Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Después de incorporar Microsoft Sentinel en el área de trabajo, use conectores de datos para empezar a ingerir los datos en Microsoft Sentinel. Microsoft Sentinel viene con muchos conectores de serie para los servicios de Microsoft, que se integran en tiempo real. Por ejemplo, el conector de Microsoft Defender XDR es un conector de servicio a servicio que integra datos de Office 365, Microsoft Entra ID, Microsoft Defender for Identity y Microsoft Defender for Cloud Apps.
Los conectores incorporados permiten la conexión con el ecosistema de seguridad más amplio para productos ajenos a Microsoft. Por ejemplo, use Syslog, Common Event Format (CEF) o API REST para conectar los orígenes de datos con Microsoft Sentinel.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de EE. UU., consulte las tablas de Microsoft Sentinel en Disponibilidad de características de Cloud para los clientes de la Administración Pública de ESTADOS Unidos.
Importante
Según el anuncio de 2024, después del 30 de septiembre de 2026, ya no se admitirá la API heredada del recopilador de datos HTTP. Los orígenes de datos, las integraciones personalizadas o los conectores que usan la API del recopilador de datos HTTP deben realizar la transición a una alternativa admitida para evitar posibles interrupciones de ingesta después de esta fecha.
Si actualmente usa HTTP Data Collector API, se recomienda empezar a planear la migración a la API de ingesta de registros o al marco de conector sin código (CCF) para garantizar la ingesta de datos ininterrumpida, la confiabilidad mejorada, la escalabilidad y la compatibilidad a largo plazo.
Consideraciones sobre la administración de datos para Microsoft Sentinel data lake
Las siguientes consideraciones deben tenerse en cuenta en el planeamiento de cumplimiento y administración de datos:
RGPD y retención de datos
- Los administradores de inquilinos pueden ejercer derechos de RGPD mediante la característica Purgar para el nivel de análisis. Esto no afecta a la capa del lago de datos.
- No se pueden purgar registros específicos desde el lago de datos de Sentinel. El lago de datos conserva los datos ingeridos para el período de retención definido, incluso si los datos se eliminan en el origen o en el nivel de análisis.
Integración de Purview. Los cambios en la configuración de Purview no tienen ningún efecto en los datos almacenados en el lago de datos de Sentinel.
Ubicación de almacenamiento El administrador de inquilinos selecciona las ubicaciones de almacenamiento del lago de datos de Sentinel y puede diferir de la ubicación de almacenamiento principal de los servicios de origen.
Importante
Después de March 31, 2027, ya no se admitirá Microsoft Sentinel en el portal de Azure y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el portal de Azure se redirectarán al portal de Defender y usarán Microsoft Sentinel solo en el portal de Defender.
Si sigue usando Microsoft Sentinel en el portal de Azure, se recomienda empezar a planear la transition al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificada que ofrece Microsoft Defender.
Conectores de datos proporcionados con soluciones
Microsoft Sentinel soluciones proporcionan contenido de seguridad empaquetado, incluidos conectores de datos, libros, reglas de análisis, cuadernos de estrategias, etc. Al implementar una solución con un conector de datos, se obtiene el conector de datos junto con el contenido relacionado en la misma implementación.
La página Microsoft Sentinel Data connectors enumera los conectores de datos instalados o en uso.
- Portal de Defender
- Azure portal
Captura de pantalla de la galería de conectores de datos.
Para agregar más conectores de datos, instale la solución asociada al conector de datos desde el Centro de contenido. Para más información, consulte los siguientes artículos.
- Encuentra el conector de datos de Microsoft Sentinel
- Acerca de Microsoft Sentinel: contenido y soluciones
- Descubra y administre el contenido predefinido de Microsoft Sentinel
- Microsoft Sentinel catálogo de la central de contenido
- Soluciones de dominio basadas en el modelo de información de seguridad avanzada (ASIM) para Microsoft Sentinel
Creación de conectores personalizados
Si no puede conectar el origen de datos a Microsoft Sentinel mediante cualquiera de las soluciones existentes disponibles, considere la posibilidad de crear su propio conector de origen de datos. Por ejemplo, muchas soluciones de seguridad proporcionan un conjunto de API para recuperar archivos de registro y otros datos de seguridad de su producto o servicio. Esas API se conectan a Microsoft Sentinel con uno de los métodos siguientes:
- Las API del origen de datos se configuran con codeless Connector Framework.
- El conector de datos usa la API de ingesta de registros para Azure Monitor como parte de un Azure Function o Logic App.
También puede usar Azure Monitor Agente directamente o Logstash para crear el conector personalizado. Para obtener más información, consulte Resources para crear conectores personalizados Microsoft Sentinel.
