows (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en el agente de Log Analytics
    Tabla de Log Analytics DnsEvents
    DnsInventory
    Compatible con Microsoft

    Eventos reenviados de Windows (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en el agente de Azure Monitor


    Instrucciones adicionales para implementar el conector de eventos reenviados de Windows
    Requisitos previos Debe tener habilitada y en ejecución la recopilación de eventos de Windows.
    Instale el agente de Azure Monitor en la máquina WEC.
    Prefijo de consultas xPath "ForwardedEvents!*"
    Tabla de Log Analytics WindowsEvents
    Compatible con Microsoft

    Instrucciones adicionales para implementar el conector de eventos reenviados de Windows

    Se recomienda instalar los analizadores del modelo de información SIEM avanzado (ASIM) para garantizar la compatibilidad total con la normalización de datos. Puede implementar estos analizadores desde el repositorio de GitHub de Azure-Sentinel mediante el botón Implementar en Azure que aparece allí.

    Firewall de Windows

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en el agente de Log Analytics
    Tabla de Log Analytics WindowsFirewall
    Compatible con Microsoft

    Eventos de seguridad de Windows a través de AMA

    Atributo del conector Descripción
    Método de ingesta de datos Integración entre servicios de Azure:
    Conexiones basadas en el agente de Azure Monitor
    Prefijo de consultas xPath "Security!*"
    Tabla de Log Analytics SecurityEvents
    Compatible con Microsoft

    Consulte también: conector Eventos de seguridad mediante el agente antiguo.

    Configuración del conector de eventos de seguridad o de eventos de seguridad de Windows para la detección de inicios de sesión de RDP anómalos

    Importante

    La detección de inicios de sesión de RDP anómalos se encuentra actualmente en versión preliminar pública. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

    Microsoft Sentinel puede aplicar aprendizaje automático (ML) a los datos de eventos de seguridad para identificar actividad de inicio de sesión de Protocolo de Escritorio remoto (RDP) anómala. Los escenarios incluyen:

    • IP inusual: la dirección IP no se ha observado nunca o casi nunca en los últimos 30 días

    • Ubicación geográfica inusual: la dirección IP, la ciudad, el país y el ASN no se han observado nunca o casi nunca en los últimos 30 días

    • Nuevo usuario: un nuevo usuario inicia sesión desde una dirección IP o una ubicación geográfica que no se esperaba ver de acuerdo con los datos de los 30 días anteriores.

    Instrucciones de configuración

    1. Debe recopilar los datos de inicio de sesión de RDP (identificador de evento 4624) mediante los conector de datos de eventos de seguridad o de eventos de seguridad de Windows. Asegúrese de que ha seleccionado un conjunto de eventos que no sea "Ninguno", o que ha creado una regla de recopilación de datos que incluye este identificador de evento, para la transmisión a Microsoft Sentinel.

    2. En el portal de Microsoft Sentinel, seleccione Análisis y luego la pestaña Plantillas de reglas. Seleccione la regla (Versión preliminar) Detección de inicios de sesión anómalos mediante RDP y mueva el control deslizante Estado a Habilitado.

      Nota

      Dado que el algoritmo de aprendizaje automático requiere datos de 30 días para crear un perfil de base de referencia del comportamiento de los usuarios, debe permitir que se recopilen los datos de eventos de seguridad de Windows de 30 días antes de que se puedan detectar incidentes.

    Workplace from Facebook (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST

    Configuración de webhooks
    Adición de la dirección URL de devolución de llamada a la configuración de webhook
    Tabla de Log Analytics Workplace_Facebook_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-WorkplaceFacebook-functionapp
    Credenciales de API
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • Documentación del proveedor/
    instrucciones de instalación
  • Configuración de webhooks
  • Configuración de permisos
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto Workplace_Facebook
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-WorkplaceFacebook-parser
    Configuración de la aplicación
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Configuración de webhooks

    1. Inicie sesión en Workplace con credenciales de usuario administrador.
    2. En el panel Administración, seleccione Integraciones.
    3. En la vista All integrations (Todas las integraciones), seleccione Create custom integration (Crear integración personalizada).
    4. Escriba el nombre y la descripción, y seleccione Create (Crear).
    5. En el panel Integration details (Detalles de integración), muestre el App secret (Secreto de la aplicación) y cópielo.
    6. En el panel Integration permissions (Permisos de integración), establezca todos los permisos de lectura. Consulte la página de permisos para obtener más información.

    Adición de la dirección URL de devolución de llamada a la configuración de webhook

    1. Abra la página de la aplicación de funciones, vaya a la lista Funciones, seleccione Obtener la dirección URL de la función y cópiela.
    2. Vuelva a Workplace from Facebook. En el panel Configure webhooks (Configurar webhooks), en cada pestaña, establezca Callback URL (Dirección URL de devolución de llamada) en la dirección URL de la función que ha copiado en el último paso y Verify token (Comprobar token) en el mismo valor que ha recibido durante la implementación automática o que ha escrito durante la implementación manual.
    3. Seleccione Guardar.

