Compartir a través de

Búsqueda del conector de datos de Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En este artículo se enumeran todos los conectores de datos admitidos y listos para usar, junto con vínculos a los pasos de implementación de cada conector.

Important

Los conectores de datos están disponibles con las siguientes ofertas:

  • Soluciones: muchos conectores de datos se implementan como parte de Microsoft Sentinel solución junto con contenido relacionado, como reglas de análisis, libros y cuadernos de estrategias. Para obtener más información, consulte el catálogo de soluciones Microsoft Sentinel.

  • Conectores de la comunidad: la comunidad de Microsoft Sentinel proporciona más conectores de datos y se puede encontrar en el Azure Marketplace. La documentación de los conectores de datos de la comunidad es responsabilidad de la organización que ha creado el conector.

  • Conectores personalizados: si tiene un origen de datos que no aparece en la lista o que no se admite actualmente, también puede crear su propio conector personalizado. Para obtener más información, consulte Resources para crear conectores personalizados Microsoft Sentinel.

Note

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de EE. UU., consulte las tablas de Microsoft Sentinel en Disponibilidad de características de Cloud para los clientes de la Administración Pública de ESTADOS Unidos.

Requisitos previos del conector de datos.

Cada conector de datos tiene su propio conjunto de requisitos previos. Los requisitos previos pueden incluir que debe tener permisos específicos en el área de trabajo, la suscripción o la directiva de Azure. O bien debe cumplir otros requisitos relativos al origen de datos del asociado al que se va a conectar.

Los requisitos previos para cada conector de datos se muestran en la página del conector de datos pertinente en Microsoft Sentinel.

Azure Monitor conectores de datos basados en agente (AMA) requieren una conexión a Internet desde el sistema donde está instalado el agente. Habilite el puerto 443 saliente para permitir una conexión entre el sistema donde está instalado el agente y Microsoft Sentinel.

Conectores de Syslog y Common Event Format (CEF)

La recopilación de registros de muchos dispositivos de seguridad y dispositivos son compatibles con los conectores de datos Syslog a través de AMA o Common Event Format (CEF) a través de AMA en Microsoft Sentinel. Para reenviar datos al área de trabajo de Log Analytics para Microsoft Sentinel, complete los pasos descritos en Ingest syslog y mensajes CEF para Microsoft Sentinel con el agente de Azure Monitor. Estos pasos incluyen la instalación de la solución Microsoft Sentinel para un dispositivo de seguridad o dispositivo desde el centro de Content en Microsoft Sentinel. A continuación, configure el Syslog a través de AMA o Common Event Format (CEF) mediante AMA conector de datos adecuado para la solución de Microsoft Sentinel instalada. Complete la configuración configurando el dispositivo de seguridad o el dispositivo. Busque instrucciones para configurar el dispositivo o dispositivo de seguridad en uno de los siguientes artículos:

Póngase en contacto con el proveedor de soluciones para obtener más información o si no hay información disponible para el dispositivo.

Registros personalizados mediante el conector AMA

Filtre e ingiere registros en formato de archivo de texto de las aplicaciones de seguridad o de red instaladas en máquinas Windows o Linux mediante los registros de Custom logs a través del conector AMA en Microsoft Sentinel. Vea los siguientes artículos para más información:

Conectores de datos de Sentinel

Note

En la tabla siguiente se enumeran los conectores de datos que están disponibles en el centro de contenido de Microsoft Sentinel. El proveedor del producto admite los conectores. Para obtener soporte técnico, consulte el vínculo Compatible por .

Sugerencia

Para obtener una lista de las tablas ingeridas en Microsoft Sentinel y los conectores que los ingieren, consulte Microsoft Sentinel tablas y conectores asociados.

1Password (sin servidor)

Compatible con:1Password

El conector CCF 1Password permite al usuario ingerir 1Password Audit, Signin & Eventos ItemUsage en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
OnePasswordEventLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Token de API de 1Password: se requiere un token de API de 1Password. Consulte la documentación de 1Password sobre cómo crear un token de API.

1Password (con Azure Functions)

Compatible con:1Password

La solución 1Password para Microsoft Sentinel permite ingerir los intentos de inicio de sesión, el uso de elementos y los eventos de auditoría de la cuenta de empresa de 1Password mediante la API de informes de eventos de 1Password Events Reporting API. Esto le permite supervisar e investigar eventos en 1Password en Microsoft Sentinel junto con las demás aplicaciones y servicios que usa su organización.

Tecnologías subyacentes de Microsoft usadas:

Esta solución depende de las siguientes tecnologías y algunas de las cuales pueden estar en estado de versión preliminar o pueden incurrir en costos operativos o de ingesta adicionales:

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
OnePasswordEventLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Token de API de eventos de 1Password: se requiere un token de API de eventos de 1Password. Para obtener más información, consulte la API 1Password.

Nota: Se requiere una cuenta 1Password Business

AbnormalSecurity (mediante Azure Function)

Compatible con:Seguridad anómala

El conector de datos de seguridad anómalo proporciona la capacidad de ingerir registros de amenazas y casos en Microsoft Sentinel mediante la API rest de seguridad Abnormal Security.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ABNORMAL_THREAT_MESSAGES_CL No No
ABNORMAL_CASES_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Abnormal API para seguridad Token: se requiere un token de API para seguridad anómalo. Para obtener más información, vea Abnormal API para seguridad. Nota: Se requiere una cuenta de seguridad anómala

AIShield

Compatible con:AIShield

AIShield conector permite a los usuarios conectarse con registros de mecanismos de defensa personalizados de AIShield con Microsoft Sentinel, lo que permite la creación de paneles dinámicos, libros, cuadernos y alertas adaptadas para mejorar la investigación y los ataques de frustración en los sistemas de inteligencia artificial. Proporciona a los usuarios más información sobre la seguridad de los recursos de inteligencia artificial de su organización y mejora sus funcionalidades de operación de seguridad de sistemas de inteligencia artificial. AIShield.GuArdIan analiza el contenido generado por LLM para identificar y mitigar el contenido dañino, la protección contra infracciones legales, de directivas, basadas en roles y de uso.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AIShield_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Nota: Los usuarios deben haber utilizado la oferta saaS de AIShield para realizar análisis de vulnerabilidades e implementar mecanismos de defensa personalizados generados junto con su recurso de INTELIGENCIA ARTIFICIAL. Haga clic aquí para saber más o ponerse en contacto.

Alibaba Cloud ActionTrail (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos Alibaba Cloud ActionTrail proporciona la capacidad de recuperar eventos actiontrail almacenados en Alibaba Cloud Simple Log Service y almacenarlos en Microsoft Sentinel a través de SLS REST API. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AliCloudActionTrailLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Credenciales y permisos de la API REST de SLS: Se requieren AliCloudAccessKeyId y AliCloudAccessKeySecret para realizar llamadas API. Se necesita una instrucción de directiva de RAM con acción de aleast over resource para conceder a un usuario de RAM los permisos para llamar a esta operación.

AliCloud (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos AliCloud proporciona la capacidad de recuperar registros de aplicaciones en la nube mediante la API en la nube y almacenar eventos en Microsoft Sentinel a través de la API REST. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AliCloud_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: AliCloudAccessKeyId y AliCloudAccessKey son necesarios para realizar llamadas API.

Amazon Web Services

Compatible con:Microsoft Corporation

Las instrucciones para conectarse a AWS y transmitir los registros de CloudTrail a Microsoft Sentinel se muestran durante el proceso de instalación. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AWSCloudTrail

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Amazon Web Services CloudFront (a través de Codeless Connector Framework) (versión preliminar)

Compatible con:Microsoft Corporation

Este conector de datos permite la integración de registros de AWS CloudFront con Microsoft Sentinel para admitir la detección avanzada de amenazas, la investigación y la supervisión de la seguridad. Al usar Amazon S3 para el almacenamiento de registros y Amazon SQS para la puesta en cola de mensajes, el conector ingiere de forma confiable los registros de acceso de CloudFront en Microsoft Sentinel

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AWSCloudFront_AccessLog_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Amazon Web Services NetworkFirewall (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector de datos permite ingerir registros de AWS Network Firewall en Microsoft Sentinel para la detección avanzada de amenazas y la supervisión de la seguridad. Al aprovechar Amazon S3 y Amazon SQS, el conector reenvía los registros de tráfico de red, las alertas de detección de intrusiones y los eventos de firewall a Microsoft Sentinel, lo que permite el análisis y la correlación en tiempo real con otros datos de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AWSNetworkFirewallFlow

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Amazon Web Services S3

Compatible con:Microsoft Corporation

Este conector le permite ingerir registros de servicio de AWS, recopilados en cubos de AWS S3, para Microsoft Sentinel. Los tipos de datos admitidos actualmente son:

  • AWS CloudTrail
  • Registros de flujo de VPC
  • AWS GuardDuty
  • AWSCloudWatch

Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AWSGuardDuty
AWSVPCFlow
AWSCloudTrail
AWSCloudWatch

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Entorno: debe tener los siguientes recursos de AWS definidos y configurados: S3, Simple Queue Service (SQS), roles y directivas de permisos de IAM y los servicios de AWS cuyos registros desea recopilar.

Amazon Web Services S3 DNS Route53 (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector permite la ingesta de registros DNS de AWS Route 53 en Microsoft Sentinel para mejorar la visibilidad y la detección de amenazas. Admite los registros de consulta de resolución dns ingeridos directamente desde cubos de AWS S3, mientras que los registros de consulta dns público y los registros de auditoría de Route 53 se pueden ingerir mediante los conectores AWS CloudWatch y CloudTrail de Microsoft Sentinel. Se proporcionan instrucciones completas para guiarle a través de la configuración de cada tipo de registro. Aproveche este conector para supervisar la actividad de DNS, detectar posibles amenazas y mejorar la posición de seguridad en entornos en la nube.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AWSRoute53Resolver

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Amazon Web Services S3 WAF

Compatible con:Microsoft Corporation

Este conector permite ingerir registros de AWS WAF, recopilados en cubos de AWS S3, para Microsoft Sentinel. Los registros de AWS WAF son registros detallados del tráfico que analizan las listas de control de acceso web (ACL), que son esenciales para mantener la seguridad y el rendimiento de las aplicaciones web. Estos registros contienen información como la hora en que AWS WAF recibió la solicitud, los detalles de la solicitud y la acción realizada por la regla con la que coincide la solicitud.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AWSWAF

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Anvilógica

Compatible con:Anvilogic

El conector de datos Anvilogic permite extraer eventos de interés generados en el clúster de Anvilogic ADX en la Microsoft Sentinel

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Anvilogic_Alerts_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Identificador de cliente de registro de aplicación anvilogic y secreto de cliente: para acceder a Anvilogic ADX, se requiere el identificador de cliente y el secreto de cliente del registro de la aplicación Anvilogic.

Seguridad en la Nube de ARGOS

Compatible con:ARGOS Cloud Security

La integración de ARGOS Cloud Security para Microsoft Sentinel le permite tener todos sus eventos de seguridad en la nube importantes en un solo lugar. Esto le permite crear fácilmente paneles y alertas, y correlacionar eventos en varios sistemas. En general, esto mejorará la posición de seguridad de la organización y la respuesta a incidentes de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ARGOS_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Actividades de alertas deArmis (con Azure Functions)

Compatible con:Armis Corporation

El conector Armis Alerts Activities ofrece la capacidad de ingerir alertas y actividades de Armis en Microsoft Sentinel a través de la API REST de Armis. Consulte la documentación de la API: para obtener más información. El conector proporciona la capacidad de obtener información de alertas y actividades de la plataforma Armis e identificar y priorizar las amenazas del entorno. Armis usa la infraestructura existente para detectar e identificar dispositivos sin tener que implementar agentes.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Armis_Alerts_CL No No
Armis_Activities_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere la clave secreta de Armis . Consulte la documentación para más información sobre la API en .

Armis Devices (using Azure Functions)

Compatible con:Armis Corporation

El conector Armis Device ofrece la capacidad de ingerir dispositivos Armis en Microsoft Sentinel a través de la API REST de Armis. Consulte la documentación de la API: para obtener más información. El conector proporciona la capacidad de obtener información del dispositivo de la plataforma Armis. Armis usa la infraestructura existente para detectar e identificar dispositivos sin tener que implementar agentes. Armis también se puede integrar con sus herramientas de administración de TI y seguridad existentes para identificar y clasificar cada dispositivo, administrado o no administrado en su entorno.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Armis_Devices_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere la clave secreta de Armis . Consulte la documentación para más información sobre la API en .

Alertas de baliza de Atlassian

Compatible con:DEFEND Ltd.

Atlassian Beacon es un producto en la nube creado para la detección inteligente de amenazas en las plataformas Atlassian (Jira, Confluence y Atlassian Admin). Esto puede ayudar a los usuarios a detectar, investigar y responder a la actividad de usuario de riesgo para el conjunto de productos Atlassian. La solución es un conector de datos personalizado de DEFENDER Ltd. que se usa para visualizar las alertas ingeridas desde Atlassian Beacon para Microsoft Sentinel a través de una aplicación lógica.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
atlassian_beacon_alerts_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Auditoría de Confluence de Atlassian (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos Atlassian Confluence Audit proporciona la capacidad de ingerir Confluence Audit Records eventos en Microsoft Sentinel a través de la API REST. Para más información, consulte la documentación de la API. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ConfluenceAuditLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a la API de Atlassian Confluence: se requiere el permiso de administración de Confluence para obtener acceso a la API de registros de auditoría de Confluence. Consulte la documentación de Confluence API para más información sobre la API de auditoría.

Atlassian Jira Audit (using Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Atlassian Jira Audit proporciona la capacidad de ingerir Registros de auditoría deJira en Microsoft Sentinel a través de la API REST. Para más información, consulte la documentación de la API. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Jira_Audit_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: JiraAccessToken, JiraUsername es necesario para la API REST. Para más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Atlassian Jira Audit (mediante la API REST)

Compatible con:Microsoft Corporation

El conector de datos Atlassian Jira Audit proporciona la capacidad de ingerir Registros de auditoría deJira en Microsoft Sentinel a través de la API REST. Para más información, consulte la documentación de la API. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Jira_Audit_v2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a la API de Atlassian Jira: se requiere permiso para administrar Jira para obtener acceso a la API de registros de auditoría de Jira. Consulte la documentación de Jira API para más información sobre la API de auditoría.

Auth0 Access Management (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Auth0 Access Management proporciona la capacidad de ingerir eventos de registro Auth0 en Microsoft Sentinel

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Auth0AM_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere el token de API . Para más información, consulte Token de API.

Registros de autenticación

Compatible con:Microsoft Corporation

El conector de datos Auth0 permite ingerir registros de la API de Auth0 en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel Codeless Connector Framework. Usa la API de Auth0 para capturar registros y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada para que las consultas no necesiten volver a analizarlos, lo que da lugar a un mejor rendimiento.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Auth0Logs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

WebCTRL de lógica automatizada

Compatible con:Microsoft Corporation

Puede transmitir los registros de auditoría desde el servidor SQL de WebCTRL hospedado en máquinas Windows conectadas a la Microsoft Sentinel. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación. Esto proporciona información sobre los sistemas de control industrial supervisados o controlados por la aplicación WebCTRL BAS.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Event No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Registros de acceso del servidor de AWS S3 (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector permite ingerir registros de acceso del servidor de AWS S3 en Microsoft Sentinel. Estos registros contienen registros detallados para las solicitudes realizadas a depósitos S3, incluido el tipo de solicitud, acceso a recursos, información del solicitante y detalles de respuesta. Estos registros son útiles para analizar patrones de acceso, depurar problemas y garantizar el cumplimiento de la seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AWSS3ServerAccess

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Entorno: debe tener los siguientes recursos de AWS definidos y configurados: Bucket S3, Simple Queue Service (SQS), roles de IAM y directivas de permisos.

Hallazgos de AWS Security Hub (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector permite la ingesta de hallazgos de AWS Security Hub, que se recopilan en cubos de AWS S3, en Microsoft Sentinel. Ayuda a simplificar el proceso de supervisión y administración de alertas de seguridad mediante la integración de los hallazgos de AWS Security Hub con las funcionalidades avanzadas de detección y respuesta de amenazas de Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AWSSecurityHubFindings

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Entorno: debe tener los siguientes recursos de AWS definidos y configurados: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), roles y directivas de permisos de IAM.

Azure Activity

Compatible con:Microsoft Corporation

Azure registro de actividad es un registro de suscripción que proporciona información sobre los eventos de nivel de suscripción que se producen en Azure, incluidos eventos de Azure Resource Manager datos operativos, eventos de estado del servicio, operaciones de escritura realizadas en los recursos de la suscripción y el estado de las actividades realizadas en Azure. Para obtener más información, consulte la documentación Microsoft Sentinel .

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureActivity No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Azure Batch Account

Compatible con:Microsoft Corporation

Azure Batch Cuenta es una entidad identificada de forma única dentro del servicio Batch. La mayoría de las soluciones de Batch usan Azure Storage para almacenar archivos de recursos y archivos de salida, por lo que cada cuenta de Batch normalmente está asociada a una cuenta de almacenamiento correspondiente. Este conector le permite transmitir los registros de diagnóstico de la cuenta de Azure Batch a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Azure CloudNGFW By Palo Alto Networks

Compatible con:Palo Alto Networks

Firewall de próxima generación en la nube de Palo Alto Networks ( un servicio ISV nativo de Azure) es El firewall de próxima generación (NGFW) de Palo Alto Networks se entrega como un servicio nativo en la nube en Azure. Puede detectar CLOUD NGFW en el Azure Marketplace y consumirlo en las redes virtuales (VNet) de Azure. Con Cloud NGFW, puede acceder a las funcionalidades principales de NGFW, como App-ID, tecnologías basadas en el filtrado de direcciones URL. Proporciona prevención y detección de amenazas a través de servicios de seguridad entregados en la nube y firmas de prevención de amenazas. El conector permite conectar fácilmente los registros de NGFW en la nube con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le ofrece más información sobre la red de su organización y mejora las capacidades de las operaciones de seguridad. Para obtener más información, consulte la documentación Cloud NGFW para Azure.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
fluentbit_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Azure Cognitive Search

Compatible con:Microsoft Corporation

Azure Cognitive Search es un servicio de búsqueda en la nube que proporciona a los desarrolladores infraestructura, API y herramientas para crear una experiencia de búsqueda enriquecida a través de contenido privado, heterogéneo en aplicaciones web, móviles y empresariales. Este conector le permite transmitir los registros de diagnóstico de Azure Cognitive Search a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Azure DDoS Protection

Compatible con:Microsoft Corporation

Conéctese a Azure registros estándar de DDoS Protection a través de registros de diagnóstico de direcciones IP públicas. Además de la protección de DDoS principal en la plataforma, Azure DDoS Protection Standard proporciona funcionalidades avanzadas de mitigación de DDoS contra ataques de red. Se ajusta automáticamente para proteger los recursos de Azure específicos. La protección se puede habilitar fácilmente durante la creación de nuevas redes virtuales. También puede realizarse después de la creación y no requiere ningún cambio de aplicación o recurso. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Azure DevOps registros de auditoría (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de registros de auditoría de Azure DevOps permite ingerir eventos de auditoría de Azure DevOps en Microsoft Sentinel. Este conector de datos se crea mediante Microsoft Sentinel Codeless Connector Framework, lo que garantiza una integración sin problemas. Aprovecha la API de registros de auditoría de Azure DevOps para capturar eventos de auditoría detallados y admite transformaciones de tiempo de ingestion. Estas transformaciones permiten analizar los datos de auditoría recibidos en una tabla personalizada durante la ingesta, lo que mejora el rendimiento de las consultas al eliminar la necesidad de análisis adicional. Con este conector, puede obtener una visibilidad mejorada del entorno de Azure DevOps y simplificar las operaciones de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ADOAuditLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure DevOps Requisito previo: Asegúrese de lo siguiente:
    1. Registrar una aplicación entra en Microsoft Entra Centro de administración en Registros de aplicaciones.
    2. En "Permisos de API" - agregue permisos a "Azure DevOps - vso.auditlog".
    3. En "Certificados y secretos", genere "Secreto de cliente".
    4. En "Autenticación" - agregue el URI de redirección que se encuentra a continuación en el campo correspondiente.
    5. En la configuración de Azure DevOps : habilite el registro de auditoría y establezca View registro de auditoría para el usuario. Azure DevOps Auditing.
    6. Asegúrese de que el usuario asignado para conectar el conector de datos tiene el permiso Ver registros de auditoría establecido explícitamente en Permitir en todo momento. Este permiso es esencial para la ingesta correcta del registro. Si se revoca o no se concede el permiso, se producirá un error en la ingesta de datos o se interrumpirá.

Azure Event Hub

Compatible con:Microsoft Corporation

Azure Event Hubs es una plataforma de streaming de macrodatos y un servicio de ingesta de eventos. Puede recibir y procesar millones de eventos por segundo. Este conector le permite transmitir los registros de diagnóstico de Azure Event Hubs a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Azure Firewall

Compatible con:Microsoft Corporation

Conéctese a Azure Firewall. Azure Firewall es un servicio de seguridad de red administrado basado en la nube que protege los recursos de Azure Virtual Network. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No
AZFWApplicationRule
AZFWFlowTrace
AZFWFatFlow
AZFWNatRule
AZFWDnsQuery
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNetworkRule
AZFWThreatIntel

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Azure Key Vault

Compatible con:Microsoft Corporation

Azure Key Vault es un servicio en la nube para almacenar y acceder a secretos de forma segura. Un secreto es todo aquello cuyo acceso desea controlar de forma estricta, como las claves API, las contraseñas, los certificados o las claves criptográficas. Este conector le permite transmitir los registros de diagnóstico de Azure Key Vault a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Azure Kubernetes Service (AKS)

Compatible con:Microsoft Corporation

Azure Kubernetes Service (AKS) es un servicio de orquestación de contenedores totalmente administrado de código abierto que permite implementar, escalar y administrar contenedores de Docker y aplicaciones basadas en contenedores en un entorno de clúster. Este conector le permite transmitir los registros de diagnóstico de Azure Kubernetes Service (AKS) a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Azure Logic Apps

Compatible con:Microsoft Corporation

Azure Logic Apps es una plataforma basada en la nube para crear y ejecutar flujos de trabajo automatizados que integran las aplicaciones, los datos, los servicios y los sistemas. Este conector le permite transmitir los registros de diagnóstico de Azure Logic Apps a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Azure Resource Graph

Compatible con:Microsoft Corporation

Azure Resource Graph conector proporciona información más completa sobre los eventos de Azure mediante el complemento de detalles sobre las suscripciones de Azure y los recursos de Azure.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Policy: permiso de rol propietario en suscripciones de Azure

Azure Service Bus

Compatible con:Microsoft Corporation

Azure Service Bus es un agente de mensajes de empresa totalmente administrado con colas de mensajes y temas de publicación y suscripción (en un espacio de nombres). Este conector le permite transmitir los registros de diagnóstico de Azure Service Bus a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Azure SQL Databases

Compatible con:Microsoft Corporation

Azure SQL es un motor de base de datos de plataforma como servicio (PaaS) totalmente administrado que controla la mayoría de las funciones de administración de bases de datos, como la actualización, la aplicación de revisiones, las copias de seguridad y la supervisión, sin necesidad de intervención del usuario. Este conector le permite transmitir los registros de auditoría y diagnóstico de las bases de datos de Azure SQL a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Azure Storage Cuenta

Compatible con:Microsoft Corporation

Azure Storage cuenta es una solución en la nube para escenarios de almacenamiento de datos modernos. Contiene todos los objetos de datos: blobs, archivos, colas, tablas y discos. Este conector le permite transmitir los registros de diagnóstico de Azure Storage cuentas al área de trabajo de Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias y detectar actividades malintencionadas en la organización. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureMetrics No No
StorageBlobLogs
StorageQueueLogs
StorageTableLogs
StorageFileLogs

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Azure Stream Analytics

Compatible con:Microsoft Corporation

Azure Stream Analytics es un motor de análisis en tiempo real y de procesamiento de eventos complejo diseñado para analizar y procesar grandes volúmenes de datos de streaming rápido de varios orígenes simultáneamente. Este conector le permite transmitir los registros de diagnóstico del centro de Azure Stream Analytics a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Directiva: rol de propietario asignado para cada ámbito de asignación de directiva

Azure Web Application Firewall (WAF)

Compatible con:Microsoft Corporation

Conéctese al Azure Web Application Firewall (WAF) para Application Gateway, Front Door o CDN. Este WAF protege las aplicaciones de vulnerabilidades web comunes, como la inyección de código SQL o los ataques de scripts de sitios, y permite personalizar reglas para reducir los falsos positivos. Las instrucciones para transmitir los registros del firewall de aplicaciones web de Microsoft a Microsoft Sentinel se muestran durante el proceso de instalación. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

MEJOR Defensa Móvil contra Amenazas (MTD)

Compatible con:Better Mobile Security Inc.

Better MTD Connector permite a las empresas conectar sus instancias de Better MTD con Microsoft Sentinel, ver sus datos en paneles, crear alertas personalizadas, usarla para desencadenar cuadernos de estrategias y expandir las funcionalidades de búsqueda de amenazas. Esto da a los usuarios más información sobre los dispositivos móviles de su organización y la capacidad de analizar rápidamente la posición de seguridad móvil actual, lo que mejora sus funcionalidades generales de SecOps.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
BetterMTDIncidentLog_CL No No
BetterMTDDeviceLog_CL No No
BetterMTDNetflowLog_CL No No
BetterMTDAppLog_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

BeyondTrust PM Cloud

Compatible con:BeyondTrust

El conector de datos BeyondTrust Privilege Management Cloud proporciona la capacidad de ingerir registros de auditoría de actividad y registros de eventos de cliente de BeyondTrust PM Cloud en Microsoft Sentinel.

Este conector usa Azure Functions para extraer datos de beyondTrust PM Cloud API e ingerirlos en tablas de Log Analytics personalizadas.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
BeyondTrustPM_ActivityAudits_CL No No
BeyondTrustPM_ClientEvents_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • BeyondTrust PM Cloud API credentials :BeyondTrust PM Cloud OAuth Client ID and Client Secret are required( BeyondTrust PM Cloud OAuth Client ID and Client Secret are required. La cuenta de API requiere los siguientes permisos: Auditoría: solo lectura e informes: solo lectura

Conector DSPM de BigID

Compatible con:BigID

El conector de datos BigID DSPM proporciona la capacidad de ingerir casos de DSPM de BigID con objetos afectados e información del origen de datos en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
BigIDDSPMCatalog_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a la API de DSPM de BigID: se requiere acceso a la API de DSPM de BigID a través de un token de BigID.

Bitglass (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Bitglass proporciona la capacidad de recuperar registros de eventos de seguridad de los servicios de Bitglass y más eventos en Microsoft Sentinel a través de la API REST. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
BitglassLogs_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: Se requieren BitglassToken y BitglassServiceURL para realizar llamadas API.

Bitsight (con Azure Functions)

Compatible con:BitSight

El conector de datos de BitSight admite la supervisión de riesgos cibernéticos basados en pruebas mediante la incorporación de datos de BitSight en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
BitsightAlerts_data_CL
BitsightBreaches_data_CL
BitsightCompany_details_CL
BitsightCompany_rating_details_CL
BitsightDiligence_historical_statistics_CL
BitsightDiligence_statistics_CL
BitsightFindings_data_CL
BitsightFindings_summary_CL
BitsightGraph_data_CL
BitsightIndustrial_statistics_CL
BitsightObservation_statistics_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere el token de API de BitSight. Consulte la documentación para más información sobre el token de API.

Registros de eventos de Bitwarden

Compatible con:Bitwarden Inc

Este conector proporciona información sobre la actividad de la organización de Bitwarden, como la actividad del usuario (iniciada, contraseña cambiada, 2fa, etc.), actividad de cifrado (creada, actualizada, eliminada, compartida, etc.), actividad de recopilación, actividad de organización, etc..

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
BitwardenEventLogs No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Id. de cliente y secreto de cliente de Bitwarden: la clave de API se puede encontrar en la consola de administración de la organización de Bitwarden. Consulte la documentación de Bitwarden para obtener más información.

Box (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos box proporciona la capacidad de ingerir eventos de Box enterprise en Microsoft Sentinel mediante la API REST de Box. Consulte la documentación de Box para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
BoxEvents_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de la API de Box: se requiere el archivo JSON de configuración de box para la autenticación JWT de la API REST de Box. Para obtener más información, consulte Autenticación JWT.

Eventos de box (CCF)

Compatible con:Microsoft Corporation

El conector de datos box proporciona la capacidad de ingerir eventos de Box enterprise en Microsoft Sentinel mediante la API REST de Box. Consulte la documentación de Box para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
BoxEventsV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Credenciales de la API de Box: Box API requiere un identificador de cliente de Box App y un secreto de cliente para autenticarse. Para obtener más información, consulte Concesión de credenciales de cliente.
  • Identificador de Box Enterprise: se requiere el identificador de Box Enterprise para establecer la conexión. Consulte la documentación para buscar el identificador de empresa.

Check Point CloudGuard CNAPP Connector for Microsoft Sentinel

Compatible con:Check Point

El conector de datos CloudGuard permite la ingesta de eventos de seguridad desde la API de CloudGuard en Microsoft Sentinel ™, mediante el marco de conector sin código de Microsoft Sentinel. El conector admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de eventos de seguridad entrantes en columnas personalizadas. Este proceso de análisis previo elimina la necesidad de análisis en tiempo de consulta, lo que da lugar a un rendimiento mejorado para las consultas de datos.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CloudGuard_SecurityEvents_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Clave de API de CloudGuard: consulte las instrucciones que se proporcionan aquí para generar una clave de API.

Conector de alertas cyberint de Check Point (a través del marco de conector sin código)

Compatible con:Cyberint

Cyberint, una empresa de Check Point, proporciona una integración de Microsoft Sentinel para simplificar las alertas críticas y aportar inteligencia sobre amenazas enriquecida de la solución Infinity External Risk Management a Microsoft Sentinel. Esto simplifica el proceso de seguimiento del estado de los vales con actualizaciones de sincronización automáticas en todos los sistemas. Con esta nueva integración para Microsoft Sentinel, los clientes existentes de Cyberint y Microsoft Sentinel pueden extraer fácilmente registros basados en los hallazgos de Cyberint en Microsoft Sentinel plataforma.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
argsentdc_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Check Point Cyberint API Key, Argos URL y Customer Name: se requieren la clave de API del conector, la dirección URL de Argos y el nombre del cliente.

Conector de IOC de Check Point Cyberint

Compatible con:Cyberint

Este es el conector de datos para check Point Cyberint IOC.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
iocsent_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Check Point Cyberint API Key and Argos URL (Clave de API de Check Point Cyberint y Url de Argos): se requieren la clave de API del conector y la dirección URL de Argos.

Cisco ASA/FTD a través de AMA

Compatible con:Microsoft Corporation

El conector del firewall de Cisco ASA le permite conectar fácilmente sus registros de Cisco ASA con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le ofrece más información sobre la red de su organización y mejora las capacidades de las operaciones de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommonSecurityLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Para recopilar datos de máquinas virtuales que no son de Azure, deben tener Azure Arc instalados y habilitados. Aprende más

Cisco Cloud Security (con Azure Functions)

Compatible con:Microsoft Corporation

La solución Cisco Cloud Security para Microsoft Sentinel le permite ingerir Cisco Secure Access y Cisco Umbrellalogs almacenados en Amazon S3 en Microsoft Sentinel mediante la API REST de Amazon S3. Consulte la documentación de administración de registros de Cisco Cloud Security para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Cisco_Umbrella_dns_CL
Cisco_Umbrella_proxy_CL
Cisco_Umbrella_ip_CL
Cisco_Umbrella_cloudfirewall_CL No No
Cisco_Umbrella_firewall_CL No No
Cisco_Umbrella_dlp_CL No No
Cisco_Umbrella_ravpnlogs_CL No No
Cisco_Umbrella_audit_CL No No
Cisco_Umbrella_ztna_CL No No
Cisco_Umbrella_intrusion_CL No No
Cisco_Umbrella_ztaflow_CL No No
Cisco_Umbrella_fileevent_CL No No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST de Amazon S3: AWS Access Id, AWS Secret Access Key, AWS S3 Bucket Name are required for Amazon S3 REST API.

Cisco Cloud Security (mediante el plan premium elástico) (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos cisco Umbrella proporciona la capacidad de ingerir Cisco Umbrella eventos almacenados en Amazon S3 en Microsoft Sentinel mediante la API REST de Amazon S3. Consulte la documentación de administración de registros de Cisco Umbrella para obtener más información.

NOTE: Este conector de datos usa la Azure Functions Plan Premium para habilitar funcionalidades de ingesta seguras y incurrirá en costos adicionales. Aquí encontrará más detalles de precios.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Cisco_Umbrella_dns_CL
Cisco_Umbrella_proxy_CL
Cisco_Umbrella_ip_CL
Cisco_Umbrella_cloudfirewall_CL No No
Cisco_Umbrella_firewall_CL No No
Cisco_Umbrella_dlp_CL No No
Cisco_Umbrella_ravpnlogs_CL No No
Cisco_Umbrella_audit_CL No No
Cisco_Umbrella_ztna_CL No No
Cisco_Umbrella_intrusion_CL No No
Cisco_Umbrella_ztaflow_CL No No
Cisco_Umbrella_fileevent_CL No No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST de Amazon S3: AWS Access Id, AWS Secret Access Key, AWS S3 Bucket Name are required for Amazon S3 REST API.
  • Virtual Network permisos (para acceso privado): para el acceso a la cuenta de almacenamiento privada, se requieren permisos Network Contributor en la Virtual Network y la subred. La subred debe delegarse en Microsoft.Web/serverFarms para la integración de VNet de Function App.

Cisco Duo (con Azure Functions)

Compatible con:Cisco Systems

El conector de datos cisco Duo Security proporciona la capacidad de ingerir registros de authentication, administrator logs, telephony logs, offline enrollment logs and Trust Monitor events into Microsoft Sentinel using the Cisco Duo Admin API. Para más información, consulte la documentación de la API.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CiscoDuo_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de la API de Cisco Duo: Las credenciales de la API de Cisco Duo con permiso Conceder registro de lectura son necesarios para la API de Cisco Duo. Consulte la documentación para obtener más información sobre la creación de credenciales de la API de Cisco Duo.

Cisco ETD (con Azure Functions)

Compatible con:N/A

El conector captura datos de la API de ETD para el análisis de amenazas.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CiscoETD_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Email Threat Defense API, clave de API, identificador de cliente y secreto: asegúrese de que tiene la clave de API, el identificador de cliente y la clave secreta.

Cisco Meraki (mediante la API REST)

Compatible con:Microsoft Corporation

El conector Cisco Meraki le permite conectar fácilmente los eventos de la organización de Cisco Meraki (eventos de seguridad, cambios de configuración y solicitudes de API) a Microsoft Sentinel. El conector de datos usa la API REST Cisco Meraki para capturar registros y admite transformaciones de tiempo de ingestion que analiza los datos recibidos e ingiere en ASIM y tablas personalizadas en el área de trabajo de Log Analytics. Este conector de datos se beneficia de funcionalidades como el filtrado en tiempo de ingesta basado en DCR, la normalización de datos.

Esquema de ASIM admitido:

  1. Sesión de red
  2. Sesión web
  3. Evento de auditoría

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ASimNetworkSessionLogs

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Clave de API REST de Cisco Meraki: Habilite el acceso a la API en Cisco Meraki y genere la clave de API. Consulte la documentación oficial de Cisco Meraki para obtener más información.
  • Cisco Meraki Organization Id: Obtenga su identificador de organización de Cisco Meraki para capturar eventos de seguridad. Siga los pasos de la documentación para obtener el identificador de organización mediante la clave de API meraki obtenida en el paso anterior.

Punto de conexión seguro de Cisco (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos Cisco Secure Endpoint (anteriormente AMP for Endpoints) proporciona la capacidad de ingerir cisco Secure Endpoint audit logs y events en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CiscoSecureEndpointAuditLogsV2_CL
CiscoSecureEndpointEventsV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Credenciales o regiones de la API del punto de conexión seguro de Cisco: Para crear credenciales de API y comprender las regiones, siga el vínculo del documento que se proporciona aquí. Haga clic aquí.

WAN definida por el software de Cisco

Compatible con:Cisco Systems

El conector de datos wan(SD-WAN) definido por cisco software proporciona la capacidad de ingerir datos Cisco SD-WAN Syslog y Netflow en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Syslog
CiscoSDWANNetflow_CL No No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Claroty xDome

Compatible con:xDome Customer Support

Claroty xDome ofrece funcionalidades completas de administración de alertas y seguridad para entornos de red sanitaria e industrial. Está diseñado para asignar varios tipos de origen, identificar los datos recopilados e integrarlos en Microsoft Sentinel modelos de datos. Esto da como resultado la capacidad de supervisar todas las posibles amenazas en los entornos sanitarios e industriales en una ubicación, lo que conduce a una supervisión de la seguridad más eficaz y una posición de seguridad más sólida.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommonSecurityLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Cloudflare (versión preliminar) (con Azure Functions)

Compatible con:Cloudflare

El conector de datos de Cloudflare proporciona la capacidad de ingerir registros Cloudflare en Microsoft Sentinel mediante Cloudflare Logpush y Azure Blob Storage. Consulte la documentación de Cloudflare para más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Cloudflare_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Azure Blob Storage cadena de conexión y nombre de contenedor: Azure Blob Storage cadena de conexión y el nombre del contenedor en el que Cloudflare Logpush inserta los registros. Para obtener más información, consulte crear Azure Blob Storage container.

Cloudflare (usando contenedor de blob) (mediante framework de conector sin código)

Compatible con:Cloudflare

El conector de datos de Cloudflare proporciona la capacidad de ingerir registros de Cloudflare en Microsoft Sentinel mediante Cloudflare Logpush y Azure Blob Storage. Consulta la documentación de Cloudflarepara más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CloudflareV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Crear una cuenta de almacenamiento y un contenedor: antes de configurar logpush en Cloudflare, cree primero una cuenta de almacenamiento y un contenedor en Microsoft Azure. Utiliza esta guía para saber más sobre Contenedor y Blob. Siga los pasos descritos en documentation para crear una cuenta de Azure Storage.
  • Generación de una dirección URL de SAS de blobs: se requieren permisos de creación y escritura. Consulta la documentación para saber más sobre el token y la URL de Blob SAS.
  • Recopilación de registros de Cloudflare en el contenedor de blobs: siga los pasos descritos en la documentación para recopilar registros de Cloudflare en el contenedor de blobs.

Cognni

Compatible con:Cognni

El conector Cognni ofrece una integración rápida y sencilla con Microsoft Sentinel. Puede usar Cognni para asignar de forma autónoma información propia importante no clasificada previamente y detectar incidentes relacionados. Esto le ayuda a reconocer riesgos para su información importante, comprender la gravedad de los incidentes e investigar los detalles que debe corregir, lo suficientemente rápido como para marcar la diferencia.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CognniIncidents_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Cohesity (con Azure Functions)

Compatible con:Cohesity

Las aplicaciones de función Cohesity proporcionan la capacidad de ingerir alertas de ransomware Cohesity Datahawk en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Cohesity_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Azure Blob Storage cadena de conexión y nombre del contenedor: Azure Blob Storage cadena de conexión y nombre del contenedor

CommvaultSecurityIQ

Compatible con:Commvault

Esta función Azure permite a los usuarios de Commvault ingerir alertas o eventos en su instancia de Microsoft Sentinel. Con las reglas analíticas, Microsoft Sentinel puede crear automáticamente incidentes de Microsoft Sentinel a partir de eventos y registros entrantes.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommvaultSecurityIQ_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Dirección URL del punto de conexión del entorno de Commvault: asegúrese de seguir la documentación y establecer el valor del secreto en KeyVault.
  • Token de QSDK de Commvault: asegúrese de seguir la documentación y establecer el valor del secreto en KeyVault.

ContrastADR

Compatible con:Contrast Security

El conector de datos ContrastADR proporciona la capacidad de ingerir eventos de ataque ADR de contraste en Microsoft Sentinel mediante el webhook de ContrastADR. El conector de datos ContrastADR puede enriquecer los datos entrantes del webhook con llamadas de enriquecimiento de la API ContrastADR.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ContrastADR_CL No No
ContrastADRIncident_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.

Exportador del conector corelight

Compatible con:Corelight

El conector de datos Corelight permite a los respondedores de incidentes y cazadores de amenazas que usan Microsoft Sentinel para trabajar de forma más rápida y eficaz. El conector de datos permite la ingesta de eventos de Zeek y Suricata a través de sensores de Corelight en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Corelight No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Cortex XDR: incidentes

Compatible con:DEFEND Ltd.

Conector de datos personalizado de DEFENDER para usar Cortex API para ingerir incidentes de la plataforma Cortex XDR en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CortexXDR_Incidents_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Credenciales de cortex API: se requiere el token de la API de Cortex para la API REST. Para más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Cribl

Compatible con:Cribl

El conector Cribl permite conectar fácilmente los registros de Cribl (Cribl Enterprise Edition - Independiente) con Microsoft Sentinel. Esto le proporciona más información de seguridad sobre las canalizaciones de datos de su organización.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CriblInternal_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Conector de datos API de CrowdStrike (mediante framework de conectores sin código)

Compatible con:Microsoft Corporation

El conector de datos CrowdStrike permite ingerir registros de la API de CrowdStrike en Microsoft Sentinel. Este conector proporciona la capacidad de ingerir CrowdStrike Alerts, Detections, Hosts, Cases y Vulnerabilities en Microsoft Sentinel. Este conector se basa en el marco de conector sin código de Microsoft Sentinel y usa la API de CrowdStrike para capturar registros. Admite transformaciones de tiempo de ingesta basadas en DCR para que las consultas se puedan ejecutar de forma más eficaz. Consulte la documentación de CrowdStrike API para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CrowdStrikeAlerts

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Cliente y ámbitos de api de OAuth2 de Crowdstrike: alertas, integraciones de API, registros de aplicaciones, casos, reglas de correlación, detecciones, hosts, activos, incidentes, archivos en cuarentena, vulnerabilidades son necesarios para la API REST. Para más información, consulte API.

CrowdStrike Falcon Adversary Intelligence (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector CrowdStrike Falcon Indicators of Compromise recupera los indicadores de peligro de la API Falcon Intel y los carga Microsoft Sentinel Threat Intel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelIndicators No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Id. de cliente y secreto de cliente de CrowdStrike API: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Las credenciales de CrowdStrike deben tener ámbito de lectura indicadores (Falcon Intelligence).

Replicador de datos CrowdStrike Falcon (AWS S3) (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector Crowdstrike Falcon Data Replicator (S3) proporciona la capacidad de ingerir datos de eventos FDR para Microsoft Sentinel desde el cubo de AWS S3 donde se han transmitido los registros de FDR. El conector ofrece la posibilidad de obtener eventos de los agentes de Falcon que ayudan a examinar posibles riesgos de seguridad, analizar el uso de la colaboración por parte de su equipo, diagnosticar problemas de configuración y mucho más.

NOTE:

1. La licencia de FDR de CrowdStrike debe estar disponible y habilitada.

2. El conector requiere que se configure un rol de IAM en AWS para permitir el acceso al cubo de AWS S3 y puede que no sea adecuado para entornos que aprovechan CrowdStrike - cubos administrados.

3. Para entornos que aprovechan los cubos administrados por CrowdStrike, configure el conector CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CrowdStrike_Additional_Events_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (con Azure Functions)

Compatible con:Microsoft Corporation

Este conector permite la ingesta de datos de FDR en Microsoft Sentinel mediante Azure Functions para admitir la evaluación de posibles riesgos de seguridad, análisis de actividades de colaboración, identificación de problemas de configuración y otras conclusiones operativas.

NOTE:

1. La licencia de FDR de CrowdStrike debe estar disponible y habilitada.

2. El conector usa una autenticación basada en Key & Secret y es adecuada para cubos administrados de CrowdStrike.

3. Para entornos que usan un cubo de AWS S3 totalmente propiedad, Microsoft recomienda usar el conector CrowdStrike Falcon Data Replicator (AWS S3).

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CrowdStrikeReplicatorV2 No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la cuenta de SQS y AWS S3: se requiere AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Para obtener más información, consulte extracción de datos. Para empezar, póngase en contacto con el soporte técnico de CrowdStrike. A su solicitud, creará un bucket de Amazon Web Services (AWS) S3 administrado por CrowdStrike para fines de almacenamiento a corto plazo, así como una cuenta de SQS (servicio de cola simple) para supervisar los cambios en el cubo S3.

CTERA Syslog

Compatible con:CTERA

El conector de datos de CTERA para Microsoft Sentinel ofrece funcionalidades de supervisión y detección de amenazas para la solución CTERA. Incluye un libro en el que se visualiza la suma de todas las operaciones por tipo, las eliminaciones y las operaciones de acceso denegado. También proporciona reglas analíticas que detectan incidentes de ransomware y le alertan cuando un usuario está bloqueado debido a actividades sospechosas de ransomware. Además, le ayuda a identificar patrones críticos, como eventos masivos de denegación de acceso, eliminaciones masivas y cambios masivos de permisos, lo que permite una administración y respuesta proactivas ante las amenazas.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Syslog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Registros personalizados a través de AMA

Compatible con:Microsoft Corporation

Muchas aplicaciones registran información en archivos JSON o de texto en lugar de servicios de registro estándar, como registros de eventos de Windows, Syslog o CEF. El conector de datos de registros personalizados permite recopilar eventos de archivos en equipos Windows y Linux y transmitirlos a tablas de registros personalizadas que ha creado. Al transmitir los datos, puede analizar y transformar el contenido mediante dcR. Después de recopilar los datos, puede aplicar reglas analíticas, búsqueda, búsqueda, inteligencia sobre amenazas, enriquecimientos y mucho más.

NOTA: Use este conector para los siguientes dispositivos: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, servidor APACHE HTTP, Apache Tomcat, Jboss Enterprise application platform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP and AI vectra stream.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
JBossEvent_CL No No
JuniperIDP_CL
ApacheHTTPServer_CL
Tomcat_CL
meraki_CL
VectraStream_CL No No
MarkLogicAudit_CL No No
MongoDBAudit_CL
NGINX_CL
OracleWebLogicServer_CL
PostgreSQL_CL
SquidProxy_CL
Ubiquiti_CL
vcenter_CL
ZPA_CL
SecurityBridgeLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Permissions: para recopilar datos de máquinas virtuales no Azure, deben tener Azure Arc instalados y habilitados. Aprende más

Integración de punto ciego deCyber (con Azure Functions)

Compatible con:Cyber Threat Management 360

A través de la integración de API, tiene la capacidad de recuperar todos los problemas relacionados con las organizaciones de CBS a través de una interfaz RESTful.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CBSLog_Azure_1_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.

CyberArkAudit (using Azure Functions)

Compatible con:CyberArk Support

El conector de datos CyberArk Audit proporciona la capacidad de recuperar registros de eventos de seguridad del servicio CyberArk Audit y más eventos en Microsoft Sentinel a través de la API REST. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CyberArk_AuditEvents_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Auditar los detalles y las credenciales de la API REST: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint y AuditApiBaseUrl son necesarios para realizar llamadas API.

Cybersixgill Actionable Alerts (using Azure Functions)

Compatible con:Cybersixgill

Las alertas accionables proporcionan alertas personalizadas basadas en recursos configurados

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CyberSixgill_Alerts_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requieren Client_ID y Client_Secret para realizar llamadas API.

Alertas de Cyble Vision

Compatible con:Cyble Support

El Cyble Vision Alerts CCF Data Connector habilita la ingesta de alertas de amenazas de Cyble Vision en Microsoft Sentinel mediante codeless Connector Framework Connector. Recopila datos de alerta a través de la API, lo normaliza y lo almacena en una tabla personalizada para la detección avanzada, la correlación y la respuesta.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CybleVisionAlerts_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Token de Cyble Vision API: se requiere un token de API de Cyble Vision Platform.

Paquetes cyborg Security HUNTER Hunt

Compatible con:Cyborg Security

Cyborg Security es un proveedor líder de soluciones avanzadas de búsqueda de amenazas que tiene como misión capacitar a las organizaciones con tecnología de vanguardia y herramientas colaborativas para detectar y responder proactivamente a amenazas cibernéticas. La oferta insignia de Cyborg Security, la plataforma HUNTER, combina análisis eficaces, contenido de búsqueda de amenazas mantenido y funcionalidades completas de administración de búsquedas para crear un ecosistema dinámico para operaciones eficaces de búsqueda de amenazas.

Siga los pasos para obtener acceso a la comunidad de Cyborg Security y configurar las funcionalidades de Open in Tool (Abrir en herramienta) en la plataforma HUNTER.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityEvent

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

CYFIRMA Attack Surface

Compatible con:CYFIRMA

N/A

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CyfirmaASCertificatesAlerts_CL
CyfirmaASConfigurationAlerts_CL
CyfirmaASDomainIPReputationAlerts_CL
CyfirmaASOpenPortsAlerts_CL
CyfirmaASCloudWeaknessAlerts_CL
CyfirmaASDomainIPVulnerabilityAlerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Inteligencia de marca CYFIRMA

Compatible con:CYFIRMA

N/A

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CyfirmaBIDomainITAssetAlerts_CL
CyfirmaBIExecutivePeopleAlerts_CL
CyfirmaBIProductSolutionAlerts_CL
CyfirmaBISocialHandlersAlerts_CL
CyfirmaBIMaliciousMobileAppsAlerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Cuentas en peligro de CYFIRMA

Compatible con:CYFIRMA

El conector de datos CYFIRMA Compromised Accounts permite la ingesta de registros sin problemas desde la API DeCYFIR/DeTCT en Microsoft Sentinel. Basado en Microsoft Sentinel Codeless Connector Framework, aprovecha la API DeCYFIR/DeTCT para recuperar registros. Además, admite transformaciones de tiempo de ingesta basadas en DCR, que analizan los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de análisis en tiempo de consulta, lo que mejora el rendimiento y la eficacia.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CyfirmaCompromisedAccounts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Inteligencia Cibernética de CYFIRMA

Compatible con:CYFIRMA

El conector de datos CYFIRMA Cyber Intelligence permite la ingesta de registros sin problemas desde la API de DeCYFIR en Microsoft Sentinel. Basado en Microsoft Sentinel Codeless Connector Framework, aprovecha la API de alertas de DeCYFIR para recuperar registros. Además, admite transformaciones de tiempo de ingesta basadas en DCR, que analizan los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de análisis en tiempo de consulta, lo que mejora el rendimiento y la eficacia.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CyfirmaIndicators_CL
CyfirmaThreatActors_CL
CyfirmaCampaigns_CL
CyfirmaMalware_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Riesgo digital CYFIRMA

Compatible con:CYFIRMA

El conector de datos de alertas de riesgo digital CYFIRMA permite la ingesta de registros sin problemas desde la API DeCYFIR/DeTCT en Microsoft Sentinel. Basado en Microsoft Sentinel Codeless Connector Framework, aprovecha la API de alertas de DeCYFIR para recuperar registros. Además, admite transformaciones de tiempo de ingesta basadas en DCR, que analizan los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de análisis en tiempo de consulta, lo que mejora el rendimiento y la eficacia.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CyfirmaDBWMPhishingAlerts_CL
CyfirmaDBWMRansomwareAlerts_CL
CyfirmaDBWMDarkWebAlerts_CL
CyfirmaSPESourceCodeAlerts_CL
CyfirmaSPEConfidentialFilesAlerts_CL
CyfirmaSPEPIIAndCIIAlerts_CL
CyfirmaSPESocialThreatAlerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Inteligencia de vulnerabilidades de CYFIRMA

Compatible con:CYFIRMA

El conector de datos cyFIRMA Vulnerabilities Intelligence permite la ingesta de registros sin problemas desde la API de DeCYFIR en Microsoft Sentinel. Basado en Microsoft Sentinel Codeless Connector Framework, aprovecha las API CYFIRMA para recuperar registros. Además, admite transformaciones de tiempo de ingesta basadas en DCR, que analizan los datos de seguridad en una tabla personalizada durante la ingesta. Esto elimina la necesidad de análisis en tiempo de consulta, lo que mejora el rendimiento y la eficacia.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CyfirmaVulnerabilities_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Eventos de seguridad de Cynerio

Compatible con:Cynerio

El conector Cynerio permite conectar fácilmente los eventos de seguridad de Cynerio con Microsoft Sentinel, para ver eventos de IDS. Esto te brinda más información sobre la postura de seguridad de la red de tu organización y mejora tus capacidades de operación de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CynerioEvent_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Inteligencia sobre amenazas de Cyren

Compatible con:Data443 Risk Mitigation, Inc.

Ingesta de indicadores de reputación de IP y direcciones URL de malware de Cyren mediante Common Connector Framework (CCF).

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Cyren_Indicators_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Tokens JWT deCyren: tokens JWT almacenados en Azure Key Vault o proporcionados en el momento de la implementación.

Darktrace Connector for Microsoft Sentinel REST API

Compatible con:Darktrace

El conector de la API REST de Darktrace inserta eventos en tiempo real de Darktrace en Microsoft Sentinel y está diseñado para usarse con la solución Darktrace para Sentinel. El conector escribe registros en una tabla de registro personalizada titulada "darktrace_model_alerts_CL"; se pueden ingerir infracciones de modelos, incidentes del analista de IA, alertas del sistema y alertas de correo electrónico: se pueden configurar filtros adicionales en la página Configuración del sistema Darktrace. Los datos se insertan en Sentinel desde los maestros de Darktrace.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
darktrace_model_alerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Requisitos previos de Darktrace: para usar este conector de datos, se requiere un patrón darktrace que ejecute v5.2+ . Los datos se envían al Azure Monitor API del recopilador de datos HTTP a través de los HTTP de los maestros de Darktrace, por lo que se requiere conectividad saliente desde el maestro de Darktrace a Microsoft Sentinel API REST.
  • Filtrar datos de Darktrace: durante la configuración es posible configurar el filtrado adicional en la página Configuración del sistema Darktrace para restringir la cantidad o los tipos de datos enviados.
  • Try the Darktrace Sentinel Solution: Puede sacar el máximo partido de este conector instalando la solución Darktrace para Microsoft Sentinel. Esto proporcionará libros para visualizar las reglas de análisis y datos de alertas para crear automáticamente alertas e incidentes a partir de infracciones del modelo Darktrace e incidentes del analista de IA.

Datalake2Sentinel

Compatible con:Orange Cyberdefense

Esta solución instala el conector Datalake2Sentinel que se crea mediante codeless Connector Framework y permite ingerir automáticamente indicadores de inteligencia sobre amenazas de Datalake Orange Cyberdefense plataforma CTI en Microsoft Sentinel a través de la API REST de indicadores de carga. Después de instalar la solución, configure y habilite este conector de datos siguiendo las instrucciones en la vista Administrar solución.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Dataminr Pulse Alerts Data Connector (using Azure Functions)

Compatible con:Dataminr Support

Dataminr Pulse Alerts Data Connector lleva nuestra inteligencia en tiempo real con tecnología de inteligencia artificial a Microsoft Sentinel para una detección y respuesta de amenazas más rápidas.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DataminrPulse_Alerts_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos necesarios de Dataminr:

a. Los usuarios deben tener un Dataminr Pulse API válidoId. de cliente y secreto para usar este conector de datos.

b. Se deben configurar una o varias listas de reproducción de Pulse Pulse de Dataminr en el sitio web de Dataminr Pulse.

Datawiza DAP

Compatible con:Datawiza Technology Inc.

Conecta los registros de DAP de Datawiza a Azure Log Analytics a través de la interfaz de la API REST.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
datawizaserveraccess_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Derdack SIGNL4

Compatible con:Derdack

Cuando se producen errores en los sistemas críticos o se producen incidentes de seguridad, SIGNL4 conecta la "última milla" al personal, a los ingenieros, a los administradores de TI y a los trabajadores del campo. Agrega alertas móviles en tiempo real a los servicios, sistemas y procesos muy rápidamente. SIGNL4 envía una notificación a través de notificaciones de inserción para móviles, texto en SMS y llamadas de voz con confirmación, seguimiento y escalación. La programación integrada de deberes y turnos garantiza que se alerte a las personas adecuadas en el momento adecuado.

Más información

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityIncident

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Digital Shadows Searchlight (con Azure Functions)

Compatible con:Digital Shadows

El conector de datos De sombras digitales proporciona la ingesta de incidentes y alertas de Digital Shadows Searchlight en el Microsoft Sentinel mediante la API REST. La información de incidentes y alertas proporcionada por el conector le ayudará a examinar, diagnosticar y analizar los posibles riesgos y amenazas de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DigitalShadows_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere el identificador de la cuenta de Sombras digitales, el secreto y la clave . Consulte la documentación para obtener más información sobre la API en .

DNS

Compatible con:Microsoft Corporation

El conector de registro DNS permite conectar fácilmente los registros analíticos y de auditoría de DNS con Microsoft Sentinel y otros datos relacionados para mejorar la investigación.

Al habilitar la recopilación de registros DNS, puede hacer lo siguiente:

  • Identifique a los clientes que intentan resolver nombres de dominio malintencionados.
  • Identificar registros de recursos obsoletos.
  • Identifique los nombres de dominio consultados con frecuencia y los clientes DNS conversativos.
  • Ver la carga de solicitudes en servidores DNS.
  • Vea los errores de registro DNS dinámicos.

Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DnsEvents
DnsInventory

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Conector de datos de Doppel

Compatible con:Doppel

El conector de datos se basa en Microsoft Sentinel para eventos y alertas de Doppel y admite transformaciones de tiempo de ingestion que analiza los datos de eventos de seguridad recibidos en columnas personalizadas para que las consultas no necesiten volver a analizarla, lo que da lugar a un mejor rendimiento.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DoppelTable_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Microsoft Entra id. de inquilino, id. de cliente y secreto de cliente: Microsoft Entra ID requiere un identificador de cliente y un secreto de cliente para autenticar la aplicación. Además, se requiere acceso a nivel de Administrador global/Propietario para asignar a la aplicación registrada en Entra un rol de Publicador de métricas de supervisión del grupo de recursos.
  • Requires Workspace ID, DCE-URI, DCR-ID: tendrá que obtener el identificador del área de trabajo de Log Analytics, el identificador de ingesta de registros DCE y el identificador inmutable de DCR para la configuración.

Notificaciones de Dragos a través de Cloud Sitestore

Compatible con:Dragos Inc

La plataforma Dragos es la plataforma líder de ciberseguridad industrial que ofrece una completa detección de amenazas cibernéticas de tecnología operativa (OT) creada por una experiencia de ciberseguridad industrial inigualable. Esta solución permite que los datos de notificación de la plataforma Dragos se vean en Microsoft Sentinel para que los analistas de seguridad puedan evaluar posibles eventos de seguridad cibernética que se producen en sus entornos industriales.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DragosAlerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a la API de Almacén de sitios de Dragos: una cuenta de usuario de Sitestore que tenga el permiso. Esta cuenta también debe tener una clave de API que se pueda proporcionar a Sentinel.

Conector de eventos druva

Compatible con:Druva Inc

Proporciona capacidad para ingerir los eventos druva de las API de Druva.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DruvaSecurityEvents_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a la API druva: Druva API requiere un identificador de cliente y un secreto de cliente para autenticarse

Dynamics 365 Finance y Operations

Compatible con:Microsoft Corporation

Dynamics 365 for Finance and Operations es una solución completa de planificación de recursos empresariales (ERP) que combina funcionalidades financieras y operativas para ayudar a las empresas a administrar sus operaciones diarias. Ofrece una variedad de características que permiten a las empresas simplificar flujos de trabajo, automatizar tareas y obtener información sobre el rendimiento operativo.

El conector de datos de Dynamics 365 Finance y Operations ingiere Dynamics 365 Finance y actividades de administración de operaciones y registros de auditoría, así como registros de actividades de proceso empresarial y de aplicación de usuario en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
FinanceOperationsActivity_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Microsoft Entra registro de aplicaciones: identificador de cliente de aplicación y secreto que se usa para acceder a Dynamics 365 Finance y operaciones.

Dynamics365

Compatible con:Microsoft Corporation

El conector de actividades de Common Data Service (CDS) de Dynamics 365 proporciona información sobre las actividades de administración, usuario y soporte técnico, así como los eventos de registro de Microsoft Social Engagement. Al conectar Dynamics 365 registros de CRM a Microsoft Sentinel, puede ver estos datos en libros, usarlos para crear alertas personalizadas y mejorar el proceso de investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Dynamics365Activity No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Ataques de Dynatrace

Compatible con:Dynatrace

Este conector usa la API rest de ataques de Dynatrace para ingerir ataques detectados en Microsoft Sentinel Log Analytics

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DynatraceAttacks_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido con Application Security habilitado, obtenga más información sobre la plataforma Dynatrace.
  • Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace, el token debe tener el ámbito de ataques de lectura (ataques.read).

Registros de auditoría de Dynatrace

Compatible con:Dynatrace

Este conector usa la API REST de registros de auditoría de Dynatrace para ingerir registros de auditoría de inquilinos en Microsoft Sentinel Log Analytics

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DynatraceAuditLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido para obtener más información sobre la plataforma Dynatrace Iniciar la evaluación gratuita.
  • Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace, el token debe tener el ámbito Leer registros de auditoría (auditLogs.read).

Problemas de Dynatrace

Compatible con:Dynatrace

Este conector usa la API REST de problemas de Dynatrace para ingerir eventos de problemas en Microsoft Sentinel Log Analytics

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DynatraceProblems_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido para obtener más información sobre la plataforma Dynatrace Iniciar la evaluación gratuita.
  • Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace, el token debe tener problemas de lectura (problems.read ).

Vulnerabilidades en tiempo de ejecución de Dynatrace

Compatible con:Dynatrace

Este conector usa la API REST del problema de seguridad de Dynatrace para ingerir vulnerabilidades en tiempo de ejecución detectadas en Microsoft Sentinel Log Analytics.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DynatraceSecurityProblems_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Inquilino de Dynatrace (por ejemplo, xyz.dynatrace.com): necesita un inquilino de Dynatrace válido con Application Security habilitado, obtenga más información sobre la plataforma Dynatrace.
  • Token de acceso de Dynatrace: necesita un token de acceso de Dynatrace, el token debe tener problemas de seguridad de lectura (securityProblems.read).

Elastic Agent (independiente)

Compatible con:Microsoft Corporation

El conector de datos Elastic Agent proporciona la capacidad de ingerir registros, métricas y datos de seguridad de Elastic Agent en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ElasticAgentEvent No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Incluya los requisitos previos personalizados si la conectividad requiere; de lo contrario, elimine las aduanas: descripción para cualquier requisito previo personalizado.

Eventos de seguridad del explorador Ermes

Compatible con:Ermes Cyber Security S.p.A.

Eventos de seguridad del explorador Ermes

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ErmesBrowserSecurityEvents_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Id. de cliente y secreto de cliente de Ermes: habilite el acceso a la API en Ermes. Póngase en contacto con el soporte técnico de Ermes Cyber Security para obtener más información.

ESET Protect Platform (mediante Azure Functions)

Compatible con:ESET Enterprise Integrations

El conector de datos de ESET Protect Platform permite a los usuarios insertar datos de detecciones de ESET Protect Platform mediante la API REST de Integration. La API REST de integración se ejecuta como aplicación de funciones de Azure programada.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
IntegrationTable_CL
IntegrationTableIncidents_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Permission para registrar una aplicación en Microsoft Entra ID: se requieren permisos suficientes para registrar una aplicación con el inquilino de Microsoft Entra.
  • Permission para asignar un rol a la aplicación registrada: se requiere permiso para asignar el rol Publicador de métricas de supervisión a la aplicación registrada en Microsoft Entra ID.

Recopilador local de Exchange Security Insights

Supported by:Community

Conector usado para insertar la configuración de seguridad local de Exchange para Microsoft Sentinel Analysis

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ESIExchangeConfig_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Cuenta de servicio con rol de administración de la organización: la cuenta de servicio que inicia el script como tarea programada debe ser Administración de la organización para poder recuperar toda la información de seguridad necesaria.
  • Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí.

Exchange Security Insights Online Collector (con Azure Functions)

Supported by:Community

Conector usado para insertar la configuración de seguridad de Exchange Online para Microsoft Sentinel Analysis

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ESIExchangeOnlineConfig_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • microsoft.automation/automationaccounts permissions: se requieren permisos de lectura y escritura para crear un Azure Automation con un Runbook. Para más información, consulte Cuenta de Automation.
  • permisos Microsoft.Graph: Groups.Read, Users.Read y Auditing.Read son necesarios para recuperar información de usuario o grupo vinculada a asignaciones de Exchange Online. Vea la documentación para obtener más información.
  • permisos Exchange Online: permiso Exchange.ManageAsApp y Lector global o Security Reader Role son necesarios para recuperar el Exchange Online Security Configuration. Consulte la documentación para obtener más información.
  • (Opcional) Permisos de almacenamiento de registro: colaborador de datos de Storage Blob en una cuenta de almacenamiento vinculada a la identidad administrada de la cuenta de Automation o un identificador de aplicación es obligatorio almacenar registros. Consulte la documentación para obtener más información.

ExtraHop Detections Data Connector (using Azure Functions)

Compatible con:ExtraHop

El conector de datos ExtraHop Detections le permite importar datos de detección de ExtraHop RevealX para Microsoft Sentinel a través de cargas de webhook.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ExtraHop_Detections_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Permisos ExtraHop RevealX: se requiere lo siguiente en el sistema RevealX extraHop: 1.El sistema RevealX debe ejecutar la versión de firmware 9.9.2 o posterior. 2.El sistema RevealX debe estar conectado a ExtraHop Cloud Services. 3.La cuenta de usuario debe tener privilegios de Administración del sistema en RevealX 360 o privilegios de escritura completa en RevealX Enterprise.

F5 BIG-IP

Compatible con:F5 Networks

El conector de firewall F5 permite conectar fácilmente los registros de F5 con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le ofrece más información sobre la red de su organización y mejora las capacidades de las operaciones de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
F5Telemetry_LTM_CL No No
F5Telemetry_system_CL
F5Telemetry_ASM_CL No No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Feedly IoC

Compatible con:Feedly Inc

El conector de datos Feedly ioC proporciona la capacidad de ingerir indicadores de riesgo (IoCs) desde feedly API en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
feedly_indicators_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Acceso a la API de feedly: se requiere acceso a feedly API. Necesita un token de API de feedly con acceso a los flujos de IoC que desea ingerir. Generación del token de API en

Conector de inserción de llamar a la luz

Compatible con:Flare

El conector Flare proporciona la capacidad de ingerir información sobre amenazas y datos de exposición de Flare en Microsoft Sentinel. Flare identifica los recursos digitales de su empresa que están disponibles públicamente debido a errores humanos o ataques malintencionados, incluidas las credenciales filtradas, cubos de nube expuestos, menciones de darkweb, etc.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
FireworkV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en la regla de recopilación de datos (DCR).
  • Flare: permiso para configurar la integración de Microsoft Sentinel en Flare.

