Recursos para crear conectores personalizados de Microsoft Sentinel

Microsoft Sentinel proporciona una amplia gama de conectores integrados para los servicios de Azure y soluciones externas, y también admite la ingesta de datos desde algunos orígenes sin un conector dedicado.

Si no puede conectar el origen de datos a Microsoft Sentinel mediante cualquiera de las soluciones existentes disponibles, considere la posibilidad de crear su propio conector de origen de datos.

Para obtener una lista completa de los conectores admitidos, consulte la entrada de blog Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom, and more) (Microsoft Sentinel: Los mejores conectores [CEF, Syslog, Direct, Agent y Custom, entre otros]).

Comparación de los métodos de conectores personalizados

En la tabla siguiente se comparan los detalles esenciales de cada método para crear los conectores personalizados que se describen en este artículo. Seleccione los vínculos de la tabla para obtener más detalles sobre cada método.

Descripción del método	Capacidad	Sin servidor	Complejidad
Plataforma de conector sin código (CCP) Lo mejor para un público menos técnico es crear conectores SaaS mediante un archivo de configuración en lugar de desarrollo avanzado.	Admite todas las funcionalidades disponibles con el código.	Sí	Baja; desarrollo sencillo y sin código.
Agente de Log Analytics El mejor para recopilar archivos de orígenes locales y de IaaS	Solo recopilación de archivos	No	Bajo
Logstash El mejor para orígenes locales y de IaaS, cualquier origen para el que haya un complemento disponible, y organizaciones que ya estén familiarizadas con Logstash.	Complementos disponibles, más complemento personalizado, las funcionalidades proporcionan una gran flexibilidad.	No; requiere la ejecución de una VM o un clúster de VM.	Baja; admite muchos escenarios con complementos.
Logic Apps Costo alto; se evitan datos de gran volumen. El mejor para orígenes en la nube de bajo volumen.	La programación sin código permite una flexibilidad limitada, sin compatibilidad para la implementación de algoritmos. Si no hay ninguna acción disponible que ya admita sus requisitos, la creación de una acción personalizada puede sumar complejidad.	Sí	Baja; desarrollo sencillo y sin código.
PowerShell El mejor para la creación de prototipos y cargas de archivos periódicas.	Compatibilidad directa con la recopilación de archivos. PowerShell se puede usar para recopilar más orígenes, pero requiere codificación y configuración del script como servicio.	No	Bajo
API de Log Analytics El mejor para los ISV que implementan la integración y para los requisitos de recopilación únicos.	Admite todas las funcionalidades disponibles con el código.	Depende de la implementación.	Alto
Azure Functions El mejor para los orígenes en la nube de gran volumen y para los requisitos de recopilación únicos	Admite todas las funcionalidades disponibles con el código.	Sí	Alta; requiere conocimientos de programación.

Sugerencia

Para obtener comparaciones del uso de Logic Apps y Azure Functions para el mismo conector, consulte:

• Ingesta de registros de Web Application Firewall con rapidez en Microsoft Sentinel
• Office 365 (comunidad GitHub de Microsoft Sentinel): conector Logic App | conector Azure Function

Conexión con la plataforma de conector sin código

La plataforma de conector sin código (CCP) proporciona un archivo de configuración que los clientes y asociados pueden usar y, a continuación, implementar en su propia área de trabajo o como solución para la galería de soluciones de Microsoft Sentinel.

Los conectores creados con la CCP están totalmente habilitados para SaaS, sin ningún requisito para las instalaciones de servicio, y también incluyen seguimiento de estado y soporte técnico completo por parte de Microsoft Sentinel.

Para más información, consulte Creación de un conector sin código para Microsoft Sentinel.

Conexión con el agente de Log Analytics

Si el origen de datos entrega eventos en archivos, se recomienda usar el agente de Log Analytics de Azure Monitor para crear el conector personalizado.

• Para obtener más información, consulte Recopilación de registros personalizados en Azure Monitor.

• Para ver un ejemplo de este método, consulte Recopilación de orígenes de datos JSON personalizados con el agente de Log Analytics para Linux en Azure Monitor.

Conexión con Logstash

Si está familiarizado con Logstash, puede que quiera usar Logstash con el complemento de salida de Logstash para Microsoft Sentinel para crear el conector personalizado.

Con el complemento de salida de Logstash de para Microsoft Sentinel, puede usar cualquier complemento de entrada y filtrado de Logstash, y configurar Microsoft Sentinel como salida para una canalización de Logstash. Logstash tiene una gran biblioteca de complementos que permiten la entrada desde diversos orígenes, como Event Hubs, Apache Kafka, archivos, bases de datos y servicios en la nube. Use complementos de filtrado para analizar eventos, filtrar eventos innecesarios, ofuscar valores y mucho más.

Para obtener ejemplos del uso de Logstash como conector personalizado, consulte:

• Búsqueda de tácticas, técnicas y procedimientos (TTP) de vulneraciones de Capital one en los registros de AWS con Microsoft Sentinel (blog)
• Guía de implementación de Microsoft Sentinel de Radware

Para obtener ejemplos de complementos de Logstash útiles, consulte:

• Complemento de entrada de Cloudwatch
• Complemento de Azure Event Hubs
• Complemento de entrada de Google Cloud Storage
• Complemento de entrada Google_pubsub

Sugerencia

Logstash también permite la recopilación de datos escalados mediante un clúster. Para obtener más información, consulte Uso de una VM de Logstash con equilibrio de carga a gran escala.

Conexión con Logic Apps

Use Azure Logic Apps para crear un conector personalizado y sin servidor para Microsoft Sentinel.

Nota

Aunque puede ser conveniente crear conectores sin servidor con Logic Apps, el uso de Logic Apps para los conectores puede ser costoso si trabaja con grandes volúmenes de datos.

Se recomienda usar este método solo para orígenes de datos de bajo volumen o enriquecer las cargas de datos.

1. Use uno de los siguientes desencadenadores para iniciar Logic Apps:

   Desencadenador	Descripción
   Una tarea recurrente	Por ejemplo, programe la instancia de Logic Apps para que recupere datos periódicamente de archivos, bases de datos o API externas. Para obtener más información, consulte Creación, programación y ejecución de tareas y flujos de trabajo periódicos en Azure Logic Apps.
   Desencadenamiento a petición	Ejecute la instancia de Logic Apps a petición para la recopilación de datos y las pruebas manuales. Para obtener más información, consulte Llamada, desencadenamiento o anidación de aplicaciones lógicas mediante puntos de conexión HTTPS.
   Punto de conexión HTTP/S	Se recomienda para el streaming, y si el sistema de origen puede iniciar la transferencia de datos. Para obtener más información, consulte Llamada a puntos de conexión de servicio mediante HTTP o HTTPS.

2. Use cualquiera de los conectores de Logic Apps que leen la información para obtener los eventos. Por ejemplo:

   • Conexión a una API REST
   • Conectarse a un servidor SQL Server
   • Conexión a un sistema de archivos

   Sugerencia

   Los conectores personalizados a las API REST, instancias de SQL Server y sistemas de archivos también admiten la recuperación de datos de orígenes de datos locales. Para obtener más información, consulte la documentación sobre Instalación de la puerta de enlace de datos local.

3. Prepare la información que quiera recuperar.

   Por ejemplo, use la acción analizar JSON para acceder a las propiedades de contenido JSON, lo que le permite seleccionar esas propiedades en la lista de contenido dinámico cuando especifique entradas para la instancia de Logic Apps.

   Para obtener más información, consulte Realización de operaciones de datos en Azure Logic Apps.

4. Escriba los datos en Log Analytics.

   Para obtener más información, consulte la documentación del Recopilador de datos de Azure Log Analytics.

Para ver ejemplos de cómo puede crear un conector personalizado para Microsoft Sentinel mediante Logic Apps, consulte:

• Creación de una canalización de datos con Data Collector API
• Conector Logic App para Prisma de Palo Alto mediante un webhook (comunidad de Microsoft Sentinel en GitHub)
• Protección de las llamadas de Microsoft Teams con activación programada (blog)
• Ingesta de indicadores de amenazas de AlienVault OTX en Microsoft Sentinel (blog)

Conexión con PowerShell

El script Upload-AzMonitorLog de PowerShell permite usar PowerShell para transmitir eventos o información de contexto a Microsoft Sentinel desde la línea de comandos. Este streaming crea eficazmente un conector personalizado entre el origen de datos y Microsoft Sentinel.

Por ejemplo, el siguiente script carga un archivo CSV en Microsoft Sentinel:

Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"

El script Upload-AzMonitorLog de PowerShell usa los siguientes parámetros:

Parámetro	Descripción
WorkspaceId	El identificador del área de trabajo de Microsoft Sentinel, donde almacenará los datos. Busque el identificador y la clave del área de trabajo.
WorkspaceKey	La clave principal o secundaria del área de trabajo de Microsoft Sentinel donde almacenará los datos. Busque el identificador y la clave del área de trabajo.
LogTypeName	El nombre de la tabla de registro personalizada donde quiere almacenar los datos. Se agregará automáticamente un sufijo _CL al final del nombre de la tabla.
AddComputerName	Cuando este parámetro existe, el script agrega el nombre del equipo actual a cada entrada del registro, en un campo denominado Computer.
TaggedAzureResourceId	Cuando este parámetro existe, el script asocia todas las entradas del registro cargadas con el recurso de Azure especificado. Esta asociación permite las entradas del registro cargadas para las consultas de contexto de recursos, y cumple con el control de acceso basado en roles centrado en recursos.
AdditionalDataTaggingName	Cuando este parámetro existe, el script agrega otro campo a cada entrada del registro, con el nombre configurado y el valor configurado para el parámetro AdditionalDataTaggingValue. En este caso, AdditionalDataTaggingValue no debe estar vacío.
AdditionalDataTaggingValue	Cuando este parámetro existe, el script agrega otro campo a cada entrada del registro, con el valor configurado y el nombre del campo configurado para el parámetro AdditionalDataTaggingName. Si el parámetro AdditionalDataTaggingName está vacío, pero hay configurado un valor, el nombre de campo predeterminado es DataTagging.

Búsqueda del identificador y la clave del área de trabajo

Busque los detalles de los parámetros WorkspaceID y WorkspaceKey en Microsoft Sentinel:

1. En Microsoft Sentinel, seleccione Configuración a la izquierda y, a continuación, seleccione la pestaña Configuración del área de trabajo.

2. En Introducción a Log Analytics>1 Conectar un origen de datos, seleccione Windows and Linux agents management (Administración de agentes de Windows y Linux).

3. Busque el identificador del área de trabajo, la clave principal y la clave secundaria en las pestañas Servidores de Windows.

Conexión con la API de Log Analytics

Puede transmitir eventos a Microsoft Sentinel mediante la API de recopilador de datos de Log Analytics para llamar directamente a un punto de conexión de RESTful.

Aunque llamar directamente a un punto de conexión de RESTful requiere más programación, también proporciona mayor flexibilidad.

Para obtener más información, consulte la API de recopilador de datos de Log Analytics, especialmente los ejemplos siguientes:

• C#
• Python

Conexión con Azure Functions

Use Azure Functions junto con una API RESTful y varios lenguajes de codificación, como PowerShell, para crear un conector personalizado sin servidor.

Para obtener ejemplos de este método, consulte:

• Conexión de datos de VMware Carbon Black Cloud Endpoint Standard a Microsoft Sentinel a Azure Function
• Conexión del inicio de sesión único de Okta a Microsoft Sentinel con Azure Function
• Conexión de Proofpoint TAP a Microsoft Sentinel con Azure Function
• Conexión de Qualys Vulnerability a Microsoft Sentinel con Azure Function
• Ingesta de XML, CSV u otros formatos de datos
• Supervisión de Zoom con  Microsoft Sentinel (blog)
• Implementación de un aplicación de funciones para obtener datos de la API de administración de Office 365 en Microsoft Sentinel (comunidad de  Microsoft Sentinel en GitHub)

Análisis de los datos de un conector personalizado

Para aprovechar los datos recopilados con el conector personalizado, desarrolle analizadores del Modelo avanzado de información de seguridad (SIEM) para que funcionen con el conector. El uso de ASIM permite que el contenido integrado de Microsoft Sentinel use los datos personalizados y facilita a los analistas la consulta de los datos.

Si el método del conector lo permite, puede implementar parte del análisis como parte del conector a fin de mejorar el rendimiento del análisis en tiempo de consulta:

• Si ha usado Logstash, use el complemento de filtro Grok para analizar los datos.
• Si ha usado una instancia de Azure Functions, analice los datos con código.

De todos modos tendrá que implementar analizadores de ASIM, pero la implementación de parte del análisis directamente con el conector simplifica el análisis y mejora el rendimiento.

Pasos siguientes

Use los datos ingeridos en Microsoft Sentinel para proteger su entorno con cualquiera de los siguientes procesos:

• Obtención de visibilidad sobre las alertas
• Visualizar y supervisar los datos
• Investigación de incidentes
• Detectar amenazas
• Prevención automática de amenazas
• Búsqueda de amenazas

Además, obtenga información sobre un ejemplo de creación de un conector personalizado para supervisar Zoom: Supervisión del zoom con Microsoft Sentinel.