Conexión con orígenes de datosConnect data sources

Una vez que haya habilitado Azure Sentinel, lo primero que debe hacer es conectar los orígenes de datos.Once you have enabled Azure Sentinel, the first thing you need to do is connect your data sources. Azure Sentinel incluye varios conectores para soluciones de Microsoft, que están disponibles inmediatamente y proporcionan integración en tiempo real, entre las que se incluyen las soluciones de Microsoft 365 Defender (anteriormente Protección contra amenazas de Microsoft) y orígenes de Microsoft 365, (incluido Office 365), Azure AD, Microsoft Defender for Identity (anteriormente, Azure ATP) y Microsoft Cloud App Security, entre otros.Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft 365 Defender (formerly Microsoft Threat Protection) solutions, Microsoft 365 sources (including Office 365), Azure AD, Microsoft Defender for Identity (formerly Azure ATP), Microsoft Cloud App Security, and more. Además, hay conectores integrados al amplio ecosistema de seguridad para soluciones que no son de Microsoft.In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. También puede usar el formato de evento común (CEF), Syslog o la API REST para conectar los orígenes de datos con Azure Sentinel.You can also use Common Event Format (CEF), Syslog or REST-API to connect your data sources with Azure Sentinel.

  1. En el menú, seleccione Data connectors (Conectores de datos).On the menu, select Data connectors. Esta página permite ver la lista completa de los conectores que Azure Sentinel proporciona, y su estado.This page lets you see the full list of connectors that Azure Sentinel provides and their status. Seleccione el conector al que desea conectarse y seleccione Open connector page (Abrir la página del conector).Select the connector you want to connect and select Open connector page.

    Galería de conectores de datos

  2. En la página específica del conector, asegúrese de que cumple todos los requisitos previos y siga las instrucciones para conectar los datos a Azure Sentinel.On the specific connector page, make sure you have fulfilled all the prerequisites and follow the instructions to connect the data to Azure Sentinel. Los registros pueden tardar algún tiempo en iniciar la sincronización con Azure Sentinel.It may take some time for the logs to start syncing with Azure Sentinel. Después de conectarse, verá un resumen de los datos en el gráfico Datos recibidos, y el estado de conectividad de los tipos de datos.After you connect, you see a summary of the data in the Data received graph, and connectivity status of the data types.

    Configuración de conectores de datos

  3. Haga clic en la pestaña Siguientes pasos para obtener una lista del contenido que Azure Sentinel proporciona para el tipo de datos específico.Click the Next steps tab to get a list of out-of-the-box content Azure Sentinel provides for the specific data type.

    Pasos siguientes para los conectores

Métodos de conexión de datosData connection methods

Los siguientes métodos de conexión de datos son compatibles con Azure Sentinel:The following data connection methods are supported by Azure Sentinel:

Opciones de conexión del agenteAgent connection options

Para conectar su dispositivo externo a Azure Sentinel, el agente debe implementarse en una máquina dedicada (máquina virtual o local) para admitir la comunicación entre el dispositivo y Azure Sentinel.To connect your external appliance to Azure Sentinel, the agent must be deployed on a dedicated machine (VM or on premises) to support the communication between the appliance and Azure Sentinel. Puede implementar el agente automáticamente o de forma manual.You can deploy the agent automatically or manually. La implementación automática solo está disponible si su máquina dedicada es una nueva máquina virtual que crea en Azure.Automatic deployment is only available if your dedicated machine is a new VM you are creating in Azure.

CEF en Azure

También puede implementar el agente manualmente en una máquina virtual existente, en una máquina virtual en otra nube o en una máquina local.Alternatively, you can deploy the agent manually on an existing Azure VM, on a VM in another cloud, or on an on-premises machine.

