Encontrar seu conector de dados do Microsoft Sentinel
Observação
O Azure Sentinel agora é chamado de Microsoft Sentinel, e atualizaremos essas páginas nas próximas semanas. Saiba mais sobre os recentes aprimoramentos de segurança da Microsoft.
Este artigo descreve como implantar conectores de dados no MIcrosoft Sentinel, listando todos os conectores de dados compatíveis prontos para uso, além de links para procedimentos genéricos de implantação e etapas adicionais necessárias para conectores específicos.
Dica
Alguns conectores de dados são implantados somente por meio de soluções. Para obter mais informações, confira o catálogo de soluções do Microsoft Sentinel. Você também pode encontrar outros conectores de dados integrados à comunidade no repositório Microsoft Sentinel GitHub.
Como usar este guia
Primeiro, localize e selecione o conector do seu produto, serviço ou dispositivo no menu de títulos à direita.
A primeira informação que você verá para cada conector é seu método de ingestão de dados. O método que aparece terá um link para um dos procedimentos de implantação genérica a seguir, os quais contêm a maioria das informações necessárias para conectar suas fontes de dados ao Microsoft Sentinel:
Método de ingestão de dados Artigo vinculado com instruções Integração de serviço a serviço do Azure Conectar aos serviços do Azure, Windows, Microsoft e Amazon CEF (Formato Comum de Evento) via Syslog Obter logs formatados por CEF do seu dispositivo ou aparelho no Microsoft Sentinel API do coletor de dados do Microsoft Sentinel Conectar sua fonte de dados à API do Coletor de Dados do Microsoft Sentinel para ingerir dados Azure Functions e a API REST Usar o Azure Functions para conectar o Microsoft Azure Sentinel à fonte de dados Syslog Coletar os dados das fontes baseadas no Linux usando o Syslog Logs personalizados Coletar dados em formatos de log personalizados no Microsoft Sentinel usando o agente do Log Analytics Observação
O método de ingestão de dados de integração de serviço a serviço do Azure vincula-se a três seções diferentes de seu artigo, dependendo do tipo de conector. Cada seção de conector abaixo especifica a seção dentro desse artigo à qual ele se vincula.
Ao implantar um conector específico, escolha o artigo apropriado vinculado ao seu método de ingestão de dados e use as informações e as diretrizes adicionais na seção relevante abaixo para complementar as informações deste artigo.
Dica
Muitos conectores de dados também podem ser implantados como parte de uma solução do Microsoft Sentinel, junto com regras de análise, pastas de trabalho e guias estratégicos relacionados. Para obter mais informações, confira o catálogo de soluções do Microsoft Sentinel.
Há mais conectores de dados sendo fornecidos pela comunidade do Microsoft Sentinel, os quais podem ser encontrados no Azure Marketplace. A documentação de conectores de dados da comunidade é responsabilidade da organização que criou o conector.
Caso tenha uma fonte de dados que não esteja listada ou que não tenha suporte no momento, você também poderá criar seu próprio conector personalizado. Para obter mais informações, confira Recursos para criar conectores personalizados do Microsoft Sentinel.
Importante
Os conectores de dados do Microsoft Sentinel mencionados estão atualmente em Versão prévia. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Pré-requisitos do conector de dados
Cada conector de dados terá seu próprio conjunto de pré-requisitos, como permissões necessárias em seu workspace, assinatura ou política do Azure e assim por diante, ou outros requisitos para a fonte de dados do parceiro à qual você está se conectando.
Os pré-requisitos para cada conector de dados são listados na página do conector de dados relevante no Microsoft Sentinel, na guia Instruções.
Agari Phishing Defense e Brand Protection (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Antes da implantação: Habilitar a API do Graph de segurança (opcional). Após a implantação: Atribuir as permissões necessárias ao aplicativo de funções |
| Tabela(s) do Log Analytics | agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-agari-functionapp |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Configurações de aplicativo | Obrigatório se enableSecurityGraphSharing estiver definido como true (veja abaixo): |
| Com suporte por | Agari |
Habilitar a API do Graph de segurança (opcional)
Importante
Caso vá executar essa etapa, faça isso antes de implantar o conector de dados.
O Aplicativo de funções Agari permite que você compartilhe inteligência contra ameaças com o Microsoft Sentinel por meio do API do Graph de segurança. Para usar esse recurso, você precisará habilitar o conector do Sentinel Threat Intelligence Platforms e também registrar um aplicativo no Azure Active Directory.
Esse processo dará a você três informações de uso ao implantar o Aplicativo de Funções: a ID do locatário do Graph, a ID do cliente do Graph e o segredo do cliente do Graph (confira as Configurações de aplicativo na tabela acima).
Atribuir as permissões necessárias ao Aplicativo de funções
O conector do Agari usa uma variável de ambiente para armazenar os tempos de acesso ao log. Para que o aplicativo escreva nessa variável, as permissões devem ser atribuídas à identidade atribuída pelo sistema.
- Navegar até o Aplicativo de Funções no portal do Azure
- Na página Aplicativo de Funções, selecione seu Aplicativo de Funções na lista e, em seguida, selecione Identidade em Configurações no menu de navegação do Aplicativo de Funções.
- Na guia Sistema atribuído, alterne o Status para Ativado.
- Selecione Salvare um botão Atribuições de função do Azure será exibido. Selecione-a.
- Na tela Atribuições de função do Azure, selecione Adicionar atribuição de função. Defina Escopo como Assinatura, selecione sua assinatura na lista suspensa Assinatura e defina Função como Proprietário dos dados de configuração do aplicativo.
- Clique em Salvar.
AIA (Analista de IA) por Darktrace (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog Configurar o encaminhamento de log do CEF para o Analista de IA |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Darktrace |
Configurar o encaminhamento de log do CEF para o Analista de IA
Configure o Darktrace para encaminhar mensagens de Syslog no formato CEF para seu workspace do Azure por meio do agente do Log Analytics.
- No Darktrace Threat Visualizer, navegue até a página Configurações do sistema no menu principal em Administrador.
- No menu à esquerda, selecione Módulos e escolha Microsoft Sentinel entre as Integrações de fluxo de trabalho disponíveis.
- Uma janela de configuração será aberta. Localize o CEF do Syslog do Microsoft Sentinel e selecione Novo para revelar as definições de configuração, a menos que já estejam expostas.
- No campo Configurações do servidor, insira a localização do encaminhador de log e, como opção, modifique a porta de comunicação. Verifique se a porta selecionada está definida como 514 e se ela é permitida por qualquer firewall intermediário.
- Configure os limites de alerta, fusos horários ou configurações adicionais, conforme necessário.
- Verifique as opções de configuração adicionais que você queira habilitar para alterar a sintaxe do Syslog.
- Habilite a opção Enviar alertas e salve as alterações.
Detecção de IA da Vectra (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog Configurar o encaminhamento de log do CEF para a Detecção de IA da Vectra |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | IA da Vectra |
Configurar o encaminhamento de log do CEF para a Detecção de IA da Vectra
Configure o agente do Vectra (Série X) para encaminhar mensagens de Syslog no formato CEF para seu workspace do Microsoft Sentinel por meio do agente do Log Analytics.
Na interface do Vectra, acesse Settings > Notifications e escolha a configuração Edit Syslog. Siga as instruções abaixo para concluir a conexão:
- Adicionar um destino (o nome do host do encaminhador de log)
- Definir a porta como 514
- Definir o protocolo como UDP
- Definir o formato como CEF
- Definir tipos de log (selecione todos os tipos de log disponíveis)
- Selecione Salvar
Você pode selecionar o botão Testar para forçar o envio de alguns eventos de teste ao encaminhador de log.
Para obter mais informações, confira o Guia de Syslog do Cognito Detect, que pode ser baixado na página de recursos na interface do usuário do Detect.
