Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo conectarse a Microsoft Sentinel mediante conexiones de ajustes de diagnóstico. Microsoft Sentinel usa la base de Azure para proporcionar compatibilidad integrada de servicio a servicio para la ingesta de datos de muchos servicios de Azure y Microsoft 365, Amazon Web Services y varios servicios de Windows Server. Estas conexiones se establecen mediante varios métodos diferentes.
En este artículo se presenta información común al grupo de conectores de datos que usan conexiones basadas en la configuración de diagnóstico. Algunos de estos tipos de conectores se administran mediante Azure Policy. Para los demás conectores de este tipo, use las instrucciones independientes.
Nota
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de EE. UU., consulte las tablas de Microsoft Sentinel en Disponibilidad de características de Cloud para los clientes de la Administración Pública de ESTADOS Unidos.
Requisitos previos
Para ingerir datos en Microsoft Sentinel mediante un conector independiente basado en la configuración de diagnóstico, debe tener permisos de lectura y escritura en el área de trabajo de Log Analytics habilitada para Microsoft Sentinel.
Para ingerir datos en Microsoft Sentinel mediante conectores basados en la configuración de diagnóstico administrados por Azure Policy, también debe tener los siguientes requisitos previos:
Para usar Azure Policy para aplicar una directiva de transmisión de registros a sus recursos, debe tener el rol Propietario para el ámbito de asignación.
Los siguientes requisitos previos, en función del conector que use:
Conector de datos Licencias, costos y otra información Actividad de Azure Este conector ahora utiliza la canalización de ajustes de diagnóstico. Si usa el método heredado, debe desconectar las suscripciones existentes del método heredado antes de configurar el nuevo conector de registro de actividad de Azure.
1. En el menú de navegación de Microsoft Sentinel, seleccione conectores de datos. En la lista de conectores, seleccione Azure Activity y, a continuación, seleccione el botón Abrir página del conector situado en la esquina inferior derecha.
2. En la pestaña Instrucciones, en la sección Configuración, en el paso 1, revise la lista de suscripciones existentes que están conectadas al método heredado y desconéctelas todas a la vez haciendo clic en el botón Desconectar todo que aparece a continuación.
3. Siga configurando el nuevo conector con las instrucciones de esta sección.Azure DDoS Protection - Configurado plan de protección estándar DDoS de Azure.
- Red virtual configurada con Azure DDoS Standard habilitado
- Es posible que se apliquen cargos adicionales.
- El Status para Azure DDoS Protection Data Connector cambia a Connected solo cuando los recursos protegidos están bajo un ataque DDoS.Cuenta de Almacenamiento de Azure El recurso de cuenta de almacenamiento (primario) contiene otros recursos (secundarios) para cada tipo de almacenamiento: archivos, tablas, colas y blobs. Al configurar diagnósticos para una cuenta de almacenamiento, debe seleccionar y configurar lo siguiente:
- El recurso de la cuenta principal, que exporta la métrica de transacción.
- Cada uno de los recursos de tipo de almacenamiento secundario, y exportar todos los registros y las métricas.
Solo verá los tipos de almacenamiento para los que realmente ha definido recursos.
La conexión se realiza mediante un conector autónomo basado en la configuración de diagnóstico.
En este procedimiento se describe cómo conectarse a Microsoft Sentinel mediante conectores de datos que usan conexiones independientes basadas en la configuración de diagnóstico.
En el menú de navegación de Microsoft Sentinel, seleccione conectores Data.
Seleccione el tipo de recurso en la galería de conectores de datos y, luego, seleccione Open Connector Page (Abrir página del conector) en el panel de vista previa.
En la sección Configuration (Configuración) de la página del conector, seleccione el vínculo para abrir la página de configuración del recurso.
Si aparece una lista de recursos del tipo deseado, seleccione el vínculo de un recurso cuyos registros quiera ingerir.
Desde el menú de navegación del recurso, seleccione Configuración de diagnóstico.
Seleccione + Agregar configuración de diagnóstico al final de la lista.
En la pantalla Configuración de diagnóstico, escriba un nombre en el campo Nombre de la configuración de diagnóstico.
Marque la casilla Enviar a Log Analytics. Se muestran dos nuevos campos debajo. Elija la suscripción relevante y espacio de trabajo de análisis de registros (donde reside Microsoft Sentinel).
Active las casillas de los tipos de registros y métricas que quiera recopilar. Vea las opciones recomendadas para cada tipo de recurso en la sección del conector del recurso en la página Referencia de conectores de datos.
En la parte superior de la pantalla, seleccione Guardar.
Para obtener más información, consulte también Crear configuración de diagnóstico para enviar registros y métricas de Azure Monitor plataforma a diferentes destinos en la documentación de Azure Monitor.
Conéctese mediante un conector basado en una configuración de diagnóstico gestionada por Azure Policy
En este procedimiento se describe cómo conectarse a Microsoft Sentinel mediante conectores de datos que usan conexiones basadas en la configuración de diagnóstico y que se administran mediante Azure Policy.
Los conectores de este tipo usan Azure Policy para aplicar una configuración de diagnóstico única a una colección de recursos de un solo tipo, definido como ámbito. Puede ver los tipos de registro ingeridos desde un tipo de recurso concreto en el lado izquierdo de la página del conector para ese recurso, en Tipos de datos.
En el menú de navegación de Microsoft Sentinel, seleccione conectores Data.
Seleccione el tipo de recurso en la galería de conectores de datos y, luego, seleccione Open Connector Page (Abrir página del conector) en el panel de vista previa.
En la sección Configuration de la página del conector, expanda cualquier sección desplegable que vea allí y seleccione el asistente para la asignación de políticas de Azure.
Se abre el asistente para la asignación de directivas, listo para crear una directiva, con un nombre de directiva rellenado previamente.
En la pestaña Datos básicos, seleccione el botón con los tres puntos debajo de Ámbito para elegir la suscripción (y, opcionalmente, un grupo de recursos). También puede agregar una descripción.
En la pestaña Parámetros:
- Desactive la casilla Solo mostrar parámetros que requieren entrada.
- Si ve los campos Efecto y Nombre de configuración, déjelos como están.
- Elija el área de trabajo de Microsoft Sentinel en la lista desplegable del área de trabajo de Log Analytics.
- Los campos desplegables restantes representan los tipos de registro de diagnóstico disponibles. Deje marcados en True todos los tipos de registro que quiera procesar.
La directiva se aplicará a los recursos agregados en el futuro. Para aplicar la directiva también a los recursos existentes, seleccione la pestaña Corrección y marque la casilla Crear una tarea de corrección.
En la pestaña Revisar y crear, haga clic en Crear. La política ha sido asignada al ámbito que elegiste.
Con este tipo de conector de datos, los indicadores de estado de conectividad (una franja de color en la galería de conectores de datos y los iconos de conexión situados junto a los nombres de tipo de datos) muestran el estado Conectado (verde) solo si los datos se han ingerido en algún momento en los últimos 14 días. Una vez transcurridos 14 días sin ingesta de datos, el conector se muestra como desconectado. En el momento en que pasen más datos, el estado vuelve a "Conectado".
Puede buscar y consultar los datos de cada tipo de recurso mediante el nombre de tabla que aparece en la sección del conector del recurso en la página Referencia de conectores de datos. Para obtener más información, consulte Crear la configuración de diagnóstico para enviar registros y métricas de plataforma de Azure Monitor a diferentes destinos en la documentación de Azure Monitor.
Contenido relacionado
Para más información, vea:
- catálogo de soluciones Microsoft Sentinel
- integración de inteligencia de amenazas en Microsoft Sentinel