Integración basada en agentes para conectores de datos
Microsoft Sentinel puede usar agentes proporcionados por el servicio Azure Monitor (en el que se basa Microsoft Sentinel) para recopilar datos de cualquier origen de datos que pueda realizar streaming de registros en tiempo real. Por ejemplo, la mayoría de los orígenes de datos locales se conectan a través de la integración basada en agente.
En las secciones siguientes se describen los distintos tipos de conectores de datos basados en agente Microsoft Sentinel. Para configurar conexiones mediante mecanismos basados en agente, siga los pasos descritos en cada página del conector de datos de Microsoft Sentinel.
Syslog y el formato de evento común (CEF)
Puede transmitir eventos desde dispositivos compatibles con Syslog basados en Linux a Microsoft Sentinel mediante el agente de Azure Monitor (AMA). Los formatos de registro varían, pero muchos orígenes admiten el formato basado en CEF. Dependiendo del tipo de dispositivo, el agente se instala directamente en el dispositivo o en un reenviador de registros basado en Linux. AMA recibe mensajes de eventos de Syslog o CEF sin formato del demonio de Syslog a través de UDP. El demonio de Syslog reenvía los eventos internamente al agente, comunicándose a través de TCP o UDS (sockets de dominio UNIX), dependiendo de la versión. A continuación, AMA transmite estos eventos al área de trabajo de Microsoft Sentinel.
Este es un flujo sencillo que muestra cómo Microsoft Sentinel transmite los datos de Syslog.
- El demonio de Syslog integrado del dispositivo recopila los eventos locales de los tipos especificados y los reenvía localmente al agente.
- El agente transmite los eventos al área de trabajo de Log Analytics.
- Después de una configuración correcta, los mensajes de Syslog aparecen en la tabla Log Analytics Syslog y los mensajes CEF de la tabla CommonSecurityLog.
Para obtener más información, consulte Syslog y Common Event Format (CEF) mediante conectores AMA para Microsoft Sentinel.
Registros personalizados
Para algunos orígenes de datos, puede recopilar registros como archivos en equipos Windows o Linux mediante el agente de recopilación de registros personalizado Log Analytics.
Para conectarse mediante el agente de recopilación de registros personalizado Log Analytics, siga los pasos descritos en cada página del conector de datos de Microsoft Sentinel. Después de una configuración correcta, los datos aparecen en tablas personalizadas.
Para obtener más información, consulte Registros personalizados a través del conector de datos AMA: configuración de la ingesta de datos para Microsoft Sentinel desde aplicaciones específicas.
Integración entre servicios para conectores de datos
Microsoft Sentinel usa la base de Azure para proporcionar compatibilidad integrada de servicio a servicio para los servicios de Microsoft y Amazon Web Services.
Para más información, consulte los siguientes artículos.
- Connect Microsoft Sentinel a Azure, Windows, Microsoft y Amazon services
- Encuentra el conector de datos de Microsoft Sentinel
Soporte técnico de los conectores de datos
Tanto Microsoft como otras organizaciones crean conectores de datos Microsoft Sentinel. Cada conector de datos tiene uno de los siguientes tipos de soporte técnico enumerados en la página del conector de datos de Microsoft Sentinel.
| Tipo de soporte técnico | Descripción |
|---|---|
| Soporte técnico de Microsoft | Se aplica a:
Los asociados o los conectores de datos de soporte técnico de la comunidad creados por cualquier entidad distinta de Microsoft. |
| Soporte técnico de asociados | Se aplica a los conectores de datos creados por entidades distintas de Microsoft. La empresa asociada proporciona soporte técnico o mantenimiento para estos conectores de datos. La empresa asociada puede ser un proveedor de software independiente, un proveedor de servicios administrados (MSP/MSSP), un integrador de sistemas (SI) o cualquier organización cuya información de contacto se proporcione en la página de Microsoft Sentinel para ese conector de datos. Para cualquier problema con el conector de datos compatible con asociados, póngase en contacto con el contacto de soporte técnico de los conectores de datos especificado. |
| Soporte técnico de la comunidad | Se aplica a los conectores de datos creados por Microsoft o desarrolladores asociados que no tienen contactos enumerados para la compatibilidad y el mantenimiento del conector de datos en la página del conector de datos de Microsoft Sentinel. Para preguntas o problemas con estos conectores de datos, puede presentar un problema en la comunidad de GitHub de Microsoft Sentinel. |
Para obtener más información, consulte Encontrar compatibilidad con un conector de datos.
Pasos siguientes
Para más información sobre los conectores de datos, consulte los artículos siguientes.
- Conecte los orígenes de datos para Microsoft Sentinel mediante conectores de datos
- Encuentra el conector de datos de Microsoft Sentinel
- Resources para crear conectores personalizados Microsoft Sentinel
Para obtener una referencia básica de infraestructura como código (IaC) de Bicep, Azure Resource Manager y Terraform para la implementación de conectores de datos en Microsoft Sentinel, consulte referencia de IaC de conectores de datos en Microsoft Sentinel.