    Zimperium Mobile Thread Defense (versión preliminar)

    El conector de datos Zimperium Mobile Threat Defense conecta el registro de amenazas de Zimperium a Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Este conector le ofrece más conclusiones sobre el panorama de amenazas móviles de la organización y mejora las capacidades de las operaciones de seguridad.

    Para obtener más información, vea Conexión de Zimperium a Microsoft Sentinel.

    Atributo del conector Descripción
    Método de ingesta de datos Data Collector API de Microsoft Azure Sentinel

    Configuración y conexión de Zimperium MTD
    Tabla de Log Analytics ZimperiumThreatLog_CL
    ZimperiumMitigationLog_CL
    Documentación del proveedor/
    instrucciones de instalación
    Portal del servicio de atención al cliente de Zimperium (inicio de sesión necesario)
    Compatible con Zimperium

    Configuración y conexión de Zimperium MTD

    1. En zConsole, seleccione Manage (Administrar) en la barra de navegación.
    2. Seleccione la pestaña Integrations (Integraciones).
    3. Seleccione el botón Threat Reporting (Informes de amenazas) y después el botón Add Integrations (Agregar integraciones).
    4. Cree la integración:
      1. En las integraciones disponibles, seleccione Microsoft Sentinel.
      2. Escriba el identificador de área de trabajo y la clave principal, y seleccione Next (Siguiente).
      3. Rellene un nombre para la integración de Microsoft Sentinel.
      4. Seleccione un Nivel de filtro para los datos de amenaza que quiera enviar a Microsoft Sentinel.
      5. Seleccione Finalizar.

    Zoom Reports (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Azure Functions y la API REST
    Tabla de Log Analytics Zoom_CL
    Código de la aplicación de funciones de Azure https://aka.ms/Sentinel-ZoomAPI-functionapp
    Credenciales de API
  • ZoomApiKey
  • ZoomApiSecret
  • Documentación del proveedor/
    instrucciones de instalación
  • Obtención de credenciales mediante JWT With Zoom
  • Instrucciones de implementación del conector
  • Implementación de un solo clic mediante una plantilla de Azure Resource Manager (ARM)
  • Implementación manual
  • Alias de función de Kusto Zoom
    URL de la función Kusto/
    Instrucciones de configuración del analizador
    https://aka.ms/Sentinel-ZoomAPI-parser
    Configuración de la aplicación
  • ZoomApiKey
  • ZoomApiSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opcional)
  • Compatible con Microsoft

    Zscaler

    Atributo del conector Descripción
    Método de ingesta de datos Formato de evento común (CEF) sobre Syslog
    Tabla de Log Analytics CommonSecurityLog
    Documentación del proveedor/
    instrucciones de instalación
    Guía de implementación de Zscaler y Microsoft Sentinel
    Compatible con Zscaler

    Zscaler Private Access (ZPA) (versión preliminar)

    Atributo del conector Descripción
    Método de ingesta de datos Agente de Log Analytics: registros personalizados

    Configuración adicional para Zscaler Private Access
    Tabla de Log Analytics ZPA_CL
    Alias de función de Kusto: ZPAEvent
    URL de función de Kusto https://aka.ms/Sentinel-zscalerprivateaccess-parser
    Documentación del proveedor/
    instrucciones de instalación
    Documentación de Zscaler Private Access
    Además, vea lo siguiente
    Compatible con Microsoft

    Configuración adicional para Zscaler Private Access

    Use los pasos de configuración siguientes para obtener los registros de Zscaler Private Access en Microsoft Sentinel. Para obtener más información, consulte la documentación de Azure Monitor. Los registros de Zscaler Private Access se entregan por medio de Log Streaming Service (LSS). Para obtener más información, consulte la documentación de LSS.

    1. Configure receptores de registro. Al configurar un receptor de registro, elija JSON como Log Template (Plantilla de registro).

    2. Descargue el archivo de configuración zpa.conf.

      wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
      
    3. Inicie sesión en el servidor donde ha instalado el agente de Azure Log Analytics.

    4. Copie zpa.conf en la carpeta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

    5. Edite zpa.conf como se muestra a continuación:

      1. Especifique el puerto que ha establecido para que los receptores de registro de Zscaler reenvíen los registros (línea 4).
      2. Reemplace workspace_id por el valor real del identificador del área de trabajo (líneas 14, 15, 16 y 19)
    6. Guarde los cambios y reinicie el servicio del agente de Log Analytics para Linux con el siguiente comando:

      sudo /opt/microsoft/omsagent/bin/service_control restart
      

    Puede encontrar el valor del identificador del área de trabajo en la página del conector ZScaler Private Access o en la página de administración de agentes del área de trabajo de Log Analytics.

    Pasos siguientes

    Para más información, consulte: