Conectar fontes de dadosConnect data sources

Para a integração do Azure Sentinel, você precisa primeiro se conectar às suas fontes de dados.To on-board Azure Sentinel, you first need to connect to your data sources. O Azure Sentinel vem com uma série de conectores para soluções da Microsoft, disponíveis prontas para o uso e fornecendo integração em tempo real, incluindo soluções de Proteção contra Ameaças da Microsoft 365, e fontes do Microsoft 365, tais como Office 365, Azure AD, Azure ATP, Microsoft Cloud App Security e muito mais.Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft Threat Protection solutions, and Microsoft 365 sources, including Office 365, Azure AD, Azure ATP, and Microsoft Cloud App Security, and more. Além disso, existem conectores internos no ecossistema de segurança mais amplo para soluções que não são da Microsoft.In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. Você também pode usar formato comum de eventos, Syslog ou API REST para conectar suas fontes de dados ao Azure Sentinel.You can also use common event format, Syslog or REST-API to connect your data sources with Azure Sentinel as well.

  1. No menu, selecione Conectores de dados.On the menu, select Data connectors. Essa página permite ver a lista completa dos conectores fornecidos pelo Azure Sentinel e seus status.This page lets you see the full list of connectors that Azure Sentinel provides and their status. Selecione o conector que deseja conectar e selecione Abrir página do conector.Select the connector you want to connect and select Open connector page.

    Coletores de dados

  2. Na página do conector específico, verifique se você atendeu a todos os pré-requisitos e siga as instruções para conectar os dados ao Azure Sentinel.On the specific connector page, make sure you have fulfilled all the prerequisites and follow the instructions to connect the data to Azure Sentinel. Pode levar algum tempo para que a sincronização do logs com o Azure Sentinel seja iniciada.It may take some time for the logs to start syncing with Azure Sentinel. Depois de se conectar, você verá um resumo dos dados no grafo Dados recebidos e o status de conectividade dos tipos de dados.After you connect, you see a summary of the data in the Data received graph, and connectivity status of the data types.

    Conectar coletores

  3. Clique na guia Próximas etapas para obter uma lista do conteúdo pronto para uso fornecido pelo Azure Sentinel para o tipo de dados específico.Click the Next steps tab to get a list of out-of-the-box content Azure Sentinel provides for the specific data type.

    Coletores de dados

Métodos de conexão de dadosData connection methods

O Azure Sentinel dá suporte aos métodos de conexão de dados a seguir:The following data connection methods are supported by Azure Sentinel:

Opções de conexão de agenteAgent connection options

Para conectar seu dispositivo externo ao Azure Sentinel, o agente precisa ser implantado em um computador dedicado (VM ou local) para dar suporte à comunicação entre o dispositivo e o Azure Sentinel.To connect your external appliance to Azure Sentinel, the agent must be deployed on a dedicated machine (VM or on premises) to support the communication between the appliance and Azure Sentinel. Você pode implantar o agente manualmente ou automaticamente.You can deploy the agent automatically or manually. A implantação automática só estará disponível se o computador dedicado for uma nova VM que você está criando no Azure.Automatic deployment is only available if your dedicated machine is a new VM you are creating in Azure.

CEF no Azure

Como alternativa, você pode implantar o agente manualmente em uma VM do Azure existente em uma VM em outra nuvem ou em um computador local.Alternatively, you can deploy the agent manually on an existing Azure VM, on a VM in another cloud, or on an on-premises machine.

CEF no local

Mapear tipos de dados com opções de conexão do Azure SentinelMap data types with Azure Sentinel connection options