Forcepoint DLP

Supported by:Community

El conector Forcepoint DLP (Prevención de pérdida de datos) permite exportar automáticamente datos de incidentes DLP de Forcepoint DLP a Microsoft Sentinel en tiempo real. Esto enriquece la visibilidad de las actividades del usuario y los incidentes de pérdida de datos, permite una mayor correlación con los datos de las cargas de trabajo de Azure y otras fuentes, y mejora la funcionalidad de supervisión con libros dentro de Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ForcepointDLPEvents_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Explorador Avanzado

Compatible con:Microsoft Corporation

El conector de datos Forescout proporciona la capacidad de ingerir eventos Forescout en Microsoft Sentinel. Consulte la documentación de Forescout para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ForescoutEvent No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Monitor de propiedades de host de Forescout

Compatible con:Microsoft Corporation

El conector forescout Host Property Monitor permite conectar propiedades de host desde la plataforma Forescout con Microsoft Sentinel, para ver, crear incidentes personalizados y mejorar la investigación. Esto le ofrece más información sobre la red de su organización y mejora las capacidades de las operaciones de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ForescoutHostProperties_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Requisito del complementoForescout: Asegúrese de que forescout Microsoft Sentinel plugin se ejecuta en la plataforma Forescout.

Fortinet FortiNDR Cloud

Compatible con:Fortinet

El conector de datos fortiNDR En la nube fortiNDR de Fortinet proporciona la capacidad de ingerir datos Fortinet FortiNDR Cloud en Microsoft Sentinel mediante la API en la nube fortiNDR.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
FncEventsSuricata_CL No No
FncEventsObservation_CL No No
FncEventsDetections_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de MetaStream: Aws Access Key Id, AWS Secret Access Key, FortiNDR Cloud Account Code are required to retrieve event data.
  • Credenciales de API: FortiNDR Cloud API Token, se requiere UUID de cuenta en la nube fortiNDR para recuperar los datos de detección.

Garrison ULTRA Remote Logs (using Azure Functions)

Compatible con:Garrison

El conector de registros remotos Garrison ULTRA permite ingerir registros remotos ultra de Garrison en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Garrison_ULTRARemoteLogs_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Garrison ULTRA: para usar este conector de datos, debe tener una licencia Ultra de Garrison activa.

Ejecución en la nube de GCP (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos GCP Cloud Run proporciona la capacidad de ingerir registros de solicitud de ejecución en la nube en Microsoft Sentinel mediante Pub/Sub. Consulte la Descripción general de Cloud Run para obtener más detalles.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPCloudRun

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

GCP Cloud SQL (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de SQL de GCP Cloud proporciona la capacidad de ingerir registros de auditoría en Microsoft Sentinel mediante la API de SQL de GCP Cloud. Consulte la documentación de registros de auditoría de SQL en la nube de GCP para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPCloudSQL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Registros de auditoría de GCP Pub/Sub

Compatible con:Microsoft Corporation

Los registros de auditoría de Google Cloud Platform (GCP), ingeridos desde el conector de Microsoft Sentinel, le permiten capturar tres tipos de registros de auditoría: registros de actividad de administración, registros de acceso a datos y registros de transparencia de acceso. Los registros de auditoría de Google Cloud registran un rastro que los profesionales pueden usar para supervisar el acceso y detectar posibles amenazas en los recursos de Google Cloud Platform (GCP).

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPAuditLogs

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

GCP Pub/Sub Load Balancer Logs (via Codeless Connector Framework).

Compatible con:Microsoft Corporation

Los registros de Google Cloud Platform (GCP) Load Balancer proporcionan información detallada sobre el tráfico de red, capturando las actividades entrantes y salientes. Estos registros se usan para supervisar los patrones de acceso e identificar posibles amenazas de seguridad en los recursos de GCP. Además, estos registros también incluyen registros de GCP Web Application Firewall (WAF), lo que mejora la capacidad de detectar y mitigar los riesgos de forma eficaz.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPLoadBalancerLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Registros de flujo de GCP Pub/Sub VPC (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Los registros de flujo de VPC de Google Cloud Platform (GCP) le permiten capturar la actividad de tráfico de red en el nivel de VPC, lo que le permite supervisar los patrones de acceso, analizar el rendimiento de la red y detectar posibles amenazas en los recursos de GCP.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPVPCFlow

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Conector de datos Gigamon AMX

Compatible con:Gigamon

Use este conector de datos para integrarse con Gigamon Application Metadata Exporter (AMX) y obtener datos enviados directamente a Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Gigamon_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

GitHub (mediante webhooks)

Compatible con:Microsoft Corporation

El conector de datos GitHub webhook proporciona la capacidad de ingerir eventos GitHub suscritos en Microsoft Sentinel mediante eventos de webhook GitHub eventos de webhook. El conector proporciona capacidad para introducir eventos en Microsoft Sentinel que ayudan a examinar posibles riesgos de seguridad, analizar el uso de colaboración del equipo, diagnosticar problemas de configuración y mucho más.

Note: Si está pensado para ingerir registros de auditoría de Github, consulte GitHub Enterprise Audit Log Connector de la galería "Data Connectors".

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
githubscanaudit_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.

GitHub Registro de auditoría empresarial (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de registro de auditoría de GitHub proporciona la capacidad de ingerir registros de GitHub en Microsoft Sentinel. Al conectar GitHub registros de auditoría a Microsoft Sentinel, puede ver estos datos en libros, usarlos para crear alertas personalizadas y mejorar el proceso de investigación.

Note: Si pretende ingerir eventos suscritos GitHub en Microsoft Sentinel, consulte GitHub (mediante Webhooks) Connector de "Data Connectors".

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GitHubAuditLogsV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • GitHub token de acceso personal de api: para habilitar el sondeo para el registro de auditoría enterprise, asegúrese de que el usuario autenticado es un administrador de empresa y tiene un token de acceso personal (clásico) GitHub con el ámbito de read:audit_log.
  • GitHub tipo Enterprise: este conector solo funcionará con GitHub Enterprise Cloud; no admitirá GitHub Enterprise Server.

Google ApigeeX (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Google ApigeeX proporciona la capacidad de ingerir registros de auditoría en Microsoft Sentinel mediante la API de Google Apigee. Consulte la documentación de Google Apigee API para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPApigee

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

CDN de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de CDN de Google Cloud Platform proporciona la capacidad de ingerir registros de auditoría de CDN en la nube y registros de tráfico de RED CDN en la nube en Microsoft Sentinel mediante compute Engine API. Consulte el documento Información general del producto para obtener más detalles.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPCDN

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Google Cloud Platform Cloud IDS (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de IDS de Google Cloud Platform proporciona la capacidad de ingerir registros de tráfico de IDS en la nube, registros de amenazas y registros de auditoría en Microsoft Sentinel mediante la API de IDS de Google Cloud. Consulte la documentación de cloud IDS API para más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPIDS

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Supervisión en la nube de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de supervisión en la nube de Google Cloud Platform ingiere registros de supervisión de Google Cloud en Microsoft Sentinel mediante la API de supervisión en la nube de Google. Consulte la documentación de Cloud Monitoring API para más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPMonitoring

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Motor de proceso de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Google Cloud Platform Compute Engine proporciona la capacidad de ingerir registros de auditoría del motor de proceso en Microsoft Sentinel mediante google Cloud Compute Engine API. Consulte la documentación de Cloud Compute Engine API para más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPComputeEngine

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

DNS de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos DNS de Google Cloud Platform proporciona la capacidad de ingerir registros de consultas DNS en la nube y registros de auditoría de DNS en la nube en Microsoft Sentinel mediante la API DNS de Google Cloud. Consulte la documentación de la API de DNS en la nube para más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPDNS

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

IAM de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de IAM de Google Cloud Platform proporciona la capacidad de ingerir los registros de auditoría relacionados con las actividades de administración de identidades y acceso (IAM) dentro de Google Cloud en Microsoft Sentinel mediante la API de Google IAM. Consulte la documentación de la API de IAM de GCP para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPIAM

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

NAT de Google Cloud Platform (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos NAT de Google Cloud Platform proporciona la capacidad de ingerir registros de auditoría de NAT en la nube y registros de tráfico NAT en la nube en Microsoft Sentinel mediante compute Engine API. Consulte el documento Información general del producto para obtener más detalles.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPNATAudit
GCPNAT

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Google Cloud Platform Resource Manager (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Google Cloud Platform Resource Manager proporciona la capacidad de ingerir Resource Manager Administrar registros de auditoría de actividad y acceso a datos en Microsoft Sentinel mediante cloud Resource Manager API. Consulte el documento Información general del producto para obtener más detalles.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GCPResourceManager

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Google Kubernetes Engine (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Los registros de Google Kubernetes Engine (GKE) permiten capturar la actividad del clúster, el comportamiento de la carga de trabajo y los eventos de seguridad, lo que le permite supervisar las cargas de trabajo de Kubernetes, analizar el rendimiento y detectar posibles amenazas en clústeres de GKE.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GKEAudit

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Centro de comandos de Seguridad de Google

Compatible con:Microsoft Corporation

El Centro de comandos de seguridad de Google Cloud Platform (GCP) es una plataforma completa de administración de riesgos y seguridad para Google Cloud, ingerida desde el conector de Sentinel. Ofrece características como el inventario de recursos y la detección, la detección de vulnerabilidades y amenazas, y la mitigación y corrección de riesgos para ayudarle a obtener información sobre la superficie de ataque de datos y seguridad de su organización. Esta integración le permite realizar tareas relacionadas con los resultados y los recursos de forma más eficaz.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GoogleCloudSCC

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Actividades de Google Workspace (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos Google Workspace Activities proporciona la capacidad de ingerir eventos de actividad de Google Workspace API en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GoogleWorkspaceReports

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a la API de Google Workspace: se requiere acceso a la API de actividades de Google Workspace a través de Oauth.

Inteligencia de Amenazas GreyNoise

Compatible con:GreyNoise

Este conector de datos instala una aplicación de función de Azure para descargar indicadores GreyNoise una vez al día e insertarlos en la tabla ThreatIntelligenceIndicator en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Clave de API GreyNoise: recupere la clave de API GreyNoise aquí.

HackerView (con Azure Functions)

Compatible con:Cyber Threat Management 360

A través de la integración de API, tiene la funcionalidad de recuperar todos los problemas relacionados con las organizaciones de HackerView a través de una interfaz RESTful.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
HackerViewLog_Azure_1_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.

Conector halcyon

Compatible con:Halcyon

El conector Halcyon proporciona la capacidad de enviar datos de Halcyon a Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
HalcyonAuthenticationEvents_CL No No
HalcyonDnsActivity_CL No No
HalcyonFileActivity_CL No No
HalcyonNetworkSession_CL No No
HalcyonProcessEvent_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Microsoft Entra Crear permisos: permisos para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Permisos de asignación de roles: permisos de escritura necesarios para asignar el rol Publicador de métricas de supervisión a la regla de recopilación de datos (DCR). Normalmente, requiere el rol Propietario o Administrador de acceso de usuario en el nivel de grupo de recursos.

Holm Security Asset Data (using Azure Functions)

Compatible con:Holm Security

El conector proporciona la capacidad de sondear datos de Holm Security Center en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
net_assets_CL No No
web_assets_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Holm API para seguridad Token: se requiere Holm API para seguridad Token. Holm API para seguridad Token

IIS Logs of Microsoft Exchange Servers

Supported by:Community

[Opción 5] - Uso del agente de Azure Monitor: puede transmitir todos los registros de IIS desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite crear alertas personalizadas y mejorar la investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
W3CIISLog No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Log Analytics quedará en desuso para recopilar datos de máquinas virtuales que no son de Azure, se recomienda Azure Arc. Aprende más
  • Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí.

Iluminio Insights

Compatible con:Illumio

El conector de datos de Illumio Insights permite ingerir registros de la API de Illumio en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel Codeless Connector Framework. Usa la API Illumio para capturar registros y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada para que las consultas no necesiten volver a analizarlos, lo que da lugar a un mejor rendimiento.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
IlumioInsights

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Resumen de Illumio Insights

Compatible con:Illumio

El conector de datos de resumen de Illumio Insights proporciona la capacidad de ingerir Illumio información de seguridad e informes de análisis de amenazas en Microsoft Sentinel a través de la API REST. Consulte la documentación de Illumio API para obtener más información. El conector proporciona la capacidad de obtener informes de resumen diarios y semanales de Illumio y visualizarlos en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
IllumioInsightsSummary_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Acceso a la API de Illumio: el acceso a la API de Illumio API es necesaria para la API de resumen de Illumio Insights.

Illumio SaaS (con Azure Functions)

Compatible con:Illumio

Illumio conector proporciona la capacidad de ingerir eventos en Microsoft Sentinel. El conector proporciona la capacidad de ingerir eventos auditables y de flujo desde el cubo de AWS S3.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la cuenta de SQS y AWS S3: se requiere AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Si usa el depósito de s3 proporcionado por Illumio, comuníquese con el soporte técnico de Illumio. Con su solicitud, le proporcionarán el nombre del depósito de AWS S3, la dirección URL de AWS SQS y las credenciales de AWS para el acceso.
  • Clave y secreto de la API de Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET es necesario para que un libro realice la conexión a PCE de SaaS y capture respuestas de API.

Imperva Cloud WAF (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Imperva Cloud WAF proporciona la capacidad de integrar e ingerir eventos Web Application Firewall en Microsoft Sentinel a través de la API REST. Consulte la documentación sobre la integración de registros para obtener más información. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ImpervaWAFCloud_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI son necesarios para la API. Para obtener más información, consulte Proceso de integración de registros de instalación. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales. Tenga en cuenta que este conector usa el formato de evento de registro CEF. Más información sobre el formato de registro.

Infoblox Cloud Data Connector mediante AMA

Compatible con:Infoblox

Infoblox Cloud Data Connector permite conectar fácilmente los datos de Infoblox con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de búsqueda y correlación, alertas y enriquecimiento de inteligencia sobre amenazas para cada registro.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommonSecurityLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Conector de datos de Infoblox a través de la API REST

Compatible con:Infoblox

Infoblox Data Connector le permite conectar fácilmente los datos de Infoblox TIDE y los datos de Dossier con Microsoft Sentinel. Al conectar sus datos a Microsoft Sentinel, puede aprovechar las ventajas de búsqueda y correlación, alertas y enriquecimiento de inteligencia sobre amenazas para cada registro.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Failed_Range_To_Ingest_CL No No
Infoblox_Failed_Indicators_CL No No
dossier_whois_CL No No
dossier_whitelist_CL No No
dossier_tld_risk_CL No No
dossier_threat_actor_CL No No
dossier_rpz_feeds_records_CL No No
dossier_rpz_feeds_CL No No
dossier_nameserver_matches_CL No No
dossier_nameserver_CL No No
dossier_malware_analysis_v3_CL No No
dossier_inforank_CL No No
dossier_infoblox_web_cat_CL No No
dossier_geo_CL No No
dossier_dns_CL No No
dossier_atp_threat_CL No No
dossier_atp_CL No No
dossier_ptr_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere la clave de API de Infoblox . Consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Conector de datos de Infoblox SOC Insight a través de AMA

Compatible con:Infoblox

Infoblox SOC Insight Data Connector permite conectar fácilmente los datos de Infoblox BloxOne SOC Insight con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de búsqueda y correlación, alertas y enriquecimiento de inteligencia sobre amenazas para cada registro.

Este conector de datos ingiere los registros CDC de Infoblox SOC Insight en el área de trabajo de Log Analytics mediante el nuevo agente de Azure Monitor. Obtenga más información sobre la ingesta con el nuevo agente de Azure Monitor here. Microsoft recomienda usar este conector de datos.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommonSecurityLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Para recopilar datos de máquinas virtuales que no son de Azure, deben tener Azure Arc instalados y habilitados. Aprende más
  • Se debe instalar common Event Format (CEF) a través de AMA y Syslog a través de conectores de datos AMA. Aprende más

Conector de datos de Infoblox SOC Insight a través de la API REST

Compatible con:Infoblox

Infoblox SOC Insight Data Connector permite conectar fácilmente los datos de Infoblox BloxOne SOC Insight con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de búsqueda y correlación, alertas y enriquecimiento de inteligencia sobre amenazas para cada registro.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
InfobloxInsight_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Conector de datos InfoSecGlobal

Compatible con:InfoSecGlobal

Use este conector de datos para integrarse con InfoSec Crypto Analytics y obtener datos enviados directamente a Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
InfoSecAnalytics_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Registros de seguridad de IONIX

Compatible con:IONIX

El conector de datos registros de seguridad de IONIX ingiere registros del sistema IONIX directamente en Sentinel. El conector permite a los usuarios visualizar sus datos, crear alertas e incidentes y mejorar las investigaciones de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CyberpionActionItems_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Suscripción a IONIX: se requiere una suscripción y una cuenta para los registros DE IONIX. Se puede adquirir uno aquí.

Auditoría de administración de Island Enterprise Browser (SONDEO CCF)

Compatible con:Island

El conector de administración de Island proporciona la capacidad de ingerir registros de auditoría de administrador de islas en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Island_Admin_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Clave de API de isla: se requiere una clave de API de isla.

Actividad de usuario de Island Enterprise Browser (sondeo CCF)

Compatible con:Island

El conector Island proporciona la capacidad de ingerir registros de actividad de usuario de isla en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Island_User_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Clave de API de isla: se requiere una clave de API de isla.

Conector de inserción de Jamf Protect

Compatible con:Jamf Software, LLC

El conector Jamf Protect proporciona la capacidad de leer datos de eventos sin procesar de Jamf Protect en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
jamfprotecttelemetryv2_CL
jamfprotectunifiedlogs_CL
jamfprotectalerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente requiere Azure rol de administrador de acceso de usuario o propietario de RBAC

JoeSandboxThreatIntelligence (using Azure Functions)

Compatible con:Stefan Bühlmann

El conector JoeSandboxThreatIntelligence genera y alimenta automáticamente la inteligencia sobre amenazas para todos los envíos a JoeSandbox, lo que mejora la detección de amenazas y la respuesta a incidentes en Sentinel. Esta integración fluida permite a los equipos abordar de forma proactiva amenazas emergentes.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en azure active directory() y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere la clave de API joeSandbox .

Conector de inserción de seguridad de Keeper

Compatible con:Keeper Security

El conector Keeper Security proporciona la capacidad de leer datos de eventos sin procesar de Keeper Security en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
KeeperSecurityEventNewLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente requiere Azure rol de administrador de acceso de usuario o propietario de RBAC

LastPass Enterprise: informes (SONDEO CCF)

Compatible con:The Collective Consulting

El conector LastPass Enterprise proporciona la funcionalidad de los registros de informes (auditoría) de LastPass en Microsoft Sentinel. El conector proporciona visibilidad sobre los inicios de sesión y la actividad en LastPass (por ejemplo, leer y quitar contraseñas).

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
LastPassNativePoller_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • LastPass API Key y CID: se requiere una clave de API LastPass y CID. Para obtener más información, consulte LastPass API.

Conector de detección de amenazas móviles de Lookout (a través de Codeless Connector Framework) (versión preliminar)

Compatible con:Lookout

El conector de datos Lookout Mobile Threat Detection proporciona la capacidad de ingerir eventos relacionados con los riesgos de seguridad móvil en Microsoft Sentinel a través de mobile Risk API. Para más información, consulte la documentación de la API. Este conector le ayuda a examinar los posibles riesgos de seguridad detectados en dispositivos móviles.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
LookoutMtdV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

IoCs y credenciales filtradas (mediante Azure Functions)

Compatible con:Cognyte Luminar

IOC de Luminar y conector de Credenciales filtradas permite la integración de datos de IOC basados en inteligencia y registros filtrados relacionados con el cliente identificados por Luminar.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en azure active directory() y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requieren el identificador de cliente de Luminar, el secreto de cliente de Luminar y el identificador de cuenta de Luminar .

MailGuard 365

Compatible con:MailGuard 365

Seguridad de correo electrónico mejorada de MailGuard 365 para Microsoft 365. Exclusivo de Microsoft Marketplace, MailGuard 365 se integra con Microsoft 365 seguridad (incluido Defender) para una protección mejorada frente a amenazas avanzadas de correo electrónico, como phishing, ransomware y sofisticados ataques BEC.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
MailGuard365_Threats_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

MailRisk por práctica segura (mediante Azure Functions)

Compatible con:Secure Practice

Conector de datos para insertar correos electrónicos de MailRisk en Microsoft Sentinel Log Analytics.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
MailRiskEmails_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de API: también se necesita el par de claves de API de prácticas seguras, que se crean en la configuración del portal de administración. Si ha perdido el secreto de API, puede generar un nuevo par de claves (ADVERTENCIA: Cualquier otra integración que use el par de claves anterior dejará de funcionar).

Microsoft 365 (anteriormente, Office 365)

Compatible con:Microsoft Corporation

El conector de registro de actividad de Microsoft 365 (anteriormente, Office 365) proporciona información sobre las actividades de usuario en curso. Obtendrá detalles de las operaciones, como descargas de archivos, solicitudes de acceso enviadas, cambios en eventos de grupo, buzón de correo y detalles del usuario que realizó las acciones. Al conectar Microsoft 365 registros en Microsoft Sentinel puede usar estos datos para ver paneles, crear alertas personalizadas y mejorar el proceso de investigación. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
OfficeActivity

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft 365 Administración de riesgos internos

Compatible con:Microsoft Corporation

Microsoft 365 Administración de riesgos internos es una solución de cumplimiento en Microsoft 365 que ayuda a minimizar los riesgos internos al permitirle detectar, investigar y actuar sobre actividades malintencionadas e involuntarias en su organización. Los analistas de riesgo de su organización pueden tomar rápidamente las medidas adecuadas para asegurarse de que los usuarios cumplen los estándares de cumplimiento de su organización.

Las directivas de riesgo interno le permiten:

  • defina los tipos de riesgos que desea identificar y detectar en su organización.
  • decida qué acciones realizar en respuesta, incluida la escala de casos a eDiscovery avanzados de Microsoft si es necesario.

Esta solución genera alertas que los clientes de Office pueden ver en la solución De administración de riesgos internos en Microsoft 365 Centro de cumplimiento. Más información sobre la administración de riesgos internos.

Estas alertas se pueden importar en Microsoft Sentinel con este conector, lo que le permite ver, investigar y responder a ellas en un contexto de amenazas organizativo más amplio. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityAlert

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Registros de eventos de seguridad de controladores de dominio de Microsoft Active-Directory

Supported by:Community

[Opción 3 y 4] - El uso de Azure Monitor Agente -You puede transmitir una parte o todos los registros de eventos de seguridad de controladores de dominio desde las máquinas de Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite crear alertas personalizadas y mejorar la investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityEvent

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Log Analytics quedará en desuso para recopilar datos de máquinas virtuales que no son de Azure, se recomienda Azure Arc. Aprende más
  • Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí.

Microsoft Copilot

Compatible con:Microsoft

El conector de registros de Microsoft Copilot en Microsoft Sentinel permite la ingesta sin problemas de registros de actividad generados por Copilot en Microsoft Sentinel para la detección avanzada de amenazas, la investigación y la respuesta. Recopila telemetría de Microsoft Copilot servicios , como datos de uso, avisos y respuestas del sistema, e ingiere en Microsoft Sentinel, lo que permite a los equipos de seguridad supervisar el uso incorrecto, detectar anomalías y mantener el cumplimiento de las directivas de la organización.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CopilotActivity No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Permisos de inquilino: "Administrador de seguridad" o "Administrador global" en el inquilino del área de trabajo.

Microsoft Dataverse

Compatible con:Microsoft Corporation

Microsoft Dataverse es una plataforma de datos escalable y segura que permite a las organizaciones almacenar y administrar datos usados por las aplicaciones empresariales. El conector de datos Microsoft Dataverse proporciona la capacidad de ingerir Dataverse y Dynamics 365 registros de actividad de CRM desde el registro de auditoría de Microsoft Purview en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
DataverseActivity

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Permisos de inquilino: "Administrador de seguridad" o "Administrador global" en el inquilino del área de trabajo.
  • Auditoría de Purview deMicorosft: se debe activar Microsoft Purview Audit (Estándar o Premium).
  • Production Dataverse: el registro de actividad solo está disponible para entornos de producción. Otros tipos, como el espacio aislado, no admiten el registro de actividad.
  • Configuración de auditoría de Dataverse: las opciones de auditoría deben configurarse tanto globalmente como en el nivel de entidad o tabla. Para obtener más información, consulte Configuración de auditoría de Dataverse.

Microsoft Defender for Cloud Apps

Compatible con:Microsoft Corporation

Al conectarse con Microsoft Defender for Cloud Apps obtendrá visibilidad sobre las aplicaciones en la nube, obtendrá análisis sofisticados para identificar y combatir ciberamenazas y controlar cómo viajan los datos.

  • Identifique las aplicaciones en la nube de TI en sombra en la red.
  • Controlar y limitar el acceso en función de las condiciones y el contexto de sesión.
  • Use directivas integradas o personalizadas para el uso compartido de datos y la prevención de pérdida de datos.
  • Identifique el uso de alto riesgo y obtenga alertas para actividades inusuales del usuario con las funcionalidades de análisis de comportamiento y detección de anomalías de Microsoft, incluida la actividad ransomware, viajes imposibles, reglas de reenvío de correo electrónico sospechosas y descarga masiva de archivos.
  • Descarga masiva de archivos

Implementar ahora

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityAlert​ No No
McasShadowItReporting​ No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Microsoft Defender para punto de conexión

Compatible con:Microsoft Corporation

Microsoft Defender para punto de conexión es una plataforma de seguridad diseñada para evitar, detectar, investigar y responder a amenazas avanzadas. La plataforma crea alertas cuando se detectan eventos de seguridad sospechosos en una organización. Captura de alertas generadas en Microsoft Defender para punto de conexión para Microsoft Sentinel para poder analizar de forma eficaz los eventos de seguridad. Puede crear reglas, paneles y cuadernos de estrategias para obtener una respuesta inmediata. Para obtener más información, consulte la documentación Microsoft Sentinel >.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityAlert

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Defender for Identity

Compatible con:Microsoft Corporation

Conecte Microsoft Defender for Identity para obtener visibilidad de los eventos y el análisis de usuarios. Microsoft Defender for Identity identifica, detecta y ayuda a investigar amenazas avanzadas, identidades en peligro y acciones internas malintencionadas dirigidas a su organización. Microsoft Defender for Identity permite a los analistas y profesionales de seguridad de SecOp que tienen dificultades para detectar ataques avanzados en entornos híbridos para:

  • Supervisión de usuarios, comportamiento de entidades y actividades con análisis basados en aprendizaje
  • Protección de identidades y credenciales de usuario almacenadas en Active Directory
  • Identificar e investigar actividades sospechosas del usuario y ataques avanzados a lo largo de la cadena de eliminación
  • Proporcionar información clara sobre incidentes en una escala de tiempo sencilla para evaluar rápidamente

Pruebe ahora

Implementar ahora

Para obtener más información, consulte la documentación Microsoft Sentinel >.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityAlert

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Defender para IoT

Compatible con:Microsoft Corporation

Obtenga información sobre la seguridad de IoT mediante la conexión de alertas de Microsoft Defender para IoT a Microsoft Sentinel. Puede obtener métricas y datos de alertas predefinidos, incluidas las tendencias de alertas, las alertas principales y el desglose de alertas por gravedad. También puede obtener información sobre las recomendaciones proporcionadas para los centros de IoT, incluidas las principales recomendaciones y las recomendaciones por gravedad. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityAlert

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Defender para Office 365 (versión preliminar)

Compatible con:Microsoft Corporation

Microsoft Defender para Office 365 protege a su organización frente a amenazas malintencionadas planteadas por mensajes de correo electrónico, vínculos (direcciones URL) y herramientas de colaboración. Al ingerir alertas Microsoft Defender para Office 365 en Microsoft Sentinel, puede incorporar información sobre amenazas basadas en correo electrónico y url en su análisis de riesgos más amplio y crear escenarios de respuesta en consecuencia.

Se importarán los tipos de alertas siguientes:

  • Se detectó un clic de dirección URL potencialmente malintencionada.
  • Mensajes de correo electrónico que contienen malware eliminado después de la entrega
  • Mensajes de correo electrónico que contienen direcciones URL de phish eliminadas después de la entrega
  • Correo electrónico notificado por el usuario como malware o phish
  • Se detectaron patrones de envío de correo electrónico sospechosos
  • El usuario ha restringido el envío de correo electrónico

Los clientes de Office pueden ver estas alertas en el ** Centro de seguridad y cumplimiento de Office**.

Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityAlert

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Defender Inteligencia sobre amenazas

Compatible con:Microsoft Corporation

Microsoft Sentinel proporciona la capacidad de importar la inteligencia sobre amenazas generada por Microsoft para habilitar la supervisión, las alertas y la búsqueda. Use este conector de datos para importar indicadores de riesgo (IOC) de Microsoft Defender Inteligencia sobre amenazas (MDTI) a Microsoft Sentinel. Los indicadores de amenazas pueden ser direcciones IP, dominios, direcciones URL y hash de archivos, etcétera.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Defender XDR

Compatible con:Microsoft Corporation

Microsoft Defender XDR es un conjunto de defensa empresarial unificado, integrado de forma nativa, previa y posterior a la vulneración que protege el punto de conexión, la identidad, el correo electrónico y las aplicaciones, y le ayuda a detectar, evitar, investigar y responder automáticamente a amenazas sofisticadas.

Microsoft Defender XDR suite incluye:

  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Identity
  • Microsoft Defender para Office 365
  • Administración de amenazas y vulnerabilidades
  • Microsoft Defender for Cloud Apps

Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityIncident
SecurityAlert
DeviceEvents
EmailEvents
IdentityLogonEvents
CloudAppEvents
AlertEvidence

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Entra ID

Compatible con:Microsoft Corporation

Obtenga información sobre Microsoft Entra ID conectando los registros de auditoría e inicio de sesión a Microsoft Sentinel para recopilar información sobre escenarios de Microsoft Entra ID. Los registros de inicio de sesión permiten obtener información sobre el uso de las aplicaciones, las directivas de acceso condicional y las autenticaciones heredadas. Puede obtener información sobre el uso del autoservicio de restablecimiento de contraseña (SSPR), Microsoft Entra ID actividades de administración como usuario, grupo, rol, administración de aplicaciones mediante nuestra tabla Registros de auditoría. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SigninLogs
AuditLogs
AADNonInteractiveUserSignInLogs
AADServicePrincipalSignInLogs
AADManagedIdentitySignInLogs
AADProvisioningLogs
ADFSSignInLogs
AADUserRiskEvents
AADRiskyUsers
NetworkAccessTraffic
AADRiskyServicePrincipals
AADServicePrincipalRiskEvents

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Entra ID Assets

Compatible con:Microsoft Corporation

El conector de datos de recursos entra ID proporciona información más completa sobre los datos de actividad complementando los detalles con información de recursos. Los datos de este conector se usan para crear gráficos de riesgo de datos en Purview. Si ha habilitado esos gráficos, la desactivación de este conector impedirá la creación de los gráficos. Obtenga información sobre el gráfico de riesgo de datos.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Protección de Microsoft Entra ID

Compatible con:Microsoft Corporation

Protección de Microsoft Entra ID proporciona una vista consolidada de los usuarios de riesgo, los eventos de riesgo y las vulnerabilidades, con la capacidad de corregir el riesgo inmediatamente y establecer directivas para corregir automáticamente los eventos futuros. El servicio se basa en la experiencia de Microsoft en la protección de las identidades de los consumidores y obtiene una enorme precisión de la señal de más de 13 000 millones de inicios de sesión al día. Integre alertas de Microsoft Protección de Microsoft Entra ID con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Para obtener más información, consulte la documentación Microsoft Sentinel .

Get Microsoft Entra ID Premium P1/P2

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityAlert

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Exchange registros de auditoría de administración por registros de eventos

Supported by:Community

[Opción 1] - Con Azure Monitor Agent: puede transmitir todos los eventos de auditoría de Exchange desde las máquinas de Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación, Los libros de seguridad de Microsoft Exchange lo usan para proporcionar información de seguridad del entorno local de Exchange.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Event No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Log Analytics quedará en desuso para recopilar datos de máquinas virtuales que no son de Azure, se recomienda Azure Arc. Aprende más
  • Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí.

Microsoft Exchange registros de proxy HTTP

Supported by:Community

[Opción 7] - Con Azure Monitor Agent: puede transmitir registros de proxy HTTP y registros de eventos de seguridad desde las máquinas de Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite crear alertas personalizadas y mejorar la investigación. Aprende más

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ExchangeHttpProxy_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Log Analytics quedará en desuso: Azure Log Analytics quedará en desuso, para recopilar datos de máquinas virtuales que no son de Azure, se recomienda Azure Arc. Aprende más
  • Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí.

Microsoft Exchange Registros y eventos

Supported by:Community

[Opción 2] - Usar Azure Monitor Agente - Puede transmitir todas las seguridad de Exchange y Registros de eventos de aplicación de las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite crear alertas personalizadas y mejorar la investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Event No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Log Analytics quedará en desuso: Azure Log Analytics quedará en desuso, para recopilar datos de máquinas virtuales que no son de Azure, se recomienda Azure Arc. Aprende más
  • Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí.

Microsoft Exchange registros de seguimiento de mensajes

Supported by:Community

[Opción 6] - Uso del agente de Azure Monitor: puede transmitir todo el seguimiento de mensajes de Exchange desde las máquinas de Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esos registros se pueden usar para realizar un seguimiento del flujo de mensajes en el entorno de Exchange. Este conector de datos se basa en la opción 6 de la wiki de Microsoft Exchange Security.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
MessageTrackingLog_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Log Analytics quedará en desuso: Azure Log Analytics quedará en desuso, para recopilar datos de máquinas virtuales que no son de Azure, se recomienda Azure Arc. Aprende más
  • Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí.

Microsoft Power Automate

Compatible con:Microsoft Corporation

Power Automate es un servicio de Microsoft que ayuda a los usuarios a crear flujos de trabajo automatizados entre aplicaciones y servicios para sincronizar archivos, obtener notificaciones, recopilar datos, etc. Simplifica la automatización de tareas, aumentando la eficiencia al reducir las tareas manuales, repetitivas y mejorar la productividad. El conector de datos Power Automate proporciona la capacidad de ingerir registros de actividad Power Automate desde el registro de auditoría de Microsoft Purview en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
PowerAutomateActivity

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Permisos de inquilino: "Administrador de seguridad" o "Administrador global" en el inquilino del área de trabajo.
  • Auditoría de Purview deMicorosft: se debe activar Microsoft Purview Audit (Estándar o Premium).

Microsoft Power Platform actividad de administración

Compatible con:Microsoft Corporation

Microsoft Power Platform es un conjunto de código bajo o sin código que permite a los desarrolladores ciudadanos y profesionales simplificar los procesos empresariales al habilitar la creación de aplicaciones personalizadas, automatización de flujos de trabajo y análisis de datos con codificación mínima. El conector de datos de administración de Power Platform proporciona la capacidad de ingerir registros de actividad de administrador de Power Platform desde el registro de auditoría de Microsoft Purview en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
PowerPlatformAdminActivity

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Permisos de inquilino: "Administrador de seguridad" o "Administrador global" en el inquilino del área de trabajo.
  • Auditoría de Purview deMicorosft: se debe activar Microsoft Purview Audit (Estándar o Premium).

Microsoft PowerBI

Compatible con:Microsoft Corporation

Microsoft PowerBI es una colección de servicios de software, aplicaciones y conectores que funcionan conjuntamente para convertir los orígenes de datos no relacionados en información coherente, visualmente envolvente e interactiva. Los datos pueden ser una hoja de cálculo de Excel, una colección de almacenamientos de datos híbridos basados en la nube y locales o un almacén de datos de algún otro tipo. Este conector le permite transmitir registros de auditoría de PowerBI a Microsoft Sentinel, lo que le permite realizar un seguimiento de las actividades del usuario en su entorno de PowerBI. Puede filtrar los datos de auditoría por intervalo de fechas, usuario, panel, informe, conjunto de datos y tipo de actividad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
PowerBIActivity

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Project

Compatible con:Microsoft

Microsoft Project (MSP) es una solución de software de administración de proyectos. Según el plan, Microsoft Project le permite planear proyectos, asignar tareas, administrar recursos, crear informes y mucho más. Este conector permite transmitir los registros de auditoría de Azure Project a Microsoft Sentinel para realizar un seguimiento de las actividades del proyecto.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ProjectActivity

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Purview

Compatible con:Microsoft Corporation

Conéctese a Microsoft Purview para habilitar el enriquecimiento de confidencialidad de datos de Microsoft Sentinel. Los registros de etiquetas de confidencialidad y clasificación de datos de Microsoft Purview exámenes se pueden ingerir y visualizar a través de libros, reglas analíticas, etc. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
PurviewDataSensitivityLogs

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Microsoft Purview Information Protection

Compatible con:Microsoft Corporation

Microsoft Purview Information Protection le ayuda a descubrir, clasificar, proteger y controlar la información confidencial dondequiera que resida o viaje. El uso de estas funcionalidades le permite conocer los datos, identificar los elementos que son confidenciales y obtener visibilidad sobre cómo se usan para proteger mejor los datos. Las etiquetas de confidencialidad son la funcionalidad fundamental que proporciona acciones de protección, al aplicar cifrado, restricciones de acceso y marcas visuales. Integre los registros de Microsoft Purview Information Protection con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
MicrosoftPurviewInformationProtection

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Auditoría de Mimecast

Compatible con:Mimecast

El conector de datos para Mimecast Audit proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con los eventos de auditoría y autenticación dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre la actividad del usuario, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.
Los productos de Mimecast incluidos en el conector son: Auditar

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Audit_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API rest: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Mimecast Audit & Autenticación (mediante Azure Functions)

Compatible con:Mimecast

Conector de datos para Mimecast Audit & Authentication proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con los eventos de auditoría y autenticación dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre la actividad del usuario, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.
Los productos de Mimecast incluidos en el conector son: Auditoría y autenticación

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
MimecastAudit_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de la API de Mimecast: debe tener los siguientes fragmentos de información para configurar la integración:
  • mimecastEmail: dirección de correo electrónico de un usuario administrador de Mimecast dedicado
  • mimecastPassword: contraseña para el usuario administrador de Mimecast dedicado
  • mimecastAppId: id. de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: clave de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: clave de acceso para el usuario administrador de Mimecast dedicado
  • mimecastSecretKey: clave secreta para el usuario administrador de Mimecast dedicado
  • mimecastBaseURL: DIRECCIÓN URL base de la API regional de Mimecast

El identificador de aplicación de Mimecast, la clave de aplicación, junto con las claves de acceso y las claves secretas para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de la API de Mimecast para cada región se documenta aquí:

  • Grupo de recursos: debe tener un grupo de recursos creado con una suscripción que va a usar.
  • Functions app: Debe tener un App de Azure registrado para que este conector lo use.
  1. Identificador de aplicación
  2. Identificador de inquilino
  3. Identificador de cliente
  4. Secreto del cliente

Aprendizaje de reconocimiento de Mimecast

Compatible con:Mimecast

El conector de datos para Mimecast Awareness Training proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con las tecnologías de inspección de Protección contra amenazas dirigidas dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.
Los productos de Mimecast incluidos en el conector son:

  • Detalles del rendimiento
  • Detalles de puntuación segura
  • Datos de usuario
  • Detalles de la lista de reproducción

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Awareness_Performance_Details_CL
Awareness_SafeScore_Details_CL
Awareness_User_Data_CL
Awareness_Watchlist_Details_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API rest: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Mimecast Cloud Integrado

Compatible con:Mimecast

El conector de datos para Mimecast Cloud Integrated proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con las tecnologías de inspección integradas en la nube dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Cloud_Integrated_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API rest: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Mimecast Intelligence para Microsoft: Microsoft Sentinel (con Azure Functions)

Compatible con:Mimecast

El conector de datos para Mimecast Intelligence para Microsoft proporciona inteligencia sobre amenazas regional seleccionada de las tecnologías de inspección de correo electrónico de Mimecast con paneles creados previamente para permitir a los analistas ver información sobre amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación.
Productos y características de Mimecast necesarios:

  • Puerta de enlace de correo electrónico seguro de Mimecast
  • Inteligencia sobre amenazas de Mimecast

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de la API de Mimecast: debe tener los siguientes fragmentos de información para configurar la integración:
  • mimecastEmail: dirección de correo electrónico de un usuario administrador de Mimecast dedicado
  • mimecastPassword: contraseña para el usuario administrador de Mimecast dedicado
  • mimecastAppId: id. de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: clave de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: clave de acceso para el usuario administrador de Mimecast dedicado
  • mimecastSecretKey: clave secreta para el usuario administrador de Mimecast dedicado
  • mimecastBaseURL: DIRECCIÓN URL base de la API regional de Mimecast

El identificador de aplicación de Mimecast, la clave de aplicación, junto con las claves de acceso y las claves secretas para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de la API de Mimecast para cada región se documenta aquí:

  • Grupo de recursos: debe tener un grupo de recursos creado con una suscripción que va a usar.
  • Functions app: Debe tener un App de Azure registrado para que este conector lo use.
  1. Identificador de aplicación
  2. Identificador de inquilino
  3. Identificador de cliente
  4. Secreto del cliente

Puerta de enlace de correo electrónico seguro de Mimecast

Compatible con:Mimecast

El conector de datos para Mimecast Secure Email Gateway permite una recopilación de registros sencilla desde secure Email Gateway para exponer información de correo electrónico y actividad del usuario dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas. Productos y características de Mimecast necesarios:

  • Puerta de enlace en la nube de Mimecast
  • Prevención de pérdida de datos de Mimecast

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Seg_Cg_CL
Seg_Dlp_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API rest: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Mimecast Secure Email Gateway (mediante Azure Functions)

Compatible con:Mimecast

El conector de datos para Mimecast Secure Email Gateway permite una recopilación de registros sencilla desde secure Email Gateway para exponer información de correo electrónico y actividad del usuario dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas. Productos y características de Mimecast necesarios:

  • Puerta de enlace de correo electrónico seguro de Mimecast
  • Prevención de pérdida de datos de Mimecast

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
MimecastSIEM_CL No No
MimecastDLP_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de la API de Mimecast: debe tener los siguientes fragmentos de información para configurar la integración:
  • mimecastEmail: dirección de correo electrónico de un usuario administrador de Mimecast dedicado
  • mimecastPassword: contraseña para el usuario administrador de Mimecast dedicado
  • mimecastAppId: id. de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: clave de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: clave de acceso para el usuario administrador de Mimecast dedicado
  • mimecastSecretKey: clave secreta para el usuario administrador de Mimecast dedicado
  • mimecastBaseURL: DIRECCIÓN URL base de la API regional de Mimecast

El identificador de aplicación de Mimecast, la clave de aplicación, junto con las claves de acceso y las claves secretas para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de la API de Mimecast para cada región se documenta aquí:

  • Grupo de recursos: debe tener un grupo de recursos creado con una suscripción que va a usar.
  • Functions app: Debe tener un App de Azure registrado para que este conector lo use.
  1. Identificador de aplicación
  2. Identificador de inquilino
  3. Identificador de cliente
  4. Secreto del cliente

Protección contra amenazas dirigida a Mimecast

Compatible con:Mimecast

El conector de datos para Mimecast Targeted Threat Protection proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con las tecnologías de inspección de Protección contra amenazas dirigidas dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.
Los productos de Mimecast incluidos en el conector son:

  • Protección de direcciones URL
  • Protección de suplantación
  • Protección de datos adjuntos

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Ttp_Url_CL
Ttp_Attachment_CL
Ttp_Impersonation_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API rest: consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Mimecast Targeted Threat Protection (using Azure Functions)

Compatible con:Mimecast

El conector de datos para Mimecast Targeted Threat Protection proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con las tecnologías de inspección de Protección contra amenazas dirigidas dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.
Los productos de Mimecast incluidos en el conector son:

  • Protección de direcciones URL
  • Protección de suplantación
  • Protección de datos adjuntos

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
MimecastTTPUrl_CL No No
MimecastTTPAttachment_CL No No
MimecastTTPImpersonation_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: debe tener los siguientes fragmentos de información para configurar la integración:
  • mimecastEmail: dirección de correo electrónico de un usuario administrador de Mimecast dedicado
  • mimecastPassword: contraseña para el usuario administrador de Mimecast dedicado
  • mimecastAppId: id. de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: clave de aplicación de API de la aplicación mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: clave de acceso para el usuario administrador de Mimecast dedicado
  • mimecastSecretKey: clave secreta para el usuario administrador de Mimecast dedicado
  • mimecastBaseURL: DIRECCIÓN URL base de la API regional de Mimecast

El identificador de aplicación de Mimecast, la clave de aplicación, junto con las claves de acceso y las claves secretas para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de la API de Mimecast para cada región se documenta aquí:

MISP2Sentinel

Supported by:Community

Esta solución instala el conector MISP2Sentinel que le permite insertar automáticamente indicadores de amenazas de MISP en Microsoft Sentinel a través de la API REST de indicadores de carga. Después de instalar la solución, configure y habilite este conector de datos siguiendo las instrucciones en la vista Administrar solución.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Registros del Atlas de MongoDB

Compatible con:MongoDB

El conector MongoDBAtlas Logs ofrece la capacidad de cargar registros de base de datos de MongoDB Atlas en Microsoft Sentinel a través de la API de administración de Atlas de MongoDB. Consulta la documentación de la API para más información. El conector proporciona la capacidad de obtener una variedad de mensajes de registro de la base de datos para los hosts y proyectos especificados.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
MDBALogTable_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requieren el identificador de cliente de la cuenta de servicio de MongoDB Atlas y el secreto de cliente . Para obtener más información, consulte Creación de una cuenta de servicio.

MuleSoft Cloudhub (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos MuleSoft Cloudhub proporciona la capacidad de recuperar registros de aplicaciones de Cloudhub mediante la API de Cloudhub y más eventos en Microsoft Sentinel a través de la API REST. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
MuleSoft_Cloudhub_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: Se requieren MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername y MuleSoftPassword para realizar llamadas API.

NC Protect

Compatible con:archTIS

NC Protect Data Connector (archtis.com) proporciona la capacidad de ingerir eventos y registros de actividad de usuario en Microsoft Sentinel. El conector proporciona visibilidad sobre los eventos y los registros de actividad de usuario de NC Protect en Microsoft Sentinel para mejorar las funcionalidades de supervisión e investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
NCProtectUAL_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • NC Protect: debe tener una instancia en ejecución de NC Protect para O365. Por favor póngase en contacto con nosotros.

Eventos y alertas de Netskope

Compatible con:Netskope

Eventos y alertas de seguridad de Netskope

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
NetskopeAlerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Dirección URL de la organización de Netskope: el conector de datos de Netskope requiere que proporcione la dirección URL de la organización. Puede encontrar la dirección URL de la organización iniciando sesión en el portal de Netskope.
  • Clave de API de Netskope: el conector de datos de Netskope requiere que proporcione una clave de API válida. Puede crear uno siguiendo la documentación de Netskope.

Conector de datos netskope

Compatible con:Netskope

El conector de datos netskope proporciona las siguientes funcionalidades:

  1. NetskopeToAzureStorage :
  • Obtenga los datos de Netskope Alerts and Events de Netskope y ingiera en Azure almacenamiento. 2. StorageToSentinel :
  • Obtenga los datos de eventos y alertas de Netskope de Azure almacenamiento e ingesta en la tabla de registro personalizada en el área de trabajo de Log Analytics. 3. WebTxMetrics :
  • Obtenga los datos de WebTxMetrics de Netskope e ingiera en la tabla de registro personalizada en el área de trabajo de Log Analytics.

Para obtener más información sobre las API REST, consulte las siguientes documentación:

  1. Documentación de netskope API:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Azure documentación de almacenamiento: /azure/storage/common/storage-introduction 3. Documentación de Análisis de registros de Microsoft: /azure/azure-monitor/logs/log-analytics-overview

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
alertscompromisedcredentialdata_CL No No
alertsctepdata_CL No No
alertsdlpdata_CL No No
alertsmalsitedata_CL No No
alertsmalwaredata_CL No No
alertspolicydata_CL No No
alertsquarantinedata_CL No No
alertsremediationdata_CL No No
alertssecurityassessmentdata_CL No No
alertsubadata_CL No No
eventsapplicationdata_CL No No
eventsauditdata_CL No No
eventsconnectiondata_CL No No
eventsincidentdata_CL No No
eventsnetworkdata_CL No No
eventspagedata_CL No No
Netskope_WebTx_metrics_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en azure active directory() y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API rest: se requiere netskope Tenant y Netskope API Token . Consulte la documentación para obtener más información sobre la API en la referencia de la API rest.

Conector de datos de transacciones web de Netskope

Compatible con:Netskope

El conector de datos Netskope Web Transactions proporciona la funcionalidad de una imagen de Docker para extraer los datos de Netskope Web Transactions de google pubsublite, procesar los datos e ingerir los datos procesados en Log Analytics. Como parte de este conector de datos, se formarán dos tablas en Log Analytics, una para los datos de transacciones web y otra para los errores detectados durante la ejecución.

Para obtener más detalles relacionados con las transacciones web, consulte la siguiente documentación:

  1. Documentación de Netskope Web Transactions:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
NetskopeWebtxData_CL No No
NetskopeWebtxErrors_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Compute: se requieren permisos de lectura y escritura en máquinas virtuales de Azure. Para obtener más información, consulte Azure vm.
  • Credenciales y permisos transactionEvents: se requiere el inquilino de Netskope y el token de API de Netskope . Para obtener más información, vea Eventos de transacción.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.

Grupos de seguridad de red

Compatible con:Microsoft Corporation

Azure grupos de seguridad de red (NSG) permiten filtrar el tráfico de red hacia y desde Azure recursos de una red virtual de Azure. Los grupos de seguridad de red incluyen reglas que permiten o deniegan el tráfico a una subred de red virtual, a una interfaz de red, o a ambas.

Al habilitar el registro para un grupo de seguridad de red, puede recopilar los siguientes tipos de información del registro de recursos:

  • Evento: Las entradas se registran para las que se aplican reglas de NSG a las máquinas virtuales, en función de la dirección MAC.
  • Contador de reglas: Contiene entradas para cuántas veces se aplica cada regla de NSG para denegar o permitir el tráfico. El estado de estas reglas se recopila cada 300 segundos.

Este conector le permite transmitir los registros de diagnóstico de NSG a Microsoft Sentinel, lo que le permite supervisar continuamente la actividad en todas las instancias. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
AzureDiagnostics No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

NordPass

Compatible con:NordPass

La integración de NordPass con Microsoft Sentinel SIEM a través de la API le permitirá transferir automáticamente los datos del registro de actividad de NordPass a Microsoft Sentinel y obtener información en tiempo real, como la actividad del elemento, todos los intentos de inicio de sesión y las notificaciones de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
NordPassEventLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Asegúrese de que el grupo resource y el área de trabajo Log Analytics se crean y se encuentran en la misma región para poder implementar el Azure Functions.
  • Agregar Microsoft Sentinel al área de trabajo de Log Analytics creada.
  • Genere una dirección URL y un token Microsoft Sentinel API en el Panel de administración de NordPass para finalizar la integración de Azure Functions. Tenga en cuenta que necesitará la cuenta de NordPass Enterprise para ello.
  • Important: Este conector usa Azure Functions para recuperar registros de actividad de NordPass en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Para obtener más información, consulte la página de precios de Azure Functions.

Conector de Obsidian Datasharing

Compatible con:Obsidian Security

El conector Obsidian Datasharing proporciona la capacidad de leer los datos de eventos sin procesar del uso compartido de datos obsidian en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ObsidianActivity_CL No No
ObsidianThreat_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente requiere Azure rol de administrador de acceso de usuario o propietario de RBAC

Inicio de sesión único de Okta

Compatible con:Microsoft Corporation

El conector de datos Okta Single Sign-On (SSO) proporciona la capacidad de ingerir registros de eventos y auditoría desde la API de registro de Sysem de Okta en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel Codeless Connector Framework y usa la API de registro del sistema okta para capturar los eventos. El conector admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de eventos de seguridad recibidos en columnas personalizadas para que las consultas no necesiten volver a analizarlos, lo que da lugar a un mejor rendimiento.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
OktaSSO No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Token de API de Okta: un token de API de Okta. Siga las instrucciones siguientes para crear una documentación para obtener más información sobre La API de registro del sistema de Okta.

Okta single Sign-On (con Azure Functions)

Compatible con:Microsoft Corporation

El conector Okta Single Sign-On (SSO) proporciona la capacidad de ingerir registros de auditoría y eventos de la API de Okta en Microsoft Sentinel. El conector proporciona visibilidad sobre estos tipos de registro en Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las funcionalidades de supervisión e investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Okta_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Token de API de Okta: se requiere un token de API de Okta. Consulte la documentación para obtener más información sobre La API de registro del sistema de Okta.

Onapsis Defender: Integrar detección de amenazas de SAP sin coincidencia y Intel con Microsoft Sentinel

Compatible con:Onapsis

Capacite a los equipos de seguridad con visibilidad profunda sobre una vulnerabilidad de seguridad única, actividad de día cero y actor de amenazas; comportamiento sospechoso del usuario o del usuario interno; descargas de datos confidenciales; infracciones de control de seguridad; y mucho más: todos enriquecidos por los expertos de SAP en Onapsis.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Onapsis_Defend_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en las reglas de recopilación de datos. Normalmente requiere Azure rol de administrador de acceso de usuario o propietario de RBAC.

Plataforma IAM de OneLogin (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos OneLogin proporciona la capacidad de ingerir eventos comunes de oneLogin IAM Platform en Microsoft Sentinel a través de la API REST mediante OneLogin Events API y OneLogin Users. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
OneLoginEventsV2_CL
OneLoginUsersV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Credenciales de api de IAM de OneLogin: para crear credenciales de API, siga el vínculo del documento que se proporciona aquí, haga clic aquí. Asegúrese de tener un tipo de cuenta de propietario o administrador de la cuenta para crear las credenciales de API. Una vez que cree las credenciales de API, obtendrá el identificador de cliente y el secreto de cliente.

OneTrust

Compatible con:OneTrust, LLC

El conector OneTrust para Microsoft Sentinel proporciona la capacidad de tener visibilidad casi en tiempo real de dónde se han localizado o corregido datos confidenciales en google Cloud y otros orígenes de datos compatibles con OneTrust.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
OneTrustMetadataV3_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente requiere Azure rol de administrador de acceso de usuario o propietario de RBAC

Open Systems Data Connector

Compatible con:Open Systems

Open Systems Logs API Microsoft Sentinel Connector proporciona la capacidad de ingerir registros de Open Systems en Microsoft Sentinel mediante Open Systems Logs API.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
OpenSystemsZtnaLogs_CL No No
OpenSystemsFirewallLogs_CL No No
OpenSystemsAuthenticationLogs_CL No No
OpenSystemsProxyLogs_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Azure Container Apps, DCR y DCE: se requieren permisos para implementar Azure Container Apps, entornos administrados, reglas de recopilación de datos (DCR) y puntos de conexión de recopilación de datos (DCE). Normalmente, esto se trata al tener el rol "Colaborador" en la suscripción o el grupo de recursos.
  • Permisos de asignación de roles: se requieren permisos para crear asignaciones de roles (específicamente "Monitoring Metrics Publisher" en DCR) para la implementación de usuarios o entidades de servicio.
  • Credenciales solicitadas para la plantilla de ARM: durante la implementación, deberá proporcionar: punto de conexión y cadena de conexión de API de registros abiertos y credenciales de entidad de servicio (id. de cliente, secreto de cliente, id. de objeto o de entidad de seguridad).
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Requisitos previos personalizados si es necesario; de lo contrario, elimine esta etiqueta aduanera: descripción de los requisitos previos personalizados.

Infraestructura en la nube de Oracle (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos oracle Cloud Infrastructure (OCI) proporciona la capacidad de ingerir registros de OCI de OCI Stream en Microsoft Sentinel mediante la API REST de streaming de OCI.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
OCI_LogsV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a la API de streaming de OCI: se requiere acceso a la API de streaming de OCI a través de claves de firma de API.

Alertas de seguridad de Orca

Compatible con:Orca Security

El conector de alertas de seguridad de Orca permite exportar fácilmente los registros de alertas a Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
OrcaAlerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Palo Alto Cortex XDR

Compatible con:Microsoft Corporation

El conector de datos Palo Alto Cortex XDR permite ingerir registros de la API XDR de Palo Alto Cortex en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel Codeless Connector Framework. Usa la API de XDR de Palo Alto Cortex para capturar registros y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada para que las consultas no necesiten volver a analizarlos, lo que da como resultado un mejor rendimiento.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
PaloAltoCortexXDR_Incidents_CL
PaloAltoCortexXDR_Endpoints_CL
PaloAltoCortexXDR_Audit_Management_CL
PaloAltoCortexXDR_Audit_Agent_CL
PaloAltoCortexXDR_Alerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Palo Alto Cortex Xpanse (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Palo Alto Cortex Xpanse ingiere datos de alertas en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CortexXpanseAlerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

CSPM en la nube de Palo Alto Prisma (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos CSPM de Palo Alto Prisma Cloud le permite conectarse a su instancia de CSPM de Palo Alto Prisma Cloud e ingerir alertas (https://pan.dev/prisma-cloud/api/cspm/alerts/) y Registros de auditoría (https://pan.dev/prisma-cloud/api/cspm/audit-logs/) en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
PaloAltoPrismaCloudAlertV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

CWPP de Palo Alto Prisma Cloud (mediante la API REST)

Compatible con:Microsoft Corporation

El conector de datos Palo Alto Prisma Cloud CWPP permite conectarse a la instancia de CWPP de Palo Alto Prisma Cloud e ingerir alertas en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel Codeless Connector Framework y usa prisma Cloud API para capturar eventos de seguridad y admite transformaciones de tiempo de ingestion que analiza los datos de eventos de seguridad recibidos en columnas personalizadas para que las consultas no necesiten volver a analizarla, lo que da lugar a un mejor rendimiento.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
PrismaCloudCompute_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • PrismaCloudCompute API Key: se requiere el nombre de usuario y la contraseña de la API del Monitor CWPP de Palo Alto Prisma Cloud. Para obtener más información, consulte PrismaCloudCompute SIEM API.

Pathlock Inc.: Detección y respuesta a amenazas para SAP

Compatible con:Pathlock Inc.

La Pathlock Detección y respuesta de amenazas (TD& R) integración con Microsoft Sentinel Solución para SAP ofrece visibilidad unificada y en tiempo real de los eventos de seguridad de SAP, lo que permite a las organizaciones detectar y actuar sobre amenazas en todos los paisajes de SAP. Esta integración lista para usar permite a los Centros de Operaciones de Seguridad (SOC) correlacionar alertas específicas de SAP con telemetría a nivel empresarial, creando inteligencia accionable que conecta la seguridad informática con los procesos empresariales.

El conector de Pathlock está diseñado específicamente para SAP y solo reenvía por defecto eventos relevantes para la seguridad, minimizando el volumen y el ruido de datos y manteniendo la flexibilidad de reenviar todas las fuentes de registro cuando sea necesario. Cada evento se enriquece con contexto de proceso de negocio, lo que permite a Microsoft Sentinel Solución para análisis de SAP distinguir patrones operativos de amenazas reales y priorizar lo que realmente importa.

Este enfoque basado en la precisión ayuda a los equipos de seguridad a reducir drásticamente los falsos positivos, centrar las investigaciones y acelerar el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR). La biblioteca de Pathlock consta de más de 1.500 firmas de detección específicas de SAP en 70+ fuentes de log; la solución descubre comportamientos complejos de ataques, debilidades de configuración y anomalías de acceso.

Al combinar inteligencia del contexto empresarial con análisis avanzados, Pathlock permite a las empresas reforzar la precisión de la detección, agilizar las acciones de respuesta y mantener un control continuo en sus entornos SAP, sin añadir complejos ni capas de monitorización redundantes.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ABAPAuditLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en las reglas de recopilación de datos. Normalmente requiere Azure rol de administrador de acceso de usuario o propietario de RBAC.

Registros de actividad de Perimeter 81

Compatible con:Perimeter 81

El conector de registros de actividad de Perimeter 81 permite conectar fácilmente los registros de actividad de Perimeter 81 con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Perimeter81_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Dispositivos de fósforo

Compatible con:Phosphorus Inc.

El conector de dispositivo de fósforo proporciona la capacidad de fósforo para ingerir registros de datos del dispositivo en Microsoft Sentinel a través de la API REST de Fósforo. El conector proporciona visibilidad sobre los dispositivos inscritos en Phosphorus. Este conector de datos extrae la información de los dispositivos junto con sus alertas correspondientes.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Phosphorus_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Credenciales y permisos de la API REST: se requiere clave de API de fósforo . Asegúrese de que la clave de API asociada al usuario tiene habilitados los permisos Administrar configuración.

Siga estas instrucciones para habilitar los permisos Administrar configuración.

  1. Iniciar sesión en la aplicación de fósforo
  2. Vaya a "Configuración" - "Grupos"
  3. Seleccionar el grupo del usuario de integración forma parte de
  4. Vaya a "Acciones del producto" : active el permiso "Administrar configuración".

Ping One (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

Este conector ingiere registros de actividad de audit desde la plataforma PingOne Identity en Microsoft Sentinel mediante un marco de conector sin código.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
PingOne_AuditActivitiesV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Conector de datos prancer

Compatible con:Prancer PenSuiteAI Integration

Prancer Data Connector ofrece la capacidad de ingerir datos de Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] y PAC para procesarlos a través de Microsoft Sentinel. Consulte la documentación de Prancer para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
prancer_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Incluya los requisitos previos personalizados si la conectividad requiere; de lo contrario, elimine las aduanas: descripción para cualquier requisito previo personalizado.

Premium Microsoft Defender Inteligencia sobre amenazas

Compatible con:Microsoft Corporation

Microsoft Sentinel proporciona la capacidad de importar la inteligencia sobre amenazas generada por Microsoft para habilitar la supervisión, las alertas y la búsqueda. Use este conector de datos para importar indicadores de riesgo (IOC) de Premium Microsoft Defender Threat Intelligence (MDTI) a Microsoft Sentinel. Los indicadores de amenazas pueden ser direcciones IP, dominios, direcciones URL y hash de archivos, etcétera. Nota: Se trata de un conector de pago. Para usar e ingerir datos de él, compre la SKU "ACCESO a la API MDTI" desde el Centro de partners.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Seguridad de correo electrónico de Proofpoint On Demand (a través de Codeless Connector Framework)

Compatible con:Proofpoint, Inc.

El conector de datos de Proofpoint On Demand Email Security proporciona la capacidad de obtener datos sobre protección de Proofpoint on Demand Email, permite a los usuarios consultar la trazabilidad de los mensajes y realizar una supervisión de la actividad del correo electrónico, las amenazas y la filtración de datos por parte de atacantes e infiltrados malintencionados. El conector permite revisar los eventos de la organización de forma acelerada y obtener archivos de registro de eventos en incrementos de una hora para la actividad reciente.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ProofpointPODMailLog_CL
ProofpointPODMessage_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Credenciales y permisos de api de Websocket: ProofpointClusterID y ProofpointToken son necesarios. Para más información, consulte API.

Seguridad de correo electrónico de Proofpoint On Demand (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Proofpoint On Demand Email Security proporciona la capacidad de obtener datos sobre protección de Proofpoint on Demand Email, permite a los usuarios consultar la trazabilidad de los mensajes y realizar una supervisión de la actividad del correo electrónico, las amenazas y la filtración de datos por parte de atacantes e infiltrados malintencionados. El conector permite revisar los eventos de la organización de forma acelerada y obtener archivos de registro de eventos en incrementos de una hora para la actividad reciente.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ProofpointPODMailLog_CL
ProofpointPODMessage_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Credenciales y permisos de api de Websocket: ProofpointClusterID y ProofpointToken son necesarios. Para más información, consulte API.

Proofpoint TAP (a través de Codeless Connector Framework)

Compatible con:Proofpoint, Inc.

El conector Proofpoint Targeted Attack Protection (TAP) proporciona la capacidad de ingerir eventos y registros de Proofpoint TAP en Microsoft Sentinel. El conector proporciona visibilidad de los eventos Message y Click en Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las funcionalidades de supervisión e investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ProofPointTAPMessagesDeliveredV2_CL
ProofPointTAPMessagesBlockedV2_CL
ProofPointTAPClicksPermittedV2_CL
ProofPointTAPClicksBlockedV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Clave de API de TAP de Proofpoint: se requiere una entidad de servicio y un secreto de API de Proofpoint TAP para acceder a la API DE SIEM de Proofpoint. Para obtener más información, consulte Proofpoint SIEM API.

Proofpoint TAP (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector Proofpoint Targeted Attack Protection (TAP) proporciona la capacidad de ingerir eventos y registros de Proofpoint TAP en Microsoft Sentinel. El conector proporciona visibilidad de los eventos Message y Click en Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las funcionalidades de supervisión e investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ProofPointTAPMessagesDeliveredV2_CL
ProofPointTAPMessagesBlockedV2_CL
ProofPointTAPClicksPermittedV2_CL
ProofPointTAPClicksBlockedV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Clave de API de TAP de Proofpoint: se requiere una entidad de servicio y un secreto de API de Proofpoint TAP para acceder a la API DE SIEM de Proofpoint. Para obtener más información, consulte Proofpoint SIEM API.

QscoutAppEventsConnector (a través de Codeless Connector Framework)

Compatible con:Quokka

Ingesta de eventos de aplicación de Qscout en Microsoft Sentinel

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
QscoutAppEvents_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Identificador de la organización de Qscout: la API requiere el identificador de la organización en Qscout.
  • Clave de API de la organización de Qscout: la API requiere la clave de API de la organización en Qscout.

Qualys VM KnowledgeBase (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector Qualys Vulnerability Management (VM) KnowledgeBase (KB) proporciona la capacidad de ingerir los datos de vulnerabilidad más recientes de Qualys KB en Microsoft Sentinel.

Estos datos se pueden usar para correlacionar y enriquecer las detecciones de vulnerabilidades que encuentra el conector de datos Qualys Vulnerability Management (VM).

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
QualysKB_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Clave de API de Qualys: se requiere un nombre de usuario y una contraseña de api de máquina virtual de Qualys. Para más información, consulte Api de máquina virtual de Qualys.

Administración de vulnerabilidades de Qualys (mediante codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos Qualys Vulnerability Management (VM) proporciona la capacidad de ingerir datos de detección de host de vulnerabilidades en Microsoft Sentinel a través de qualys API. El conector proporciona visibilidad de los datos de detección de host de los exámenes de vulnerabilidad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
QualysHostDetectionV3_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso y roles de API: asegúrese de que el usuario de máquina virtual de Qualys tiene un rol lector o superior. Si el rol es Lector, asegúrese de que el acceso a la API esté habilitado para la cuenta. El rol auditor no se admite para acceder a la API. Para más información, consulte el documento Comparación de roles de usuario y API de detección de host de vm de Qualys.

Radiflow iSID a través de AMA

Compatible con:Radiflow

iSID permite la supervisión no disruptiva de las redes ICS distribuidas para los cambios en la topología y el comportamiento, mediante varios paquetes de seguridad, cada uno de los cuales ofrece una funcionalidad única relativa a un tipo específico de actividad de red

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
RadiflowEvent No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Rapid7 Insight Platform Vulnerability Management Reports (using Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Rapid7 Insight Report proporciona la capacidad de ingerir informes de examen y datos de vulnerabilidades en Microsoft Sentinel a través de la API REST desde la plataforma Rapid7 Insight (administrada en la nube). Para más información, consulte la documentación de la API. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
NexposeInsightVMCloud_assets_CL No No
NexposeInsightVMCloud_vulnerabilities_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de la API REST: InsightVMAPIKey es necesaria para la API REST. Para más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Conector de registros administrativos RSA ID Plus

Compatible con:EQUIPOde soporte técnico de RSA

El conector RSA ID Plus AdminLogs proporciona la capacidad de ingerir Cloud Admin Console Audit Events en Microsoft Sentinel mediante las API de administración de nube.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
RSAIDPlus_AdminLogs_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Autenticación de RSA ID Plus API: para acceder a las API de administración, se requiere un token JWT codificado en Base64URL válido, firmado con la clave de API de administración heredada del cliente.

Rubrik Security Cloud data connector (using Azure Functions)

Compatible con:Rubrik

El conector de datos de Rubrik Security Cloud permite a los equipos de operaciones de seguridad integrar información de los servicios de observabilidad de datos de Rubrik en Microsoft Sentinel. La información incluye la identificación del comportamiento anómalo del sistema de archivos asociado con ransomware y eliminación masiva, la evaluación del radio de explosión de un ataque ransomware, y operadores de datos confidenciales para priorizar e investigar posibles incidentes más rápidamente.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Rubrik_Anomaly_Data_CL
Rubrik_Ransomware_Data_CL
Rubrik_ThreatHunt_Data_CL
Rubrik_Events_Data_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.

Seguridad de SaaS

Compatible con:Valence Security

Conecta la plataforma de seguridad de SaaS de Valence Azure Log Analytics a través de la interfaz de la API REST.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ValenceAlert_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

SailPoint IdentityNow (con Azure Functions)

Compatible con:SailPoint

El conector de datos SailPoint IdentityNow proporciona la capacidad de ingerir eventos de búsqueda [SailPoint IdentityNow] en Microsoft Sentinel a través de la API rest. El conector proporciona a los clientes la capacidad de extraer información de auditoría de su inquilino de IdentityNow. Está pensado para facilitar aún más la incorporación de eventos de gobernanza y actividad de usuario de IdentityNow a Microsoft Sentinel para mejorar la información de la solución de supervisión de eventos e incidentes de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SailPointIDN_Events_CL
SailPointIDN_Triggers_CL No No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de autenticación de api de SailPoint IdentityNow: se requieren TENANT_ID, CLIENT_ID y CLIENT_SECRET para la autenticación.

Salesforce Service Cloud (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Salesforce Service Cloud proporciona la capacidad de ingerir información sobre los eventos operativos de Salesforce en Microsoft Sentinel a través de la API REST. El conector permite revisar los eventos de su organización de forma acelerada y obtener archivos de registro de eventos en incrementos de una hora para la actividad reciente.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SalesforceServiceCloudV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a salesforce Service Cloud API: se requiere acceso a Salesforce Service Cloud API a través de una aplicación conectada.

Samsung Knox Asset Intelligence

Compatible con:Samsung Electronics Co., Ltd.

Samsung Knox Asset Intelligence Data Connector le permite centralizar los eventos y registros de seguridad móviles con el fin de ver información personalizada mediante la plantilla libro e identificar incidentes basados en plantillas de reglas de análisis.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Samsung_Knox_Audit_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Aplicación Entra: una aplicación Entra debe registrarse y aprovisionarse con el rol "Microsoft Metrics Publisher" y configurarse con Certificado o Secreto de cliente como credenciales para la transferencia de datos segura. Consulte el tutorial de ingesta de registros para obtener más información sobre la creación, el registro y la configuración de credenciales de Entra App.

SAP BTP

Compatible con:Microsoft Corporation

SAP Business Technology Platform (SAP BTP) reúne la administración de datos, el análisis, la inteligencia artificial, el desarrollo de aplicaciones, la automatización y la integración en un entorno unificado.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SAPBTPAuditLog_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Id. de cliente y Secreto de cliente para auditar la API de recuperación: habilite el acceso a la API en BTP.

Detección de amenazas empresariales de SAP, edición en la nube

Compatible con:SAP

El conector de datos sap Enterprise Threat Detection, cloud edition (ETD) permite la ingesta de alertas de seguridad de ETD en Microsoft Sentinel, lo que admite la correlación cruzada, las alertas y la búsqueda de amenazas.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SAPETDAlerts_CL
SAPETDInvestigations_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Id. de cliente y secreto de cliente para la API de recuperación de ETD: habilite el acceso a la API en ETD.

SAP LogServ (RISE), edición privada S/4HANA Cloud

Compatible con:SAP

SAP LogServ es un servicio de SAP Enterprise Cloud Services (ECS) destinado a la recopilación, el almacenamiento, el reenvío y el acceso de los registros. LogServ centraliza los registros de todos los sistemas, aplicaciones y servicios ECS usados por un cliente registrado.
Entre las características principales se incluyen:
Recopilación de registros casi en tiempo real: con capacidad de integrar en Microsoft Sentinel como solución SIEM.
LogServ complementa la supervisión y las detecciones de amenazas de capa de aplicación de SAP existentes en Microsoft Sentinel con los tipos de registro que pertenecen a SAP ECS como proveedor del sistema. Esto incluye registros como: Registro de auditoría de seguridad de SAP (AS ABAP), base de datos de HANA, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, OS, SAP Gateway, base de datos de terceros, red, DNS, proxy, firewall

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SAPLogServ_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en las reglas de recopilación de datos. Normalmente requiere Azure rol de administrador de acceso de usuario o propietario de RBAC.

SAP S/4HANA Edición Pública en la Nube

Compatible con:SAP

El conector de datos SAP S/4HANA Cloud Public Edition (GROW con SAP) permite la ingesta del registro de auditoría de seguridad de SAP en la solución de Microsoft Sentinel para SAP, que admite la correlación cruzada, las alertas y la búsqueda de amenazas. ¿Buscas mecanismos de autenticación alternativos? Consulte here.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ABAPAuditLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Id. de cliente y Secreto de cliente para auditar la API de recuperación: habilite el acceso a la API en BTP.

Solución SecurityBridge para SAP

Compatible con:SecurityBridge

SecurityBridge mejora la seguridad de SAP mediante la integración perfecta con Microsoft Sentinel, lo que permite la supervisión en tiempo real y la detección de amenazas en todos los entornos de SAP. Esta integración permite a los Centros de operaciones de seguridad (SOC) consolidar eventos de seguridad de SAP con otros datos de la organización, lo que proporciona una vista unificada del panorama de amenazas. Aprovechando el análisis con tecnología de inteligencia artificial y los Copilot de seguridad de Microsoft, SecurityBridge identifica sofisticados patrones de ataque y vulnerabilidades en aplicaciones SAP, incluidas las evaluaciones de detección y configuración de código de ABAP. La solución admite implementaciones escalables en entornos sap complejos, ya sean locales, en la nube o entornos híbridos. Al puente de la brecha entre los equipos de seguridad de TI y SAP, SecurityBridge permite a las organizaciones detectar, investigar y responder proactivamente a amenazas, lo que mejora la posición general de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ABAPAuditLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en las reglas de recopilación de datos. Normalmente requiere Azure rol de administrador de acceso de usuario o propietario de RBAC.

SentinelOne

Compatible con:Microsoft Corporation

El conector de datos SentinelOne permite ingerir registros de la API sentinelOne en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel Codeless Connector Framework. Usa la API sentinelOne para capturar registros y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada para que las consultas no necesiten volver a analizarlos, lo que da lugar a un mejor rendimiento.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SentinelOneActivities_CL
SentinelOneAgents_CL
SentinelOneGroups_CL
SentinelOneThreats_CL
SentinelOneAlerts_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

SentinelOne (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos SentinelOne proporciona la capacidad de ingerir objetos comunes de servidor SentinelOne, como amenazas, agentes, aplicaciones, actividades, directivas, grupos y más eventos en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API para más información. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SentinelOne_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: Se requiere SentinelOneAPIToken . Consulte la documentación para obtener más información sobre la API en .

Seguridad web serafica

Compatible con:Seguridad serafica

El conector de datos seraphic Web Security proporciona la capacidad de ingerir Seraphic Web Security eventos y alertas en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SeraphicWebSecurity_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Clave de API : clave de API para Microsoft Sentinel conectada al inquilino de Seraphic Web Security. Para obtener esta clave de API para el inquilino, lea esta documentación.

Consola de administración de Silverfort

Compatible con:Silverfort

La solución del conector Silverfort ITDR Admin Console permite la ingesta de eventos Silverfort e iniciar sesión en Microsoft Sentinel. Silverfort proporciona eventos basados en syslog y registro mediante el formato de evento común (CEF). Al reenviar los datos CEF de la consola de administración de ITDR de Silverfort a Microsoft Sentinel, puede aprovechar las ventajas del enriquecimiento de búsqueda y correlación de Sentinels, alertas e inteligencia sobre amenazas en los datos de Silverfort. Póngase en contacto con Silverfort o consulte la documentación de Silverfort para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommonSecurityLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

SlackAudit (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos SlackAudit proporciona la capacidad de ingerir registros de auditoría de Slack en Microsoft Sentinel a través de la API REST. Para más información, consulte la documentación de la API.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SlackAuditV2_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • UserName, SlackAudit API Key & Action Type: Para generar el token de acceso, cree una nueva aplicación en Slack y agregue ámbitos necesarios y configure la dirección URL de redireccionamiento. Para obtener instrucciones detalladas sobre cómo generar el token de acceso, el nombre de usuario y el límite de nombres de acción, consulte el vínculo.

Copo de nieve (a través de Codeless Connector Framework)

Compatible con:Microsoft Corporation

El conector de datos de Snowflake proporciona la capacidad de ingerir registros de historial de Snowflake Login, Registros de historial de consultas, User-Grant Logs, Role-Grant Logs, Load History Logs, Materialized View Refresh History Logs, Roles Logs, Tables Logs, Table Storage Metrics Logs, Users Logs en Microsoft Sentinel mediante la API de SQL de Snowflake. Consulte la documentación de la API de SQL de Snowflake para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SnowflakeLogin_CL
SnowflakeQuery_CL
SnowflakeUserGrant_CL
SnowflakeRoleGrant_CL
SnowflakeLoad_CL
SnowflakeMaterializedView_CL
SnowflakeRoles_CL
SnowflakeTables_CL
SnowflakeTableStorageMetrics_CL
SnowflakeUsers_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Conector de datos de registros de auditoría de la plataforma SOC Prime

Compatible con:SOC Prime

El conector de datos SOC Prime Audit Logs permite ingerir registros de la API soC Prime Platform en Microsoft Sentinel. El conector de datos se basa en Microsoft Sentinel Codeless Connector Framework. Usa la API SOC Prime Platform para capturar registros de auditoría de la plataforma SOC Prime y admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de seguridad recibidos en una tabla personalizada, lo que da lugar a un mejor rendimiento.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SOCPrimeAuditLogs_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Conector de datos de Sonrai

Compatible con:N/A

Use este conector de datos para integrarse con Sonrai Security y obtener vales de Sonrai enviados directamente a Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Sonrai_Tickets_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Sophos Cloud Optix

Compatible con:Sophos

El conector Sophos Cloud Optix permite conectar fácilmente los registros de Sophos Cloud Optix con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación. De este modo, dispondrá de más información sobre la seguridad de la nube y la postura de cumplimiento de su organización, y podrá mejorar las funcionalidades operativas de seguridad en la nube.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SophosCloudOptix_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Sophos Endpoint Protection (mediante Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Sophos Endpoint Protection proporciona la capacidad de ingerir eventos Sophos en Microsoft Sentinel. Consulte la documentación de Sophos Central Admin para más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SophosEP_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere el token de API . Para más información, consulte Token de API.

Sophos Endpoint Protection (mediante la API REST)

Compatible con:Microsoft Corporation

El conector de datos Sophos Endpoint Protection proporciona la capacidad de ingerir Sophos eventos y Sophos alertas en Microsoft Sentinel. Consulte la documentación de Sophos Central Admin para más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SophosEPEvents_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a sophos Endpoint Protection API: se requiere acceso a la API de Sophos Endpoint Protection a través de una entidad de servicio.

Intercambio Integrado de Defensa Cibernética Symantec

Compatible con:Microsoft Corporation

Symantec ICDx connector le permite conectar fácilmente los registros de soluciones de seguridad de Symantec con Microsoft Sentinel, para ver paneles, crear alertas personalizadas y mejorar la investigación. de modo que dispondrá de más información sobre la red de la organización y de mejores capacidades de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SymantecICDx_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Syslog a través de AMA

Compatible con:Microsoft Corporation

Syslog es un protocolo de registro de eventos que es común a Linux. Las aplicaciones envían mensajes que pueden almacenarse en la máquina local o entregarse a un recopilador de Syslog. Al instalar el agente para Linux, este configura el demonio Syslog local para que reenvíe mensajes al agente. A continuación, el agente envía el mensaje al área de trabajo.

Más información

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Syslog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Credenciales en peligro de TacitRed

Compatible con:Data443 Risk Mitigation, Inc.

Ingesta de hallazgos de credenciales en peligro de TacitRed mediante Common Connector Framework (CCF).

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
TacitRed_Findings_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • TacitRed API Key: clave de API almacenada en Azure Key Vault o proporcionada en el momento de la implementación.

Intuiciones de Talon

Compatible con:Talon Security

El conector de registros de seguridad de Talon permite conectar fácilmente los eventos de Talon y los registros de auditoría con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Talon_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Team Cymru Scout Data Connector (mediante Azure Functions)

Compatible con:Team Cymru

El conector de datos TeamCymruScout permite a los usuarios traer datos de uso de dominio y cuentas de Team Cymru Scout en Microsoft Sentinel para el enriquecimiento.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Cymru_Scout_Domain_Data_CL No No
Cymru_Scout_IP_Data_Foundation_CL No No
Cymru_Scout_IP_Data_Details_CL No No
Cymru_Scout_IP_Data_Communications_CL No No
Cymru_Scout_IP_Data_PDNS_CL No No
Cymru_Scout_IP_Data_Fingerprints_CL No No
Cymru_Scout_IP_Data_OpenPorts_CL No No
Cymru_Scout_IP_Data_x509_CL No No
Cymru_Scout_IP_Data_Summary_Details_CL No No
Cymru_Scout_IP_Data_Summary_PDNS_CL No No
Cymru_Scout_IP_Data_Summary_OpenPorts_CL No No
Cymru_Scout_IP_Data_Summary_Certs_CL No No
Cymru_Scout_IP_Data_Summary_Fingerprints_CL No No
Cymru_Scout_Account_Usage_Data_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Permission para asignar un rol a la aplicación registrada: se requiere permiso para asignar un rol a la aplicación registrada en Microsoft Entra ID.
  • Credenciales y permisos de Team Cymru Scout: se requieren credenciales de cuenta de Team Cymru Scout (nombre de usuario, contraseña).

Exposición de identidades tenable

Compatible con:Tenable

El conector de exposición de identidades tenable permite ingerir indicadores de exposición, indicadores de ataque y registros de flujo de seguimiento en Microsoft Sentinel. Los diferentes libros de trabajo y analizadores de datos permiten manipular registros y supervisar más fácilmente el entorno de Active Directory. Las plantillas analíticas permiten automatizar las respuestas con respecto a diferentes eventos, exposiciones y ataques.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Acceso a la configuración de TenableIE: permisos para configurar el motor de alertas de syslog

Tenable Vulnerability Management (using Azure Functions)

Compatible con:Tenable

El conector de datos de TVM proporciona la capacidad de ingerir datos de activos, vulnerabilidades, cumplimiento, recursos WAS y vulnerabilidades WAS en Microsoft Sentinel mediante las API REST de TVM. Para más información, consulte la documentación de la API. El conector permite obtener datos que ayudan a examinar posibles riesgos de seguridad, obtener información sobre los recursos informáticos, diagnosticar problemas de configuración y mucho más

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Tenable_VM_Asset_CL
Tenable_VM_Vuln_CL
Tenable_VM_Compliance_CL
Tenable_WAS_Asset_CL
Tenable_WAS_Vuln_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere tenableAccessKey y tenableSecretKey para acceder a la API REST tenable. Para más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

Tenant-based Microsoft Defender for Cloud

Compatible con:Microsoft Corporation

Microsoft Defender for Cloud es una herramienta de administración de seguridad que permite detectar y responder rápidamente a las amenazas en Azure, cargas de trabajo híbridas y de varias nubes. Este conector permite transmitir las alertas de seguridad de MDC desde Microsoft 365 Defender a Microsoft Sentinel, por lo que puede aprovechar las ventajas de las correlaciones XDR que conectan los puntos a través de los recursos en la nube, los dispositivos e identidades y ver los datos en libros, consultas e investigar e investigar incidentes. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityAlert

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

TheHive Project - TheHive (using Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos TheHive proporciona la capacidad de ingerir eventos comunes de TheHive en Microsoft Sentinel a través de webhooks. TheHive puede notificar al sistema externo de eventos de modificación (creación de casos, actualización de alertas, asignación de tareas, etc.) en tiempo real. Cuando se produce un cambio en TheHive, se envía una solicitud HTTPS POST con información del evento a una dirección URL del conector de datos de devolución de llamada. Consulte la documentación de Webhooks para obtener más información. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
TheHive_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de Webhooks: TheHiveBearerToken, la dirección URL de devolución de llamada es necesaria para trabajar webhooks. Consulte la documentación para obtener más información sobre cómo configurar webhooks.

Theom

Compatible con:Theom

Theom Data Connector permite a las organizaciones conectar su entorno theom a Microsoft Sentinel. Esta solución permite a los usuarios recibir alertas sobre los riesgos de seguridad de datos, crear y enriquecer incidentes, comprobar estadísticas y desencadenar cuadernos de estrategias soar en Microsoft Sentinel

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
TheomAlerts_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Inteligencia sobre amenazas: TAXII

Compatible con:Microsoft Corporation

Microsoft Sentinel se integra con los orígenes de datos TAXII 2.0 y 2.1 para habilitar la supervisión, las alertas y la búsqueda mediante la inteligencia sobre amenazas. Use este conector para enviar los tipos de objetos STIX admitidos desde servidores TAXII a Microsoft Sentinel. Los indicadores de amenazas pueden ser direcciones IP, dominios, direcciones URL y hash de archivos. Para obtener más información, consulte la documentación Microsoft Sentinel >.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Plataformas de inteligencia sobre amenazas

Compatible con:Microsoft Corporation

Microsoft Sentinel se integra con Microsoft Graph API para seguridad orígenes de datos para habilitar la supervisión, las alertas y la búsqueda mediante la inteligencia sobre amenazas. Use este conector para enviar indicadores de amenazas a Microsoft Sentinel desde la Plataforma de inteligencia sobre amenazas (TIP), como Threat Connect, Palo Alto Networks MindMeld, MISP u otras aplicaciones integradas. Los indicadores de amenazas pueden ser direcciones IP, dominios, direcciones URL y hash de archivos. Para obtener más información, consulte la documentación Microsoft Sentinel >.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

API de carga de inteligencia sobre amenazas (versión preliminar)

Compatible con:Microsoft Corporation

Microsoft Sentinel ofrece una API de plano de datos para incorporar inteligencia sobre amenazas desde la Plataforma de inteligencia sobre amenazas (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP u otras aplicaciones integradas. Los indicadores de amenazas pueden incluir direcciones IP, dominios, direcciones URL, hashes de archivos y direcciones de correo electrónico. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Transmit Security Connector (mediante Azure Functions)

Compatible con:Transmit Security

El conector de datos [Seguridad de transmisión] proporciona la capacidad de ingerir eventos comunes de transmisión API para seguridad en Microsoft Sentinel a través de la API REST. Consulte la documentación de la API para más información. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
TransmitSecurityActivity_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Id. de cliente de la API REST: se requiere TransmitSecurityClientID . Consulte la documentación para obtener más información sobre la API en .
  • Secreto de cliente de la API REST: se requiere TransmitSecurityClientSecret . Consulte la documentación para obtener más información sobre la API en .

Trend Vision One (con Azure Functions)

Compatible con:Trend Micro

El conector Trend Vision One permite conectar fácilmente los datos de alerta de Workbench con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las funcionalidades de supervisión e investigación. Gracias a esto, dispondrá de más información sobre la red y los sistemas de la organización y podrá mejorar las capacidades de las operaciones de seguridad.

El conector Trend Vision One se admite en Microsoft Sentinel en las siguientes regiones: Este de Australia, Sudeste de Australia, Sur de Brasil, Centro de Canadá, Este de Canadá, Centro de la India, Centro de EE. UU., Este de Asia, Este de EE. UU., Este de EE. UU. 2, Centro de Francia, Este de Japón, Centro de Corea del Norte de EE. UU., Norte de Europa, Este de Noruega, Norte de Sudáfrica, Centro de EE. UU., Sudeste de Asia, Centro de Suecia, Centro de Suecia Norte de Suiza, Norte de Emiratos Árabes Unidos, Sur de Reino Unido, Oeste de Reino Unido, Oeste de Europa, Oeste de EE. UU., Oeste de EE. UU. 2, Oeste de EE. UU. 3.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
TrendMicro_XDR_WORKBENCH_CL No No
TrendMicro_XDR_RCA_Task_CL No No
TrendMicro_XDR_RCA_Result_CL No No
TrendMicro_XDR_OAT_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Token de Trend Vision One API: se requiere un token de Trend Vision One API. Consulte la documentación para más información sobre Trend Vision One API.

Tropico Security - Alertas

Compatible con:TROPICO Security

Ingiere alertas de seguridad de Tropico Security Platform en formato de búsqueda de seguridad ocSF.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
{{graphQueriesTableName}} No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Seguridad de Trópicos - Eventos

Compatible con:TROPICO Security

Ingiera eventos de seguridad de Tropico Security Platform en el formato de búsqueda de seguridad ocSF.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
{{graphQueriesTableName}} No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Seguridad de Trópicos- Incidentes

Compatible con:TROPICO Security

Ingesta de incidentes de sesión de atacantes desde Tropico Security Platform.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
{{graphQueriesTableName}} No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Conector de inserción de Varonis Purview

Compatible con:Varonis

El conector Varonis Purview proporciona la capacidad de sincronizar recursos de Varonis a Microsoft Purview.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
varonisresources_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Microsoft Entra: permiso para crear un registro de aplicación en Microsoft Entra ID. Normalmente, requiere el rol Desarrollador de aplicaciones entra ID o superior.
  • Microsoft Azure: permiso para asignar el rol Publicador de métricas de supervisión en la regla de recopilación de datos (DCR). Normalmente requiere Azure rol de administrador de acceso de usuario o propietario de RBAC

Varonis SaaS

Compatible con:Varonis

Varonis SaaS proporciona la capacidad de ingerir alertas de Varonis en Microsoft Sentinel.

Varonis prioriza la visibilidad de los datos profundos, las funcionalidades de clasificación y la corrección automatizada para el acceso a datos. Varonis crea una única vista prioritaria del riesgo para los datos, por lo que puede eliminar de forma proactiva y sistemática el riesgo de amenazas internas y ciberataques.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
VaronisAlerts_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.

Vectra XDR (con Azure Functions)

Compatible con:Vectra Support

El conector Vectra XDR ofrece la capacidad de ingerir detecciones, auditorías, puntuación de entidades, bloqueo, estado y entidades datos en Microsoft Sentinel a través de la API REST de Vectra. Consulte la documentación de la API: para obtener más información.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Entities_Data_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere el identificador de cliente de Vectra y el secreto de cliente para la recopilación de datos Health, Entity Scoring, Entities, Detections, Lockdown y Audit. Consulte la documentación para obtener más información sobre la API en .

Veeam Data Connector (mediante Azure Functions)

Compatible con:Veeam Software

Veeam Data Connector permite ingerir datos de telemetría de Veeam de varias tablas personalizadas en Microsoft Sentinel.

El conector soporta integración con las plataformas Veeam Backup & Replication, Veeam ONE y Coveware para proporcionar monitorización y análisis de seguridad completos. Los datos se recopilan a través de Azure Functions y se almacenan en tablas de Log Analytics personalizadas con reglas de recopilación de datos (DCR) dedicadas y puntos de conexión de recopilación de datos (DCE).

Las tablas personalizadas incluían:

  • VeeamMalwareEvents_CL: eventos de detección de malware de Veeam Backup & Replication
  • VeeamSecurityComplianceAnalyzer_CL: Resultados del Analizador de seguridad y cumplimiento recopilados de componentes de infraestructura de copia de seguridad de Veeam
  • VeeamAuthorizationEvents_CL: eventos de autorización y autenticación
  • VeeamOneTriggeredAlarms_CL: alarmas desencadenadas de servidores Veeam ONE
  • VeeamCovewareFindings_CL: conclusiones de seguridad de la solución Coveware
  • VeeamSessions_CL: sesiones de Veeam

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
VeeamMalwareEvents_CL
VeeamSecurityComplianceAnalyzer_CL
VeeamOneTriggeredAlarms_CL
VeeamAuthorizationEvents_CL
VeeamCovewareFindings_CL
VeeamSessions_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Acceso a la infraestructura de Veeam: se requiere acceso a la API REST de Veeam Backup & Replication y a la plataforma de supervisión de Veeam ONE. Esto incluye las credenciales de autenticación adecuadas y la conectividad de red.

VersasecCms

Compatible con:Versasec Support

El conector de datos VersasecCms permite ingerir registros en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
VersasecCmsSysLogs_CL No No
VersasecCmsErrorLogs_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

VirtualMetric DataStream para Microsoft Sentinel

Compatible con:VirtualMetric

El conector VirtualMetric DataStream implementa reglas de recopilación de datos para ingerir datos de telemetría de seguridad en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommonSecurityLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Registro de aplicaciones o identidad administrada de Azure: VirtualMetric DataStream requiere una identidad entra ID para autenticar y enviar registros a Microsoft Sentinel. Puede elegir entre crear un registro de aplicaciones con el identificador de cliente y el secreto de cliente, o bien usar Azure identidad administrada para mejorar la seguridad sin la administración de credenciales.
  • Asignación de roles de grupo de recursos: la identidad elegida (registro de aplicaciones o identidad administrada) debe asignarse al grupo de recursos que contiene el punto de conexión de recopilación de datos con los siguientes roles: Supervisión del publicador de métricas (para la ingesta de registros) y lector de supervisión (para leer la configuración del flujo).

VirtualMetric DataStream for Microsoft Sentinel data lake

Compatible con:VirtualMetric

El conector DataStream de VirtualMetric implementa reglas de recopilación de datos para ingerir datos de telemetría de seguridad en Microsoft Sentinel lago de datos.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommonSecurityLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Registro de aplicaciones o identidad administrada de Azure: VirtualMetric DataStream requiere una identidad entra ID para autenticar y enviar registros a Microsoft Sentinel lago de datos. Puede elegir entre crear un registro de aplicaciones con el identificador de cliente y el secreto de cliente, o bien usar Azure identidad administrada para mejorar la seguridad sin la administración de credenciales.
  • Asignación de roles de grupo de recursos: la identidad elegida (registro de aplicaciones o identidad administrada) debe asignarse al grupo de recursos que contiene el punto de conexión de recopilación de datos con los siguientes roles: Supervisión del publicador de métricas (para la ingesta de registros) y lector de supervisión (para leer la configuración del flujo).

VirtualMetric Director Proxy

Compatible con:VirtualMetric

VirtualMetric Director Proxy implementa una aplicación de funciones de Azure para conectar VirtualMetric DataStream de forma segura con servicios de Azure, incluidos Microsoft Sentinel, Azure Data Explorer y Azure Storage.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommonSecurityLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Function App: se debe implementar una aplicación de funciones de Azure para hospedar el proxy de director. Requiere permisos de lectura, escritura y eliminación en los recursos de Microsoft.Web/sites dentro del grupo de recursos para crear y administrar la aplicación de funciones.
  • Configuración de DataStream de VirtualMetric: necesita VirtualMetric DataStream configurado con credenciales de autenticación para conectarse al proxy de director. El proxy de director actúa como un puente seguro entre VirtualMetric DataStream y Azure servicios.
  • Target Azure Services: configure los servicios de Azure de destino, como Microsoft Sentinel puntos de conexión de recopilación de datos, clústeres de Azure Data Explorer o cuentas de Azure Storage en las que el proxy del director reenvía los datos.

VMRayThreatIntelligence (con Azure Functions)

Compatible con:VMRay

El conector VMRayThreatIntelligence genera y alimenta automáticamente inteligencia de amenazas para todas las entregas a VMRay, mejorando la detección de amenazas y la respuesta a incidentes en Sentinel. Esta integración fluida permite a los equipos abordar de forma proactiva amenazas emergentes.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ThreatIntelligenceIndicator No

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Suscripción: se requiere Azure suscripción con el rol de propietario para registrar una aplicación en azure active directory() y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requiere la clave de API de VMRay .

VMware Carbon Black Cloud (con Azure Functions)

Compatible con:Microsoft

El conector VMware Carbon Black Cloud proporciona la capacidad de ingerir datos negros de carbono en Microsoft Sentinel. El conector proporciona visibilidad de los registros de auditoría, notificación y eventos en Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las funcionalidades de supervisión e investigación.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CarbonBlackEvents_CL No No
CarbonBlackNotifications_CL No No
CarbonBlackAuditLogs_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Claves de API negras de VMware Carbon: se requieren api negras de carbono o claves de API de nivel SIEM. Consulte la documentación para más información sobre Carbon Black API.
  • Se requiere un identificador de API de nivel de acceso de Carbon Black API y una clave para los registros de auditoría y eventos .
  • Para las alertas de notificación se requiere un identificador de API de nivel de acceso de SIEM negro de carbono y una clave.
  • Credenciales y permisos de la API REST de Amazon S3: Aws Access Id, AWS Secret Access Key, AWS S3 Bucket Name, Folder Name in AWS S3 Bucket are required for Amazon S3 REST API.

VMware Carbon Black Cloud a través de AWS S3

Compatible con:Microsoft

VMware Carbon Black Cloud a través del conector de datos de AWS S3 proporciona la capacidad de ingerir eventos de lista de seguimiento, alertas, autenticación y puntos de conexión a través de AWS S3 y transmitirlos a tablas normalizadas de ASIM. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CarbonBlack_Alerts_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Entorno: debe tener los siguientes recursos de AWS definidos y configurados: S3, Simple Queue Service (SQS), roles de IAM y directivas de permisos
  • Entorno: debe tener una cuenta negra de carbono y los permisos necesarios para crear un depósito de datos reenviados a AWS S3. Para obtener más información, consulte Documentos del reenviador de datos negros de carbono.

Windows eventos DNS a través de AMA

Compatible con:Microsoft Corporation

El conector de registro de DNS de Windows permite filtrar y transmitir fácilmente todos los registros de análisis de los servidores DNS de Windows al área de trabajo de Microsoft Sentinel mediante el agente de supervisión de Azure (AMA). Tener estos datos en Microsoft Sentinel le ayuda a identificar problemas y amenazas de seguridad, como:

  • Intentar resolver nombres de dominio malintencionados.
  • Registros de recursos obsoletos.
  • Nombres de dominio consultados con frecuencia y clientes DNS conversativos.
  • Ataques realizados en el servidor DNS.

Puede obtener la siguiente información sobre los servidores DNS de Windows desde Microsoft Sentinel:

  • Todos los registros se centralizan en un solo lugar.
  • Solicitud de carga en servidores DNS.
  • Errores de registro DNS dinámicos.

Windows eventos DNS son compatibles con el modelo de información de SIEM avanzado (ASIM) y transmiten datos a la tabla ASimDnsActivityLogs. Más información.

Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ASimDnsActivityLogs

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Windows Firewall

Compatible con:Microsoft Corporation

Windows Firewall es una aplicación de Microsoft Windows que filtra la información que llega al sistema desde Internet y bloquea programas potencialmente dañinos. El software impide que la mayoría de los programas se comuniquen a través del firewall. Los usuarios simplemente agregan un programa a la lista de programas permitidos para permitir que se comuniquen a través del firewall. Al usar una red pública, Windows Firewall también puede proteger el sistema bloqueando todos los intentos no solicitados de conectarse al equipo. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Windows eventos de firewall a través de AMA

Compatible con:Microsoft Corporation

Windows Firewall es una aplicación de Microsoft Windows que filtra la información que llega al sistema desde Internet y bloquea programas potencialmente dañinos. El software de firewall impide que la mayoría de los programas se comuniquen por el firewall. Para transmitir los registros de aplicación de firewall de Windows recopilados de las máquinas, use el agente de Azure Monitor (AMA) para transmitir esos registros al área de trabajo de Microsoft Sentinel.

Es necesario vincular un punto de conexión de recopilación de datos (DCE) configurado con la regla de recopilación de datos (DCR) creada para que AMA recopile registros. Para este conector, se crea automáticamente un DCE en la misma región que el área de trabajo. Si ya usa un DCE almacenado en la misma región, es posible cambiar el DCE creado de forma predeterminada y usar el existente a través de la API. Los DCE se pueden ubicar en los recursos con el prefijo SentinelDCE en el nombre del recurso.

Vea los siguientes artículos para más información:

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Windows Eventos reenviados

Compatible con:Microsoft Corporation

Puede transmitir todos los registros de reenvío de eventos (WEF) de Windows desde los servidores de Windows conectados al área de trabajo de Microsoft Sentinel mediante Azure Monitor Agent (AMA). Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación, de modo que dispondrá de más información sobre la red de la organización y de mejores capacidades de seguridad. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
WindowsEvent

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Seguridad de Windows eventos a través de AMA

Compatible con:Microsoft Corporation

Puede transmitir todos los eventos de seguridad desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación, de modo que dispondrá de más información sobre la red de la organización y de mejores capacidades de seguridad. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityEvent

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

WithSecure Elements API (función Azure)

Compatible con:WithSecure

WithSecure Elements es la plataforma unificada de seguridad cibernética basada en la nube diseñada para reducir el riesgo, la complejidad y la ineficacia.

Eleve la seguridad de los puntos de conexión hasta las aplicaciones en la nube. Ármese contra todo tipo de ciberamenazas, desde ataques selectivos hasta ransomware de día cero.

WithSecure Elements combina potentes funcionalidades de seguridad predictiva, preventiva y reactiva, todas ellas administradas y supervisadas con un único centro de seguridad. Nuestra estructura modular y nuestros modelos de precios flexibles le dan libertad para evolucionar. Con nuestra experiencia e información, siempre estará capacitado y nunca estará solo.

Con la integración de Microsoft Sentinel, puede correlacionar eventos de seguridad datos de la solución WithSecure Elements con datos de otros orígenes, lo que permite una visión general completa de todo el entorno y una reacción más rápida a las amenazas.

Con esta solución Azure Function se implementa en el inquilino, sondeando periódicamente los eventos de seguridad withSecure Elements.

Para obtener más información, visite nuestro sitio web en: .

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
WsSecurityEvents_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • WithSecure Elements API client credentials( Credenciales de cliente: se requieren credenciales de cliente. Consulte la documentación para obtener más información.

Wiz (con Azure Functions)

Compatible con:Wiz

El conector Wiz le permite enviar fácilmente problemas de Wiz, hallazgos de vulnerabilidades y registros de auditoría a Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) No No
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) No No
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales de la cuenta de servicio de Wiz: asegúrese de que tiene el identificador de cliente de la cuenta de servicio wiz y el secreto de cliente, la dirección URL del punto de conexión de API y la dirección URL de autenticación. Encontrará instrucciones en la documentación de Wiz.

Actividad de usuario de Workday

Compatible con:Microsoft Corporation

El conector de datos de actividad de usuario Workday proporciona la capacidad de ingerir registros de actividad de usuario desde API deWorkday en Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ASimAuditEventLogs

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Acceso a la API de actividad de usuario de Workday: se requiere acceso a la API de actividad de usuario de Workday a través de Oauth. El cliente de API debe tener el ámbito: el sistema y debe estar autorizado por una cuenta con permisos de auditoría del sistema.

Workplace desde Facebook (con Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Workplace proporciona la capacidad de ingerir eventos comunes de Workplace en Microsoft Sentinel a través de webhooks. Los webhooks permiten que las aplicaciones de integración personalizadas se suscriban a eventos en Workplace y reciban actualizaciones en tiempo real. Cuando se produce un cambio en Workplace, se envía una solicitud HTTPS POST con información del evento a una dirección URL del conector de datos de devolución de llamada. Consulte la documentación de Webhooks para obtener más información. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Workplace_Facebook_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de Webhooks: WorkplaceAppSecret, WorkplaceVerifyToken, la dirección URL de devolución de llamada es necesaria para trabajar webhooks. Consulte la documentación para obtener más información sobre la configuración de webhooks y la configuración de permisos.

Auditoría de segmento de redes cero

Compatible con:Zero Networks

El conector de datos Zero Networks Segment Audit proporciona la capacidad de ingerir eventos de auditoría de redes cero en Microsoft Sentinel a través de la API REST. Este conector de datos usa Microsoft Sentinel funcionalidad de sondeo nativa.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ZNSegmentAuditNativePoller_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • Token de API de Zero Networks: ZeroNetworksAPIToken es necesario para la API REST. Consulte la Guía de API y siga las instrucciones para obtener credenciales.

ZeroFox CTI

Compatible con:ZeroFox

Los conectores de datos CTI de ZeroFox proporcionan la capacidad de ingerir las distintas alertas de inteligencia sobre amenazas cibernéticas en Microsoft Sentinel ZeroFox<>.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ZeroFox_CTI_advanced_dark_web_CL No No
ZeroFox_CTI_botnet_CL No No
ZeroFox_CTI_breaches_CL No No
ZeroFox_CTI_C2_CL No No
ZeroFox_CTI_compromised_credentials_CL No No
ZeroFox_CTI_credit_cards_CL No No
ZeroFox_CTI_dark_web_CL No No
ZeroFox_CTI_discord_CL No No
ZeroFox_CTI_disruption_CL No No
ZeroFox_CTI_email_addresses_CL No No
ZeroFox_CTI_exploits_CL No No
ZeroFox_CTI_irc_CL No No
ZeroFox_CTI_malware_CL No No
ZeroFox_CTI_national_ids_CL No No
ZeroFox_CTI_phishing_CL No No
ZeroFox_CTI_phone_numbers_CL No No
ZeroFox_CTI_ransomware_CL No No
ZeroFox_CTI_telegram_CL No No
ZeroFox_CTI_threat_actors_CL No No
ZeroFox_CTI_vulnerabilities_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API de ZeroFox: nombre de usuario de ZeroFox, se requiere el token de acceso personal de ZeroFox para la API REST de ZeroFox CTI.

ZeroFox Enterprise: alertas (sondeo de CCF)

Compatible con:ZeroFox

Recopila alertas de ZeroFox API.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ZeroFoxAlertPoller_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Token de acceso personal (PAT) de ZeroFox: se requiere un PAT de ZeroFox. Puede obtenerlo en Fuentes de de datos.

Defensa Móvil de Amenazas del Zimperium

Compatible con:Zimperium

El conector zimperium Mobile Threat Defense le ofrece la posibilidad de conectar el registro de amenazas de Zimperium con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le ofrece más información sobre el panorama de amenazas móviles de su organización y mejora las capacidades de las operaciones de seguridad.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
ZimperiumThreatLog_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Zoom Reports (using Azure Functions)

Compatible con:Microsoft Corporation

El conector de datos Zoom Reports proporciona la capacidad de ingerir eventos Zoom Reports en Microsoft Sentinel a través de la API REST. Para más información, consulte la documentación de la API. El conector permite a la recuperación de eventos evaluar posibles riesgos de seguridad, supervisar la colaboración y diagnosticar y solucionar problemas de configuración.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Zoom_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de la API REST: se requieren AccountID, ClientID y ClientSecret para Zoom API. Para obtener más información, consulte Zoom API. Siga las instrucciones para configuraciones de Zoom API.

Conectores de datos de Sentinel en desuso

Note

En la tabla siguiente se enumeran los conectores de datos en desuso y heredados. Ya no se admiten conectores en desuso.

[En desuso] GitHub Registro de auditoría empresarial

Compatible con:Microsoft Corporation

El conector de registro de auditoría de GitHub proporciona la capacidad de ingerir registros de GitHub en Microsoft Sentinel. Al conectar GitHub registros de auditoría a Microsoft Sentinel, puede ver estos datos en libros, usarlos para crear alertas personalizadas y mejorar el proceso de investigación.

Note: Si pretende ingerir eventos suscritos GitHub en Microsoft Sentinel, consulte GitHub (mediante Webhooks) Connector de "Data Connectors".

NOTA: Este conector de datos ha quedado en desuso, considere la posibilidad de pasar al conector de datos CCF disponible en la solución que reemplaza la ingesta a través de la API del recopilador de datos HTTP en desuso.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
GitHubAuditLogPolling_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • GitHub token de acceso personal de api: necesita un token de acceso personal GitHub para habilitar el sondeo del registro de auditoría de la organización. Puedes usar un token clásico con el ámbito "read:org" O un token específico con el ámbito "Administración: solo lectura".
  • GitHub tipo Enterprise: este conector solo funcionará con GitHub Enterprise Cloud; no admitirá GitHub Enterprise Server.

[En desuso] Conector de datos de Infoblox SOC Insight a través del agente heredado

Compatible con:Infoblox

Infoblox SOC Insight Data Connector permite conectar fácilmente los datos de Infoblox BloxOne SOC Insight con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de búsqueda y correlación, alertas y enriquecimiento de inteligencia sobre amenazas para cada registro.

Este conector de datos ingiere los registros CDC de Infoblox SOC Insight en el área de trabajo de Log Analytics mediante el agente de Log Analytics heredado.

Microsoft recomienda la instalación de Infoblox SOC Insight Data Connector mediante AMA Connector. El conector heredado usa el agente de Log Analytics que está a punto de estar en desuso por Aug 31, 2024, y solo debe instalarse donde no se admite AMA.

El uso de MMA y AMA en la misma máquina puede provocar la duplicación de registros y el costo adicional de ingesta. Más detalles.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
CommonSecurityLog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

[En desuso] Vigía

Compatible con:Lookout

El conector de datos Lookout proporciona la capacidad de ingerir eventos Lookout en Microsoft Sentinel a través de mobile Risk API. Para más información, consulte la documentación de la API. El conector de datos lookout proporciona capacidad para obtener eventos que ayudan a examinar los posibles riesgos de seguridad y mucho más.

NOTA: Este conector de datos ha quedado en desuso, considere la posibilidad de pasar al conector de datos CCF disponible en la solución que reemplaza la ingesta a través de la API del recopilador de datos HTTP en desuso.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Lookout_CL No No

Compatibilidad con reglas de recopilación de datos: Actualmente no se admite

Prerequisites:

  • permisos Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Para obtener más información, vea Azure Functions.
  • Credenciales y permisos de api de riesgo móvil: EnterpriseName y ApiKey son necesarios para mobile risk API. Para más información, consulte API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.

[En desuso] Microsoft Exchange Registros y eventos

Supported by:Community

En desuso, use los conectores de datos "ESI-Opt". Puede transmitir todos los eventos de auditoría de Exchange, registros de IIS, registros de proxy HTTP y registros de eventos de seguridad desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación, Los libros de seguridad de Microsoft Exchange lo usan para proporcionar información de seguridad del entorno local de Exchange.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Event No
SecurityEvent
W3CIISLog No
MessageTrackingLog_CL
ExchangeHttpProxy_CL

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Prerequisites:

  • Azure Log Analytics quedará en desuso para recopilar datos de máquinas virtuales que no son de Azure, se recomienda Azure Arc. Aprende más
  • Documentación detallada: NOTA: Puede encontrar documentación detallada sobre el procedimiento de instalación y el uso aquí.

Eventos de seguridad a través del agente heredado

Compatible con:Microsoft Corporation

Puede transmitir todos los eventos de seguridad desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación, de modo que dispondrá de más información sobre la red de la organización y de mejores capacidades de seguridad. Para obtener más información, consulte la documentación Microsoft Sentinel.

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityEvent

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Subscription-based Microsoft Defender for Cloud (heredado)

Compatible con:Microsoft Corporation

Microsoft Defender for Cloud es una herramienta de administración de seguridad que permite detectar y responder rápidamente a las amenazas en Azure, cargas de trabajo híbridas y de varias nubes. Este conector le permite transmitir las alertas de seguridad de Microsoft Defender for Cloud a Microsoft Sentinel, por lo que puede ver los datos de Defender en libros, consultarlo para generar alertas e investigar y responder a incidentes.

Para obtener más información

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
SecurityAlert

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Syslog a través del agente heredado

Compatible con:Microsoft Corporation

Syslog es un protocolo de registro de eventos que es común a Linux. Las aplicaciones envían mensajes que pueden almacenarse en la máquina local o entregarse a un recopilador de Syslog. Al instalar el agente para Linux, este configura el demonio Syslog local para que reenvíe mensajes al agente. A continuación, el agente envía el mensaje al área de trabajo.

Más información

Log Analytics tablas):

Table Compatibilidad con DCR Ingesta solo de lago
Syslog

Compatibilidad con la regla de recopilación de datos:Transformación del área de trabajo DCR

Pasos siguientes

Para más información, consulte:

  • Last updated on