CEF local

Asignación de tipos de datos con opciones de conexión de Azure SentinelMap data types with Azure Sentinel connection options

Tipo de datosData type ConexiónHow to connect ¿Conector de datos?Data connector? ComentariosComments
AWSCloudTrailAWSCloudTrail Conexión de AWSConnect AWS
AzureActivityAzureActivity Conexión del registro de actividad de Azure e Introducción a los registros de actividadConnect Azure Activity and Activity logs overview
AuditLogsAuditLogs Conexión de Azure ADConnect Azure AD
SigninLogsSigninLogs Conexión de Azure ADConnect Azure AD
AzureFirewallAzureFirewall Diagnóstico de AzureAzure Diagnostics
InformationProtectionLogs_CLInformationProtectionLogs_CL Informes de Azure Information ProtectionAzure Information Protection reports
Conexión de Azure Information ProtectionConnect Azure Information Protection
Normalmente usa la función InformationProtectionEvents además del tipo de datos.This usually uses the InformationProtectionEvents function in addition to the data type. Para más información, consulte Modificación de informes y creación de consultas personalizadasFor more information, see How to modify the reports and create custom queries
AzureNetworkAnalytics_CLAzureNetworkAnalytics_CL Esquema de análisis de tráfico Análisis de tráficoTraffic analytic schema Traffic analytics
CommonSecurityLogCommonSecurityLog Conexión de CEFConnect CEF
OfficeActivityOfficeActivity Conexión de Office 365Connect Office 365
SecurityEventsSecurityEvents Conexión de eventos de seguridad de WindowsConnect Windows security events Para los libros de protocolos poco seguros, vea Configuración de libros de protocolos poco segurosFor the Insecure Protocols workbooks, see Insecure protocols workbook setup
syslogSyslog Conexión de SyslogConnect Syslog
Firewall de aplicaciones web (WAF) de Microsoft: (AzureDiagnostics)Microsoft Web Application Firewall (WAF) - (AzureDiagnostics) Conexión del firewall de aplicaciones web de MicrosoftConnect Microsoft Web Application Firewall
SymantecICDx_CLSymantecICDx_CL Conexión de SymantecConnect Symantec
ThreatIntelligenceIndicatorThreatIntelligenceIndicator Conexión de Inteligencia sobre amenazasConnect threat intelligence
VMConnectionVMConnection
ServiceMapComputer_CLServiceMapComputer_CL
ServiceMapProcess_CLServiceMapProcess_CL
Mapa de servicio de Azure MonitorAzure Monitor service map
Incorporación de VM Insights de Azure MonitorAzure Monitor VM insights onboarding
Habilitación de VM Insights de Azure MonitorEnable Azure Monitor VM insights
Uso de la incorporación de una máquina virtual individualUsing Single VM On-boarding
Uso de la incorporación mediante PolicyUsing On-boarding Via Policy
Libro de VM InsightsVM insights workbook
DnsEventsDnsEvents Conexión de DNSConnect DNS
W3CIISLogW3CIISLog Conexión de registros de IISConnect IIS logs
WireDataWireData Conexión de Wire DataConnect Wire Data
WindowsFirewallWindowsFirewall Conexión de Firewall de WindowsConnect Windows Firewall
AADIP SecurityAlertAADIP SecurityAlert Conexión de Azure AD Identity ProtectionConnect Azure AD Identity Protection
AATP SecurityAlertAATP SecurityAlert Conexión de Microsoft Defender for Identity (anteriormente Azure ATP)Connect Microsoft Defender for Identity (formerly Azure ATP)
ASC SecurityAlertASC SecurityAlert Conexión de alertas de Azure Defender desde Azure Security CenterConnect Azure Defender alerts from Azure Security Center
MCAS SecurityAlertMCAS SecurityAlert Conexión de Microsoft Cloud App SecurityConnect Microsoft Cloud App Security
SecurityAlertSecurityAlert
Sysmon (evento)Sysmon (Event) Conexión de SysmonConnect Sysmon
Conexión de eventos de WindowsConnect Windows Events
Obtención del analizador de SysmonGet the Sysmon Parser
La colección de Sysmon no se instala de forma predeterminada en máquinas virtuales.Sysmon collection is not installed by default on virtual machines. Para más información sobre cómo instalar el agente Sysmon, consulte Sysmon.For more information on how to install the Sysmon Agent, see Sysmon.
ConfigurationDataConfigurationData Automatización del inventario de máquinas virtualesAutomate VM inventory
ConfigurationChangeConfigurationChange Automatización del seguimiento de VMAutomate VM tracking
F5 BIG-IPF5 BIG-IP Conexión de F5 BIG-IPConnect F5 BIG-IP
McasShadowItReportingMcasShadowItReporting
Barracuda_CLBarracuda_CL Conexión de BarracudaConnect Barracuda

Pasos siguientesNext steps