Tipo de dadosData type Como se conectarHow to connect Conector de dados?Data connector? ComentáriosComments
AWSCloudTrailAWSCloudTrail Conectar AWSConnect AWS VV
AzureActivityAzureActivity Conectar Atividades do Azure e Visão geral dos logs de atividadeConnect Azure Activity and Activity logs overview VV
AuditLogsAuditLogs Conectar o Azure ADConnect Azure AD VV
SigninLogsSigninLogs Conectar o Azure ADConnect Azure AD VV
AzureFirewallAzureFirewall Diagnóstico do AzureAzure Diagnostics VV
InformationProtectionLogs_CLInformationProtectionLogs_CL Relatórios da Proteção de Informações do AzureAzure Information Protection reports
Conectar a Proteção de Informações do AzureConnect Azure Information Protection
VV Isso normalmente usa a função InformationProtectionEvents além do tipo de dados.This usually uses the InformationProtectionEvents function in addition to the data type. Para saber mais, confira Como modificar os relatórios e criar consultas personalizadasFor more information, see How to modify the reports and create custom queries
AzureNetworkAnalytics_CLAzureNetworkAnalytics_CL Esquema de análise de tráfego Análise de tráfegoTraffic analytic schema Traffic analytics
CommonSecurityLogCommonSecurityLog Conectar CEFConnect CEF VV
OfficeActivityOfficeActivity Conectar Office 365Connect Office 365 VV
SecurityEventsSecurityEvents Conectar eventos de segurança do WindowsConnect Windows security events VV Para as pastas de trabalho Protocolos Inseguros, confira Configuração da pasta de trabalho de protocolos insegurosFor the Insecure Protocols workbooks, see Insecure protocols workbook setup
syslogSyslog Conectar SyslogConnect Syslog VV
WAF (Firewall do Aplicativo Web) da Microsoft – (AzureDiagnostics)Microsoft Web Application Firewall (WAF) - (AzureDiagnostics) Conectar Firewall do Aplicativo Web da MicrosoftConnect Microsoft Web Application Firewall VV
SymantecICDx_CLSymantecICDx_CL Conectar SymantecConnect Symantec VV
ThreatIntelligenceIndicatorThreatIntelligenceIndicator Conectar inteligência contra ameaçasConnect threat intelligence VV
VMConnectionVMConnection
ServiceMapComputer_CLServiceMapComputer_CL
ServiceMapProcess_CLServiceMapProcess_CL
Mapa do Serviço do Azure MonitorAzure Monitor service map
Integração de insights de VM do Azure MonitorAzure Monitor VM insights onboarding
Habilitar insights de VM do Azure MonitorEnable Azure Monitor VM insights
Usar integração de VM únicaUsing Single VM On-boarding
Usar integração pela políticaUsing On-boarding Via Policy
XX Pasta de trabalho de insights de VMVM insights workbook
DnsEventsDnsEvents Conectar DNSConnect DNS VV
W3CIISLogW3CIISLog Conectar logs do IISConnect IIS logs XX
WireDataWireData Conectar Wire DataConnect Wire Data XX
WindowsFirewallWindowsFirewall Conectar Firewall do WindowsConnect Windows Firewall VV
AADIP SecurityAlertAADIP SecurityAlert Conectar Azure AD Identity ProtectionConnect Azure AD Identity Protection VV
AATP SecurityAlertAATP SecurityAlert Conectar ATP do AzureConnect Azure ATP VV
ASC SecurityAlertASC SecurityAlert Conectar Central de Segurança do AzureConnect Azure Security Center VV
MCAS SecurityAlertMCAS SecurityAlert Conectar Microsoft Cloud App SecurityConnect Microsoft Cloud App Security VV
SecurityAlertSecurityAlert
Sysmon (Evento)Sysmon (Event) Conectar SysmonConnect Sysmon
Conectar Eventos do WindowsConnect Windows Events
Obter o Analisador SysmonGet the Sysmon Parser
XX A coleção do Sysmon não está instalada por padrão em máquinas virtuais.Sysmon collection is not installed by default on virtual machines. Para obter mais informações sobre como instalar o Agente do Sysmon, confira Sysmon.For more information on how to install the Sysmon Agent, see Sysmon.
ConfigurationDataConfigurationData Automatizar inventário de VMAutomate VM inventory XX
ConfigurationChangeConfigurationChange Automatizar acompanhamento de VMAutomate VM tracking XX
F5 BIG-IPF5 BIG-IP Conectar F5 BIG-IPConnect F5 BIG-IP XX
McasShadowItReportingMcasShadowItReporting XX
Barracuda_CLBarracuda_CL Conectar BarracudaConnect Barracuda VV

Próximas etapasNext steps