Eventos de segurança da Akamai (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | AkamaiSIEMEvent |
| URL de função do Kusto: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt |
| Documentação do fornecedor/ Instruções de instalação |
Configurar integração do SIEM (Gerenciamento de informações e eventos de segurança) Configurar um conector do CEF. |
| Com suporte por | Akamai |
Alcide kAudit
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | alcide_kaudit_activity_1_CL: logs de atividades do Alcide kAudit alcide_kaudit_detections_1_CL: detecções do Alcide kAudit alcide_kaudit_selections_count_1_CL: contagens de atividades do Alcide kAudit alcide_kaudit_selections_details_1_CL: detalhes da atividade do Alcide kAudit |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Guia de instalação do Alcide kAudit |
| Com suporte por | Alcide |
Alsid para Active Directory
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Agente do Log Analytics – logs personalizados Configuração extra para Alsid |
| Tabela(s) do Log Analytics | AlsidForADLog_CL |
| Suporte a DCR | Sem suporte no momento |
| Alias de função do Kusto: | afad_parser |
| URL de função do Kusto: | https://aka.ms/Sentinel-alsidforad-parser |
| Com suporte por | Alsid |
Configuração extra para Alsid
Configurar o servidor Syslog
Primeiro, você precisará de um servidor Syslog do Linux para o qual o Alsid para AD enviará os logs. Geralmente, você pode executar o rsyslog no Ubuntu.
Depois, você pode configurar esse servidor como desejar, mas é recomendável que seja possível gerar logs do AFAD em um arquivo separado. Como alternativa, você pode usar um modelo de início rápido para implantar o servidor Syslog e o agente Microsoft para você. Se você usar o modelo, poderá ignorar as instruções de instalação do agente.
Configurar o Alsid para enviar logs ao servidor Syslog
No portal Alsid para AD, vá paraSistema,Configuração e, em seguida, Syslog. Neste ponto, você pode criar um novo alerta de Syslog para o servidor Syslog.
Depois de criar um novo alerta de Syslog, verifique se os logs foram reunidos corretamente no servidor em um arquivo separado. Por exemplo, para verificar os logs, você pode usar o botão Testar a configuração na configuração de alerta de Syslog no AFAD. Caso tenha usado o modelo de início rápido, por padrão, o servidor Syslog escutará a porta 514 em UDP e 1514 no TCP, sem TLS.
Amazon Web Services
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conectar o Microsoft Azure Sentinel com o Amazon Web Services para ingerir dados de log de serviço do AWS (Artigo do conector superior) |
| Tabela(s) do Log Analytics | AWSCloudTrail |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Amazon Web Services S3 (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conectar o Microsoft Azure Sentinel com o Amazon Web Services para ingerir dados de log de serviço do AWS (Artigo do conector superior) |
| Tabela(s) do Log Analytics | AWSCloudTrail AWSGuardDuty AWSVPCFlow |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Apache HTTP Server
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Agente do Log Analytics – logs personalizados |
| Tabela(s) do Log Analytics | ApacheHTTPServer_CL |
| Suporte a DCR | Sem suporte no momento |
| Alias de função do Kusto: | ApacheHTTPServer |
| URL de função do Kusto: | https://aka.ms/Sentinel-apachehttpserver-parser |
| Arquivo de exemplo de log personalizado: | access.log ou error.log |
Apache Tomcat
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Agente do Log Analytics – logs personalizados |
| Tabela(s) do Log Analytics | Tomcat_CL |
| Suporte a DCR | Sem suporte no momento |
| Alias de função do Kusto: | TomcatEvent |
| URL de função do Kusto: | https://aka.ms/Sentinel-ApacheTomcat-parser |
| Arquivo de exemplo de log personalizado: | access.log ou error.log |
Aruba ClearPass (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | ArubaClearPass |
| URL de função do Kusto: | https://aka.ms/Sentinel-arubaclearpass-parser |
| Documentação do fornecedor/ Instruções de instalação |
Siga as instruções do Aruba para configurar o ClearPass. |
| Com suporte por | Microsoft |
Atlassian Confluence Audit (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST |
| Tabela(s) do Log Analytics | Confluence_Audit_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-confluenceauditapi-functionapp |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Alias de função do Kusto | ConfluenceAudit |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-confluenceauditapi-parser |
| Configurações de aplicativo | |
| Com suporte por | Microsoft |
Atlassian JIRA Audit (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST |
| Tabela(s) do Log Analytics | Jira_Audit_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-jiraauditapi-functionapp |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Alias de função do Kusto | JiraAudit |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-jiraauditapi-parser |
| Configurações de aplicativo | |
| Com suporte por | Microsoft |
Azure Active Directory
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conectar dados do Azure Active Directory ao Microsoft Sentinel (Artigo do conector superior) |
| Pré-requisitos de licença/ Informações de custo |
Podem ser aplicados outros encargos |
| Tabela(s) do Log Analytics | SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Azure Active Directory Identity Protection
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API |
| Pré-requisitos de licença/ Informações de custo |
Assinatura Azure AD Premium P2 Podem ser aplicados outros encargos |
| Tabela(s) do Log Analytics | SecurityAlert |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Observação
Esse conector foi projetado para importar somente os alertas cujo status é "aberto". Os alertas que foram fechados no Azure AD Identity Protection não serão importados para o Microsoft Sentinel.
Atividades do Azure
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy Atualizar para o novo conector de atividade do Azure |
| Tabela(s) do Log Analytics | AzureActivity |
| Suporte a DCR | Sem suporte no momento |
| Com suporte por | Microsoft |
Atualizar para o novo conector de atividade do Azure
Alterações da estrutura dos dados
Esse conector alterou seu mecanismo de back-end recentemente para coletar eventos do log de atividades. Agora ele está usando o pipeline de configurações de diagnóstico. Se você ainda estiver usando o método herdado para esse conector, é altamente recomendável atualizar para a nova versão, que fornece funcionalidade melhor e maior consistência com os logs de recursos. Confira as instruções abaixo.
O método de configurações de diagnóstico envia os mesmos dados que o método herdado enviou do serviço de log de atividades, embora tenha havido algumas alterações na estrutura da tabela AzureActivity.
Eis algumas das principais melhorias resultantes da mudança para o pipeline de configurações de diagnóstico:
- Latência de ingestão aprimorada (ingestão de eventos dentro de 2-3 minutos de ocorrência em vez de 15-20 minutos).
- Melhor confiabilidade.
- Melhor desempenho.
- Suporte para todas as categorias de eventos registrados pelo serviço do log de atividades (o mecanismo herdado dá suporte apenas a um subconjunto, por exemplo, não há suporte para eventos de Integridade do Serviço).
- Gerenciamento em escala com o Azure Policy.
Confira a Documentação do Azure Monitor para obter um tratamento mais aprofundado do Log de atividades do Azure e o pipeline de configurações de diagnóstico.
Desconectar do pipeline antigo
Antes de configurar o novo conector do Log de atividades do Azure, você deve desconectar as assinaturas existentes do método herdado.
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados. Na lista de conectores, selecione Atividade do Azure e clique no botão Abrir página do conector no canto inferior direito.
Na guia Instruções, na seção Configuração, na etapa 1, examine a lista de suas assinaturas existentes que estão conectadas ao método herdado (para que você saiba quais adicionar ao novo) e desconecte-as de uma só vez clicando no botão Desconectar tudo abaixo.
Continue configurando o novo conector com as instruções vinculadas na tabela acima.
Proteção contra DDoS do Azure
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico |
| Pré-requisitos de licença/ Informações de custo |
Podem ser aplicados outros encargos |
| Tabela(s) do Log Analytics | AzureDiagnostics |
| Suporte a DCR | Sem suporte no momento |
| Diagnóstico recomendado | DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports |
| Com suporte por | Microsoft |
Azure Defender
Consulte Microsoft Defender para Nuvem.
Firewall do Azure
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico |
| Tabela(s) do Log Analytics | AzureDiagnostics |
| Suporte a DCR | Sem suporte no momento |
| Diagnóstico recomendado | AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy |
| Com suporte por | Microsoft |
Azure Information Protection (Visualização)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure |
| Tabela(s) do Log Analytics | InformationProtectionLogs_CL |
| Suporte a DCR | Sem suporte no momento |
| Com suporte por | Microsoft |
Observação
O conector de Proteção de Informações do Azure (AIP) usa o recurso logs de auditoria da AIP (versão prévia pública). A partir de 18 de março de 2022, estamos ressalvando a visualização pública dos logs de auditoria e análise da AIP, e avançaremos usando a solução de Microsoft 365 auditoria. A baixa completa está agendada para 30 de setembro de 2022.
Para obter mais informações, confira Remover e desativar serviços.
Cofre de Chave do Azure
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy |
| Tabela(s) do Log Analytics | KeyVaultData |
| Suporte a DCR | Sem suporte no momento |
| Com suporte por | Microsoft |
AKS (Serviço de Kubernetes do Azure)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy |
| Tabela(s) do Log Analytics | kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler cluster-autoscaler guard |
| Suporte a DCR | Sem suporte no momento |
| Com suporte por | Microsoft |
Microsoft Purview
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico Para obter mais informações, consulte Tutorial: Integrar o Microsoft Sentinel e o Microsoft Purview. |
| Tabela(s) do Log Analytics | PurviewDataSensitivityLogs |
| Suporte a DCR | Sem suporte no momento |
| Com suporte por | Microsoft |
Bancos de Dados SQL do Azure
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico, gerenciadas pelo Azure Policy Também disponível no SQL do Azure e Microsoft Sentinel para soluções SQL PaaS |
| Tabela(s) do Log Analytics | SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics Errors DatabaseWaitStatistics Tempos limite Blocos Deadlocks Basic InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit |
| Suporte a DCR | Sem suporte no momento |
| Com suporte por | Microsoft |
Conta de Armazenamento do Azure
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico Observações sobre a definição de configurações de diagnóstico da conta de armazenamento |
| Tabela(s) do Log Analytics | StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs |
| Diagnóstico recomendado | Recurso da conta Recursos de blob/fila/tabela/arquivo |
| Suporte a DCR | Sem suporte no momento |
| Com suporte por | Microsoft |
Observações sobre a definição de configurações de diagnóstico da conta de armazenamento
O recurso de conta de armazenamento (pai) tem, dentro dele, outros recursos (filho) para cada tipo de armazenamento: arquivos, tabelas, filas e blobs.
Ao configurar o diagnóstico para uma conta de armazenamento, você deve selecionar e configurar:
- O recurso da conta pai, exportando a métrica Transação.
- Cada um dos recursos do tipo de armazenamento filho, exportando todos os logs e métricas (confira a tabela acima).
Você verá apenas os tipos de armazenamento para os quais realmente definiu recursos.
WAF (Firewall do Aplicativo Web) do Azure
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em configurações de diagnóstico |
| Tabela(s) do Log Analytics | AzureDiagnostics |
| Suporte a DCR | Sem suporte no momento |
| Diagnóstico recomendado | Gateway de Aplicativo Front Door Política do WAF da CDN |
| Com suporte por | Microsoft |
Firewall do Barracuda CloudGen
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | CGFWFirewallActivity |
| URL de função do Kusto: | https://aka.ms/Sentinel-barracudacloudfirewall-function |
| Documentação do fornecedor/ Instruções de instalação |
https://aka.ms/Sentinel-barracudacloudfirewall-connector |
| Com suporte por | Barracuda |
WAF do Barracuda
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog (Barracuda) Barracuda_CL |
| Documentação do fornecedor/ Instruções de instalação |
https://aka.ms/asi-barracuda-connector |
| Com suporte por | Barracuda |
Consulte as instruções do Barracuda - observe as instalações atribuídas para os diferentes tipos de logs e certifique-se de adicioná-las à configuração padrão do Syslog.
BETTER Mobile Threat Defense (MTD) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Documentação do BETTER MTD Configuração da Política de Ameaças, a qual define os incidentes relatados ao Microsoft Sentinel:
|
| Com suporte por | Better Mobile |
Beyond Security beSECURE
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Acesse o menu Integração:
|
| Com suporte por | Beyond Security |
BlackBerry CylancePROTECT (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | CylancePROTECT |
| URL de função do Kusto: | https://aka.ms/Sentinel-cylanceprotect-parser |
| Documentação do fornecedor/ Instruções de instalação |
Guia do Syslog do Cylance |
| Com suporte por | Microsoft |
Broadcom Symantec Data Loss Prevention (DLP) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | SymantecDLP |
| URL de função do Kusto: | https://aka.ms/Sentinel-symantecdlp-parser |
| Documentação do fornecedor/ Instruções de instalação |
Configurando o log para uma ação do Servidor Syslog |
| Com suporte por | Microsoft |
Ponto de Verificação
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog Disponível na solução Check Point |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Exportador de log – exportar o log do Check Point |
| Com suporte por | Check Point |
Cisco ASA
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog Disponível na solução Cisco ASA |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Guia de Configuração da CLI da Cisco ASA Series |
| Com suporte por | Microsoft |
Cisco Firepower eStreamer (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog Configuração extra para Cisco Firepower eStreamer |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Guia de operações do eStreamer eNcore para Sentinel |
| Com suporte por | Cisco |
Configuração extra para Cisco Firepower eStreamer
Instalar o cliente Firepower eNcore
Instale e configure o cliente Firepower eNcore eStreamer. Para obter mais informações, consulte o guia de instalação completo da Cisco.Baixar o Conector Firepower do GitHub
Baixe a versão mais recente do conector Firepower eNcore para Microsoft Sentinel do Repositório GitHub da Cisco. Caso planeje usar o python3, use o conector python3 eStreamer.Criar um arquivo pkcs12 usando o Endereço IP do Azure/VM
Crie um certificado pkcs12 usando o IP público da instância de VM no Firepower, em Sistema > Integração > eStreamer. Para obter mais informações, confira o guia de instalação.Testar a conectividade entre o Cliente Azure/VM e o FMC
Copie o arquivo pkcs12 do FMC para a instância do Azure/VM e execute o utilitário de teste (./encore.sh test) para garantir que uma conexão possa ser estabelecida. Para obter mais informações, confira o guia de instalação.Configurar o eNcore para transmitir dados ao agente
Configure o eNcore para transmitir dados via TCP para o agente do Log Analytics. Essa configuração deve ser habilitada por padrão, mas portas adicionais e protocolos de streaming podem ser configurados dependendo da postura de segurança de rede. Também é possível salvar os dados no sistema de arquivos. Para obter mais informações, confira Configurar o eNcore.
Cisco Meraki (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog Disponível na solução Cisco ISE |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | CiscoMeraki |
| URL de função do Kusto: | https://aka.ms/Sentinel-ciscomeraki-parser |
| Documentação do fornecedor/ Instruções de instalação |
Documentação do Meraki Device Reporting |
| Com suporte por | Microsoft |
Cisco Umbrella (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Disponível na solução Cisco Umbrella |
| Tabela(s) do Log Analytics | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Alias de função do Kusto | Cisco_Umbrella |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-ciscoumbrella-function |
| Configurações de aplicativo | |
| Com suporte por | Microsoft |
Cisco UCS (Unified Computing System) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | CiscoUCS |
| URL de função do Kusto: | https://aka.ms/Sentinel-ciscoucs-function |
| Documentação do fornecedor/ Instruções de instalação |
Configurar o Syslog para o Cisco UCS – Cisco |
| Com suporte por | Microsoft |
Citrix Analytics (Segurança)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | CitrixAnalytics_SAlerts_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Conectar Citrix ao Microsoft Sentinel |
| Com suporte por | Citrix Systems |
Citrix WAF (Web App Firewall) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Para configurar o WAF, confira a WIKI de suporte – Configuração WAF com NetScaler. Para configurar logs de CEF, confira Suporte ao log de CEF no firewall do aplicativo. Para encaminhar os logs para o proxy, confira Configurar o dispositivo Citrix ADC para log de auditoria. |
| Com suporte por | Citrix Systems |
Cognni (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | CognniIncidents_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Conectar-se com o Cognni
|
| Com suporte por | Cognni |
Monitoramento contínuo de ameaças para SAP (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Disponível somente depois de instalar a solução Monitoramento contínuo de ameaças para SAP |
| Tabela(s) do Log Analytics | Confira Referência de dados da solução SAP do Microsoft Sentinel |
| Documentação do fornecedor/ Instruções de instalação |
Implantar o monitoramento contínuo de ameaças do SAP |
| Com suporte por | Microsoft |
Eventos do EPV (Enterprise Password Vault) da CyberArk (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Aplicativos SIEM (Gerenciamento de informações e eventos de segurança) |
| Com suporte por | CyberArk |
Logs de segurança do Cyberpion (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | CyberpionActionItems_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Obter a assinatura do Cyberpion Integrar alertas de segurança do Cyberpion ao Microsoft Sentinel |
| Com suporte por | Cyberpion |
DNS (Versão Prévia)
Confira Servidor DNS do Windows (Versão prévia).
Dynamics 365
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API Também disponível como parte da solução 4 Dynamics 365 do Microsoft Sentinel |
| Pré-requisitos de licença/ Informações de custo |
Podem ser aplicados outros encargos |
| Tabela(s) do Log Analytics | Dynamics365Activity |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
ESET Enterprise Inspector (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Criar um usuário de API |
| Tabela(s) do Log Analytics | ESETEnterpriseInspector_CL |
| Suporte a DCR | Sem suporte no momento |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | Implantação de clique simples via modelo do ARM (Azure Resource Manager) |
| Com suporte por | ESET |
Criar um usuário de API
- Faça login no ESET Security Management Center/Console do ESET PROTECT com uma conta de administrador, selecione a guia Mais e a subguia Usuários.
- Selecione o botão ADICIONAR NOVO e adicione um usuário nativo.
- Crie um novo usuário para a conta de API. Opcional: selecione um Grupo inicial diferente de Todos para limitar quais detecções são ingeridas.
- Na guia Conjuntos de permissões, atribua o conjunto de permissões do Revisor do Enterprise Inspector.
- Faça logoff da conta de administrador e faça logon no console com as novas credenciais de API para validação e depois faça logoff da conta de API.
ESET SMC (Security Management Center) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog Configurar os logs do ESET SMC a serem coletados Configurar o agente do OMS para passar dados do Eset SMC no formato de API Alterar a configuração do agente do OMS para capturar a marca oms.api.eset e analisar os dados estruturados Desabilitar a configuração automática e reiniciar o agente |
| Tabela(s) do Log Analytics | eset_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Documentação do servidor Syslog do ESET |
| Com suporte por | ESET |
Configurar os logs do ESET SMC a serem coletados
Configurar o rsyslog para aceitar logs do seu endereço IP do Eset SMC.
sudo -i
# Set ESET SMC source IP address
export ESETIP={Enter your IP address}
# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-remote.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $ESETIP
\$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning @127.0.0.1:25224
EOF
# Restart rsyslog
systemctl restart rsyslog
Configurar o agente do OMS para passar dados do Eset SMC no formato de API
Para reconhecer facilmente os dados do Eset, envie-os por push para uma tabela separada e analise-os no agente para simplificar e acelerar a consulta do Microsoft Sentinel.
No arquivo /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf, modifique a seção match oms.** para enviar dados como objetos de API alterando o tipo para out_oms_api.
O item a seguir é um exemplo da seção match oms.** completa:
<match oms.** docker.**>
type out_oms_api
log_level info
num_threads 5
run_in_background false
omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
buffer_chunk_limit 15m
buffer_type file
buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
buffer_queue_limit 10
buffer_queue_full_action drop_oldest_chunk
flush_interval 20s
retry_limit 10
retry_wait 30s
max_retry_wait 9m
</match>
Alterar a configuração do agente do OMS para capturar a marca oms.api.eset e analisar os dados estruturados
Modificar o arquivo /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf.
Por exemplo:
<source>
type syslog
port 25224
bind 127.0.0.1
protocol_type udp
tag oms.api.eset
</source>
<filter oms.api.**>
@type parser
key_name message
format /(?<message>.*?{.*})/
</filter>
<filter oms.api.**>
@type parser
key_name message
format json
</filter>
Desabilitar a configuração automática e reiniciar o agente
Por exemplo:
# Disable changes to configuration files from Portal
sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
# Restart agent
sudo /opt/microsoft/omsagent/bin/service_control restart
# Check agent logs
tail -f /var/opt/microsoft/omsagent/log/omsagent.log
Configurar o Eset SMC para enviar logs ao conector
Configure os logs do Eset usando o estilo BSD e o formato JSON.
- Vá para a configuração do servidor Syslog configurar o Host (seu conector), o Formato BSD e o Transporte TCP
- Vá para a seção Registrar em log e habilite o JSON
Para obter mais informações, confira a documentação do Eset.
Exabeam Advanced Analytics (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | ExabeamEvent |
| URL de função do Kusto: | https://aka.ms/Sentinel-Exabeam-parser |
| Documentação do fornecedor/ Instruções de instalação |
Configurar notificações de atividade do sistema de análise avançada |
| Com suporte por | Microsoft |
ExtraHop Reveal(x)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Conector SIEM de detecção de ExtraHop |
| Com suporte por | ExtraHop |
F5 BIG-IP
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Integrar o F5 BIG-IP com o Microsoft Sentinel |
| Com suporte por | Redes F5 |
Redes F5 (ASM)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Configurar o Log de eventos de segurança do aplicativo |
| Com suporte por | Redes F5 |
Forcepoint CASB (Cloud Access Security Broker) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Forcepoint CASB e Microsoft Sentinel |
| Com suporte por | Forcepoint |
Forcepoint CSG (Cloud Security Gateway) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Forcepoint Cloud Security Gateway e Microsoft Sentinel |
| Com suporte por | Forcepoint |
Forcepoint DLP (Data Loss Prevention) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | ForcepointDLPEvents_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Forcepoint Data Loss Prevention e Microsoft Sentinel |
| Com suporte por | Forcepoint |
Forcepoint NGFW (Next Generation Firewall) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Forcepoint Next-Gen Firewall e Microsoft Sentinel |
| Com suporte por | Forcepoint |
ForgeRock CAUD (Common Audit) para CEF (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Instale isso primeiro! ForgeRock CAUD (Common Audit) para o Microsoft Sentinel |
| Com suporte por | ForgeRock |
Fortinet
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog Enviar logs da Fortinet para o encaminhador de log Disponível na solução Fortinet Fortigate |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Biblioteca de documentos da Fortinet Escolha sua versão e use os PDFs do Manual e da Referência de mensagem de log. |
| Com suporte por | Fortinet |
Enviar logs da Fortinet para o encaminhador de log
Abra a CLI no seu dispositivo Fortinet e execute os seguintes comandos:
config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end
- Substitua o endereço IP do servidor pelo endereço IP do encaminhador de logs.
- Defina a porta syslog para 514 ou para a porta definida no daemon do Syslog no encaminhador.
- Para habilitar o CEF nas versões iniciais do FortiOS, talvez seja necessário executar o conjunto de comando desabilitar CSV.
GitHub (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel Disponível somente depois de instalar a solução Monitoramento contínuo de ameaças para GitHub. |
| Tabela(s) do Log Analytics | GitHubAuditLogPolling_CL |
| Suporte a DCR | Sem suporte no momento |
| Credenciais da API | Token de acesso do GitHub |
| Instruções de implantação do conector | Configuração extra para o GitHub conector |
| Com suporte por | Microsoft |
Configuração extra para o GitHub conector
Pré-requisito: você deve ter uma conta corporativa do GitHub e uma organização acessível para se conectar ao GitHub do Microsoft Sentinel.
Instale o Monitoramento contínuo de ameaças para GitHub no workspace do Microsoft Sentinel. Para obter mais informações, confira Descobrir e implantar centralmente soluções e conteúdo pronto para uso do Microsoft Sentinel (versão prévia).
Crie um token de acesso pessoal do GitHub para uso no conector do Microsoft Sentinel. Para obter mais informações, consulte a documentação do GitHub relevante.
Na área Conectores de dados do Microsoft Sentinel, pesquise e localize o conector do GitHub. À direita, selecione a página Abrir página do conector.
Na guia Instruções, na área Configuração, insira os seguintes detalhes:
- Nome da organização: insira o nome da organização à qual você deseja se conectar.
- Chave de API: insira o token de acesso pessoal do GitHub que você criou anteriormente neste procedimento.
Selecione Conexão para começar a ingerir seus logs do GitHub para o Microsoft Sentinel.
Google Workspace (G-Suite) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Configuração extra para a API do Google Reports |
| Tabela(s) do Log Analytics | GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Alias de função do Kusto | GWorkspaceActivityReports |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser |
| Configurações de aplicativo | |
| Com suporte por | Microsoft |
Configuração extra para a API do Google Reports
Adicione http://localhost:8081/ em URIs de redirecionamento autorizado ao criar credenciais de aplicativo Web.
- Siga as instruções para obter o credentials.json.
- Para obter a cadeia de caracteres pickle do Google, execute esse script python (no mesmo caminho do credentials.json).
- Copie a saída da cadeia de caracteres pickle entre aspas simples e salve. Ela será necessária para implantar o Aplicativo de funções.
Illusive AMS (Attack Management System) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Guia do administrador de redes do Illusive |
| Com suporte por | Illusive Networks |
Imperva WAF Gateway (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog Disponível na solução Imperva Cloud WAF |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Etapas para habilitar o registro de alertas do Imperva WAF Gateway ao Microsoft Sentinel |
| Com suporte por | Imperva |
Infoblox NIOS (Network Identity Operating System) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog disponível na solução InfoBlox Threat Defense |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | InfobloxNIOS |
| URL de função do Kusto: | https://aka.ms/sentinelgithubparsersinfoblox |
| Documentação do fornecedor/ Instruções de instalação |
Guia de implantação do NIOS SNMP e Syslog |
| Com suporte por | Microsoft |
Juniper SRX (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | JuniperSRX |
| URL de função do Kusto: | https://aka.ms/Sentinel-junipersrx-parser |
| Documentação do fornecedor/ Instruções de instalação |
Configurar o log de tráfego (logs de política de segurança) para dispositivos de branch do SRX Configurar o log do sistema |
| Com suporte por | Juniper Networks |
Lookout Mobile Threat Defense (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Disponível somente após a instalação da solução Lookout Mobile Threat Defense para o Microsoft Sentinel |
| Tabela(s) do Log Analytics | Lookout_CL |
| Suporte a DCR | Sem suporte no momento |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Com suporte por | Lookout |
Microsoft 365 Defender
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conectar dados do Microsoft 365 Defender com o Microsoft Sentinel (Artigo do conector superior) |
| Pré-requisitos de licença/ Informações de custo |
Licença válida para Microsoft 365 Defender |
| Tabela(s) do Log Analytics | Alertas: SecurityAlert SecurityIncident Defender para eventos do Ponto de Extremidade: DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Defender para eventos do Office 365: EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents Eventos do Defender para Identidade: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents Eventos do Defender para Aplicativos de Nuvem: CloudAppEvents Alertas do Defender como eventos: AlertInfo AlertEvidence |
| Suporte a DCR | Sem suporte no momento |
| Com suporte por | Microsoft |
IRM (Gerenciamento de Risco Interno) do Microsoft 365
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API Também disponível na solução IRM (Gerenciamento de Risco Interno) do Microsoft 365 |
| Licença e outros pré-requisitos |
|
| Tabela(s) do Log Analytics | SecurityAlert |
| Filtro de consulta de dados | SecurityAlert| where ProductName == "Microsoft 365 Insider Risk Management" |
| Com suporte por | Microsoft |
Microsoft Defender para Nuvem
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conectar alertas de segurança do Microsoft Defender para Nuvem (Artigo do conector superior) |
| Tabela(s) do Log Analytics | SecurityAlert |
| Com suporte por | Microsoft |
Microsoft Defender for Cloud Apps
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API Para logs do Cloud Discovery, habilite o Microsoft Sentinel como seu SIEM nos Aplicativos Microsoft Defender para Nuvem |
| Tabela(s) do Log Analytics | SecurityAlert – para alertas McasShadowItReporting – para logs do Cloud Discovery |
| Com suporte por | Microsoft |
Microsoft Defender para ponto de extremidade
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API |
| Pré-requisitos de licença/ Informações de custo |
Validar licença para a implantação do Microsoft Defender para Ponto de Extremidade |
| Tabela(s) do Log Analytics | SecurityAlert |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Microsoft Defender para Identidade
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API |
| Tabela(s) do Log Analytics | SecurityAlert |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Microsoft Defender para IoT
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API |
| Tabela(s) do Log Analytics | SecurityAlert |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Microsoft Defender para Office 365
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API |
| Pré-requisitos de licença/ Informações de custo |
Você deve ter uma licença válida para Office 365 ATP Plan 2 |
| Tabela(s) do Log Analytics | SecurityAlert |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Microsoft Office 365
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API |
| Pré-requisitos de licença/ Informações de custo |
Sua implantação do Office 365 deve estar no mesmo locatário que o seu workspace do Microsoft Sentinel. Podem ser aplicados outros encargos. |
| Tabela(s) do Log Analytics | OfficeActivity |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Microsoft Power BI (Versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API |
| Pré-requisitos de licença/ Informações de custo |
Sua implantação do Office 365 deve estar no mesmo locatário que o seu workspace do Microsoft Sentinel. Podem ser aplicados outros encargos. |
| Tabela(s) do Log Analytics | PowerBIActivity |
| Com suporte por | Microsoft |
Microsoft Project (Versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões com base em API |
| Pré-requisitos de licença/ Informações de custo |
Sua implantação do Office 365 deve estar no mesmo locatário que o seu workspace do Microsoft Sentinel. Podem ser aplicados outros encargos. |
| Tabela(s) do Log Analytics | ProjectActivity |
| Com suporte por | Microsoft |
Microsoft Sysmon para Linux (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Syslog, com analisadores ASIM com base em funções do Kusto |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Morphisec UTPP (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | Morphisec |
| URL de função do Kusto | https://aka.ms/Sentinel-Morphiescutpp-parser |
| Com suporte por | Morphisec |
Netskope (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST |
| Tabela(s) do Log Analytics | Netskope_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-netskope-functioncode |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Alias de função do Kusto | Netskope |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-netskope-parser |
| Configurações de aplicativo | https://<Tenant Name>.goskope.com) |
| Com suporte por | Microsoft |
NGINX HTTP Server (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Agente do Log Analytics – logs personalizados |
| Tabela(s) do Log Analytics | NGINX_CL |
| Suporte a DCR | Sem suporte no momento |
| Alias de função do Kusto: | NGINXHTTPServer |
| URL de função do Kusto | https://aka.ms/Sentinel-NGINXHTTP-parser |
| Documentação do fornecedor/ Instruções de instalação |
Module ngx_http_log_module |
| Arquivo de exemplo de log personalizado: | access.log ou error.log |
| Com suporte por | Microsoft |
NXLog BSM (Basic Security Module) macOS (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | BSMmacOS_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Guia do Usuário do NXLog Microsoft Sentinel |
| Com suporte por | NXLog |
NXLog DNS Logs (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | DNS_Logs_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Guia do Usuário do NXLog Microsoft Sentinel |
| Com suporte por | NXLog |
NXLog LinuxAudit (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | LinuxAudit_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Guia do Usuário do NXLog Microsoft Sentinel |
| Com suporte por | NXLog |
Okta Single Sign-On (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST |
| Tabela(s) do Log Analytics | Okta_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/sentineloktaazurefunctioncodev2 |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Configurações de aplicativo | https://<OktaDomain>/api/v1/logs?since=. Identifique seu namespace de domínio.) |
| Com suporte por | Microsoft |
Onapsis Platform (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog, com uma função de pesquisa e enriquecimento do Kusto Configurar o Onapsis para enviar logs de CEF para o encaminhador de logs |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | incident_lookup |
| URL de função do Kusto | https://aka.ms/Sentinel-Onapsis-parser |
| Com suporte por | Onapsis |
Configurar o Onapsis para enviar logs de CEF para o encaminhador de logs
Confira a ajuda do Onapsis no produto para configurar o encaminhamento de logs do agente de Log Analytics.
- Vá para Configuração > Integrações terceirizadas > Defender Alarmes e seguir as instruções do Microsoft Sentinel.
- Verifique se o Console do Onapsis pode acessar o computador do encaminhador de log onde o agente está instalado. Os logs devem ser enviados para a porta 514 usando o TCP.
One Identity Safeguard (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Guia de administração do One Identity Safeguard for Privileged Sessions |
| Com suporte por | One Identity |
Oracle WebLogic Server (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Agente do Log Analytics – logs personalizados |
| Tabela(s) do Log Analytics | OracleWebLogicServer_CL |
| Suporte a DCR | Sem suporte no momento |
| Alias de função do Kusto: | OracleWebLogicServerEvent |
| URL de função do Kusto: | https://aka.ms/Sentinel-OracleWebLogicServer-parser |
| Documentação do fornecedor/ Instruções de instalação |
Documentação do Oracle WebLogic Server |
| Arquivo de exemplo de log personalizado: | server.log |
| Com suporte por | Microsoft |
Orca Security (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | OrcaAlerts_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Integração do Microsoft Sentinel |
| Com suporte por | Orca Security |
OSSEC (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | OSSECEvent |
| URL de função do Kusto: | https://aka.ms/Sentinel-OSSEC-parser |
| Documentação do fornecedor/ Instruções de instalação |
Documentação do OSSEC Enviar alertas via Syslog |
| Com suporte por | Microsoft |
Redes Palo Alto
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog Também disponível nas soluções Palo Alto PAN-OS e Prisma |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Guias de configuração do CEF (Common Event Format) Configurar o monitoramento do Syslog |
| Com suporte por | Palo Alto Networks |
Perimeter 81 Activity Logs (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | Perimeter81_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Documentação do Perimeter 81 |
| Com suporte por | Perimeter 81 |
Proofpoint On Demand (POD) Email Security (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Também disponível na solução Proofpoint POD |
| Tabela(s) do Log Analytics | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-proofpointpod-functionapp |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Alias de função do Kusto | ProofpointPOD |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-proofpointpod-parser |
| Configurações de aplicativo | |
| Com suporte por | Microsoft |
Proofpoint TAP (Targeted Attack Protection) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Também disponível na solução Proofpoint TAP |
| Tabela(s) do Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/sentinelproofpointtapazurefunctioncode |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Configurações de aplicativo | https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300) |
| Com suporte por | Microsoft |
Pulse Connect Secure (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | PulseConnectSecure |
| URL de função do Kusto: | https://aka.ms/sentinelgithubparserspulsesecurevpn |
| Documentação do fornecedor/ Instruções de instalação |
Configurando Syslog |
| Com suporte por | Microsoft |
Qualys VM KB (KnowledgeBase) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Configuração extra para Qualys VM KB Também disponível na solução Qualys VM |
| Tabela(s) do Log Analytics | QualysKB_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-qualyskb-functioncode |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Alias de função do Kusto | QualysKB |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-qualyskb-parser |
| Configurações de aplicativo | https://<API Server>/api/2.0.&. Sem espaços.) |
| Com suporte por | Microsoft |
Configuração extra para Qualys VM KB
- Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários.
- Selecione o menu suspenso Novo e selecione Usuários.
- Crie um nome de usuário e uma senha para a conta de API.
- Na guia Funções de usuário, verifique se a função da conta está definida como Gerente e que haja permissão de acesso para a GUI e a API
- Faça logoff da conta de administrador e faça logon no console com as novas credenciais de API para validação e depois faça logoff da conta de API.
- Faça logon novamente no console usando uma conta de administrador e modifique as Funções de Usuário das contas de API, removendo o acesso à GUI.
- Salvar todas as alterações.
Qualys VM (Vulnerability Management) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Configuração extra para Qualys VM Implantação manual – depois de configurar o Aplicativo de funções |
| Tabela(s) do Log Analytics | QualysHostDetection_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/sentinelqualysvmazurefunctioncode |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Configurações de aplicativo | https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=.&. Sem espaços.) |
| Com suporte por | Microsoft |
Configuração extra para Qualys VM
- Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários.
- Selecione o menu suspenso Novo e selecione Usuários.
- Crie um nome de usuário e uma senha para a conta de API.
- Na guia Funções de usuário, verifique se a função da conta está definida como Gerente e que haja permissão de acesso para a GUI e a API
- Faça logoff da conta de administrador e faça logon no console com as novas credenciais de API para validação e depois faça logoff da conta de API.
- Faça logon novamente no console usando uma conta de administrador e modifique as Funções de Usuário das contas de API, removendo o acesso à GUI.
- Salvar todas as alterações.
Implantação manual – depois de configurar o Aplicativo de funções
Configurar o arquivo host.json
Devido à grande quantidade em potencial de dados de detecção de host do Qualys que estão sendo ingeridos, é possível que o tempo de execução ultrapasse o tempo limite padrão do Aplicativo de funções de cinco (5) minutos. Aumente a duração do tempo limite padrão para o máximo de dez (10) minutos, no Plano de consumo, para fornecer mais tempo para a execução do Aplicativo de funções.
- No Aplicativo de funções, selecione o nome do Aplicativo de funções e selecione a páginaEditor do Serviço de Aplicativo.
- Selecione Ir para abrir o editor e, em seguida, selecione o arquivo host.json no diretório wwwroot.
- Adicione a linha
"functionTimeout": "00:10:00",acima da linhamanagedDependancy. - Verifique se SALVO aparece no canto superior direito do editor e depois saia do editor.
Se for necessária uma duração de tempo limite maior, cogite atualizar para um Plano do Serviço de Aplicativo.
Salesforce Service Cloud (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST |
| Tabela(s) do Log Analytics | SalesforceServiceCloud_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
Guia do desenvolvedor da API REST do Salesforce Em Configurar autorização, use o método ID da sessão em vez de OAuth. |
| Instruções de implantação do conector | |
| Alias de função do Kusto | SalesforceServiceCloud |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-SalesforceServiceCloud-parser |
| Configurações de aplicativo | |
| Com suporte por | Microsoft |
Eventos de segurança por meio do Agente Herdado (Windows)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas no agente do Log Analytics (herdado) |
| Tabela(s) do Log Analytics | SecurityEvents |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Para obter mais informações, consulte:
- Conjuntos de eventos de segurança do Windows que podem ser enviados para o Microsoft Sentinel
- Configuração de pasta de trabalho de protocolos não seguros
- Eventos de Segurança do Windows via o conector do AMA baseado no AMA (Agente do Azure Monitor)
- Configurar o conector de Eventos de segurança/Eventos de Segurança do Windows para detecção de logon anômalo de RDP.
SentinelOne (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Configuração extra para SentinelOne |
| Tabela(s) do Log Analytics | SentinelOne_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-SentinelOneAPI-functionapp |
| Credenciais da API | https://<SOneInstanceDomain>.sentinelone.net) |
| Documentação do fornecedor/ Instruções de instalação |
<SOneInstanceDomain>.sentinelone.net/api-doc/overview |
| Instruções de implantação do conector | |
| Alias de função do Kusto | SentinelOne |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-SentinelOneAPI-parser |
| Configurações de aplicativo | |
| Com suporte por | Microsoft |
Configuração extra para SentinelOne
Siga as instruções para obter as credenciais.
- Faça logon no Console de gerenciamento do SentinelOne com credenciais do Usuário administrador.
- No Console de gerenciamento, selecione Configurações.
- Na exibição CONFIGURAÇÕES, selecione USUÁRIOS
- Selecione Novo usuário.
- Insira as informações do novo usuário do console.
- Na Função, selecione Administrador.
- Selecione SALVAR.
- Salve as credenciais do novo usuário para usar no conector de dados.
SonicWall Firewall (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Log > Syslog Selecione facility local4 e ArcSight como o formato Syslog. |
| Com suporte por | SonicWall |
Sophos Cloud Optix (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | SophosCloudOptix_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Integrar com o Microsoft Sentinel, pulando a primeira etapa. Exemplos de consulta do Sophos |
| Com suporte por | Sophos |
Sophos XG Firewall (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | SophosXGFirewall |
| URL de função do Kusto: | https://aka.ms/sentinelgithubparserssophosfirewallxg |
| Documentação do fornecedor/ Instruções de instalação |
Adicionar um servidor Syslog |
| Com suporte por | Microsoft |
secRMM da Squadra Technologies
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | secRMM_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Guia do administrador do Microsoft Sentinel do secRMM |
| Com suporte por | Squadra Technologies |
Squid Proxy (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Agente do Log Analytics – logs personalizados |
| Tabela(s) do Log Analytics | SquidProxy_CL |
| Suporte a DCR | Sem suporte no momento |
| Alias de função do Kusto: | SquidProxy |
| URL de função do Kusto | https://aka.ms/Sentinel-squidproxy-parser |
| Arquivo de exemplo de log personalizado: | access.log ou cache.log |
| Com suporte por | Microsoft |
Symantec ICDx (Integrated Cyber Defense Exchange)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel |
| Tabela(s) do Log Analytics | SymantecICDx_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Configurar encaminhadores do Microsoft Sentinel (Log Analytics) |
| Com suporte por | Broadcom Symantec |
Symantec ProxySG (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | SymantecProxySG |
| URL de função do Kusto: | https://aka.ms/sentinelgithubparserssymantecproxysg |
| Documentação do fornecedor/ Instruções de instalação |
Enviar logs de acesso para um servidor Syslog |
| Com suporte por | Microsoft |
Symantec VIP (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | SymantecVIP |
| URL de função do Kusto: | https://aka.ms/sentinelgithubparserssymantecvip |
| Documentação do fornecedor/ Instruções de instalação |
Configurar o Syslog |
| Com suporte por | Microsoft |
Thycotic Secret Server (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Proteger o registro em log do Syslog/CEF |
| Com suporte por | Thycotic |
Deep Security da Trend Micro
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | TrendMicroDeepSecurity |
| URL de função do Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
| Documentação do fornecedor/ Instruções de instalação |
Encaminhar eventos de Deep Security para um servidor Syslog ou SIEM |
| Com suporte por | Trend Micro |
Trend Micro TippingPoint (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog, com um analisador de função do Kusto |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | TrendMicroTippingPoint |
| URL de função do Kusto | https://aka.ms/Sentinel-trendmicrotippingpoint-function |
| Documentação do fornecedor/ Instruções de instalação |
Enviar mensagens Syslog no formato ArcSight CEF Format v4.2. |
| Com suporte por | Trend Micro |
Trend Micro Vision One (XDR) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST |
| Tabela(s) do Log Analytics | TrendMicro_XDR_CL |
| Suporte a DCR | Sem suporte no momento |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | Implantação de clique simples via modelo do ARM (Azure Resource Manager) |
| Com suporte por | Trend Micro |
VMware Carbon Black Endpoint Standard (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST |
| Tabela(s) do Log Analytics | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/sentinelcarbonblackazurefunctioncode |
| Credenciais da API | Nível de acesso da API (para logs de Auditoria e de Eventos): Nível de acesso do SIEM (para eventos de Notificação): |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Configurações de aplicativo | https://<API URL>.conferdeploy.net.) |
| Com suporte por | Microsoft |
VMware ESXi (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | VMwareESXi |
| URL de função do Kusto: | https://aka.ms/Sentinel-vmwareesxi-parser |
| Documentação do fornecedor/ Instruções de instalação |
Habilitar o Syslog no ESXi 3.5 e 4.x Configurar o Syslog em hosts ESXi |
| Com suporte por | Microsoft |
WatchGuard Firebox (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | syslog |
| Tabela(s) do Log Analytics | Syslog |
| Suporte a DCR | DCR de transformação do workspace |
| Alias de função do Kusto: | WatchGuardFirebox |
| URL de função do Kusto: | https://aka.ms/Sentinel-watchguardfirebox-parser |
| Documentação do fornecedor/ Instruções de instalação |
Guia de Integração do Microsoft Sentinel |
| Com suporte por | Tecnologias WatchGuard |
WireX Network Forensics Platform (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Entre em contato com o suporte da WireX para configurar sua solução NFP para enviar mensagens do Syslog no formato CEF. |
| Com suporte por | WireX Systems |
Servidor DNS do Windows (Versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas no agente do Log Analytics (herdado) |
| Tabela(s) do Log Analytics | DnsEvents DnsInventory |
| Suporte a DCR | DCR de transformação do workspace |
| Com suporte por | Microsoft |
Solução de problemas do conector de dados do servidor DNS do Windows
Se os eventos do DNS não aparecerem no Microsoft Sentinel:
- Certifique-se de que os logs de análise de DNS em seus servidores estão habilitados.
- Vá para a Análise de DNS do Azure.
- Na área Configuração, altere qualquer uma das configurações e salve as alterações. Altere as configurações novamente se necessário e salve as alterações novamente.
- Verifique sua Análise de DNS do Azure para verificar se os eventos e consultas são exibidos corretamente.
Para obter mais informações, consulte Coletar insights sobre sua infraestrutura DNS com a solução Análise de DNS versão prévia.
Eventos Encaminhados do Windows (Versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em agente do Azure Monitor Instruções adicionais para implantar o conector de Eventos Encaminhados do Windows |
| Pré-requisitos | Você deve ter a WEC (Coleção de Eventos do Windows) habilitada e em execução. Instale o Agente do Azure Monitor no computador da WEC. |
| prefixo de consultas xPath | "ForwardedEvents!*" |
| Tabela(s) do Log Analytics | WindowsEvents |
| Suporte a DCR | DCR Standard |
| Com suporte por | Microsoft |
Instruções adicionais para implantar o conector de Eventos Encaminhados do Windows
É recomendável instalar os analisadores do ASIM (Modelo de Informações de Segurança Avançado) para garantir o suporte completo à normalização de dados. Você pode implantar esses analisadores do Azure-Sentinelrepositório de GitHub usando o botão Implantar no Azure localizado nele.
Firewall do Windows
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas no agente do Log Analytics (herdado) |
| Tabela(s) do Log Analytics | WindowsFirewall |
| Com suporte por | Microsoft |
Eventos de Segurança do Windows via AMA
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Integração de serviço a serviço do Azure: Conexões baseadas em agente do Azure Monitor |
| prefixo de consultas xPath | "Security!*" |
| Tabela(s) do Log Analytics | SecurityEvents |
| Suporte a DCR | DCR Standard |
| Com suporte por | Microsoft |
Consulte também Eventos de segurança via o conector do agente herdado.
Configurar o conector de Eventos de segurança/Eventos de Segurança do Windows para detecção de logon anômalo de RDP
Importante
A detecção de logon de RDP anômala está atualmente na visualização pública. Esse recurso é fornecido sem um Contrato de Nível de Serviço e não é recomendado para cargas de trabalho de produção. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.
O Microsoft Sentinel pode aplicar o ML (aprendizado de máquina) aos dados de eventos de segurança para identificar a atividade de logon de protocolo RDP anômala. Os cenários incluem:
IP incomum: o endereço IP raramente ou nunca foi observado nos últimos 30 dias
Localização geográfica incomum: o endereço IP, a cidade, o país e o ASN raramente ou nunca foram observados nos últimos 30 dias
Novo usuário: um novo usuário faz logon por meio de um endereço IP e localização geográfica, e não se esperava que ambos ou um deles fosse(m) visto(s) com base nos dados dos 30 dias anteriores.
Instruções de configuração
Você precisa estar coletando dados de logon de RDP (ID do evento 4624) por meio dos conectores de dados de Eventos de segurança ou Eventos de Segurança do Windows. Verifique se você selecionou um conjunto de eventos além de "Nenhum" ou criou uma regra de coleta de dados que inclui essa ID de evento para transmiti-la para o Microsoft Sentinel.
No portal do Microsoft Sentinel, selecione Análise e, em seguida, selecione a guia Modelos de regra. Escolha a regra Detecção de logon de RDP anômala (versão prévia) e mova o controle deslizante Status para Habilitado.
Observação
Como o algoritmo de machine learning exige um valor de dados de 30 dias para criar um perfil de linha de base de comportamento do usuário, você precisa permitir que 30 dias de dados de Eventos de segurança do Windows sejam coletados antes que qualquer incidente possa ser detectado.
Workplace from Facebook (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST Configurar webhooks Adicionar a URL de retorno de chamada à configuração do Webhook |
| Tabela(s) do Log Analytics | Workplace_Facebook_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-WorkplaceFacebook-functionapp |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Alias de função do Kusto | Workplace_Facebook |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-WorkplaceFacebook-parser |
| Configurações de aplicativo | |
| Com suporte por | Microsoft |
Configurar webhooks
- Faça logon no Workplace com credenciais de Usuário administrador.
- No painel do administrador, selecione Integrações.
- Na exibição Todas as integrações, selecione Criar integração personalizada.
- Insira o nome e a descrição e selecione Criar.
- No painel Detalhes da integração, mostre o segredo do aplicativo e copie-o.
- No painel Permissões de integração, defina todas as permissões de leitura. Confira a página de permissão para obter detalhes.
Adicionar a URL de retorno de chamada à configuração do Webhook
- Abra a página Aplicativo de funções e vá para a lista Funções, selecione Obter a URL de função e copie-a.
- Volte ao Workplace from Facebook. No painel Configurar webhooks, em cada guia, defina a URL de chamada de retorno como a URL de função que você copiou na última etapa e o Token de verificação como o mesmo valor recebido durante a implantação automática ou inserido durante a implantação manual.
- Selecione Salvar.
Zimperium Mobile Thread Defense (versão prévia)
O conector de dados do Zimperium Mobile Threat Defense conecta o log de ameaças do Zimperium ao Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar a investigação. Esse conector proporciona mais insights sobre o panorama de ameaças móveis da sua organização e aprimora suas funcionalidades de operação de segurança.
Para obter mais informações, consulte Conectar Zimperium ao Microsoft Sentinel.
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | API do coletor de dados do Microsoft Sentinel Configurar e conectar o Zimperium MTD |
| Tabela(s) do Log Analytics | ZimperiumThreatLog_CL ZimperiumMitigationLog_CL |
| Suporte a DCR | Sem suporte no momento |
| Documentação do fornecedor/ Instruções de instalação |
Portal de suporte ao cliente do Zimperium (logon obrigatório) |
| Com suporte por | Zimperium |
Configurar e conectar o Zimperium MTD
- No zConsole, selecione Gerenciar na barra de navegação.
- Selecione a guia Integrações.
- Selecione o botão Relatório de Ameaças e no botão Adicionar Integrações.
- Crie a integração:
- Nas integrações disponíveis, selecione Microsoft Sentinel.
- Insira a ID do workspace e a chave primária, selecione Avançar.
- Preencha um nome para a integração do Microsoft Sentinel.
- Selecione um Nível de filtro para os dados de ameaça que você deseja enviar por push ao Microsoft Sentinel.
- Selecione Concluir.
Zoom Reports (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Azure Functions e a API REST |
| Tabela(s) do Log Analytics | Zoom_CL |
| Suporte a DCR | Sem suporte no momento |
| Código do Aplicativo de Funções do Azure | https://aka.ms/Sentinel-ZoomAPI-functionapp |
| Credenciais da API | |
| Documentação do fornecedor/ Instruções de instalação |
|
| Instruções de implantação do conector | |
| Alias de função do Kusto | Zoom |
| URL de função do Kusto/ Instruções de configuração do analisador |
https://aka.ms/Sentinel-ZoomAPI-parser |
| Configurações de aplicativo | |
| Com suporte por | Microsoft |
Zscaler
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | CEF (Formato Comum de Evento) via Syslog |
| Tabela(s) do Log Analytics | CommonSecurityLog |
| Suporte a DCR | DCR de transformação do workspace |
| Documentação do fornecedor/ Instruções de instalação |
Guia de implantação do Zscaler e do Microsoft Sentinel |
| Com suporte por | Zscaler |
ZPA (Zscaler Private Access) (versão prévia)
| Atributo do conector | Description |
|---|---|
| Método de ingestão de dados | Agente do Log Analytics – logs personalizados Configuração extra do Zscaler Private Access |
| Tabela(s) do Log Analytics | ZPA_CL |
| Suporte a DCR | Sem suporte no momento |
| Alias de função do Kusto: | ZPAEvent |
| URL de função do Kusto | https://aka.ms/Sentinel-zscalerprivateaccess-parser |
| Documentação do fornecedor/ Instruções de instalação |
Documentação do Zscaler Private Access Também veja abaixo |
| Com suporte por | Microsoft |
Configuração extra do Zscaler Private Access
Siga as etapas de configuração abaixo para obter logs do Zscaler Private Access no Microsoft Sentinel. Para obter mais informações, consulte a Documentação do Azure Monitor. Os logs do Zscaler Private Access são fornecidos por meio do LSS (Serviço de streaming de log). Confira a documentação do LSS para obter informações detalhadas.
Configurar Recebedores de log. Enquanto o Recebedor de log é recebido, escolha JSON como Modelo de log.
Baixar o arquivo de configuração zpa.conf.
wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.confEntre no servidor em que você instalou o agente do Log Analytics do Azure.
Copie zpa.conf na pasta /etc/opt/microsoft/omsagent/
workspace_id/conf/omsagent.d/.Edite o zpa.conf da seguinte maneira:
- Especifique a porta que você definiu para que os Receptores de log do Zscaler encaminhem os logs (linha 4)
- Substitua
workspace_idpelo valor real da sua ID do Workspace (linhas 14,15,16,19)
Salve as alterações e reinicie o agente do Azure Log Analytics para serviços Linux com o comando a seguir:
sudo /opt/microsoft/omsagent/bin/service_control restart
Você encontra o valor da sua ID do workspace na página do conector do ZScaler Private Access ou na página de gerenciamento dos seus agentes de workspace do Log Analytics.
Próximas etapas
Para obter mais informações, consulte: