Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Depois de integrar o Microsoft Sentinel no seu espaço de trabalho, utilize conectores de dados para começar a ingerir os seus dados no Microsoft Sentinel. O Microsoft Sentinel vem com muitos conectores prontos a usar para serviços Microsoft, que se integram em tempo real. Por exemplo, o conector Microsoft Defender XDR é um conector de serviço a serviço que integra dados do Office 365, Microsoft Entra ID, Microsoft Defender for Identity, e Microsoft Defender for Cloud Apps.
Os conectores integrados permitem a conexão com o ecossistema de segurança mais amplo para produtos que não são da Microsoft. Por exemplo, use APIs Syslog, Common Event Format (CEF) ou REST para ligar as suas fontes de dados com o Microsoft Sentinel.
Nota
Para informações sobre a disponibilidade de funcionalidades nas clouds do Governo dos EUA, consulte as tabelas de Microsoft Sentinel em Disponibilidade de funcionalidades para clientes do Governo dos EUA.
Importante
De acordo com o anúncio de 2024, após 14 de setembro de 2026, a antiga API HTTP Data Collector deixará de ser suportada. Fontes de dados, integrações personalizadas ou conectores que utilizam a API HTTP Data Collector devem transitar para uma alternativa suportada para evitar potenciais interrupções de ingestão após esta data.
Se está atualmente a usar a API HTTP Data Collector, recomendamos que comece a planear a sua migração para a API de Ingestão de Logs ou para o Codeless Connector Framework (CCF) para garantir ingestão ininterrupta de dados, maior fiabilidade, escalabilidade e suporte a longo prazo.
Considerações de gestão de dados para o Microsoft Sentinel data lake
As seguintes considerações devem ser levadas em conta em seu planejamento de conformidade e gerenciamento de dados:
RGPD e Retenção de Dados
- Os administradores de arrendatários podem exercer os direitos do GDPR usando o recurso Purgar para a camada de análise. Isso não afeta a camada do data lake.
- Registros específicos não podem ser removidos do data lake do Sentinel. O data lake retém os dados ingeridos durante o período de retenção definido, mesmo que os dados sejam excluídos na origem ou na camada de análise.
Integração Purview. As alterações nas configurações do Purview não têm qualquer efeito sobre os dados armazenados no data lake do Sentinel.
Local de armazenamento Os locais de armazenamento do data lake do Sentinel são selecionados pelo administrador do tenant e podem diferir do local de armazenamento principal dos serviços de origem.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixará de ser suportado no portal Azure e estará disponível apenas no portal Microsoft Defender. Todos os clientes que utilizam Microsoft Sentinel no portal Azure serão redirecionados para o portal Defender e usarão Microsoft Sentinel apenas no portal Defender.
Se ainda estiver a usar Microsoft Sentinel no portal Azure, recomendamos que comece a planear a sua transição para o portal Defender para garantir uma transição suave e tirar pleno partido da experiência de operações de segurança unificadas unificada oferecida pela Microsoft Defender.
Conectores de dados fornecidos com soluções
As soluções Microsoft Sentinel fornecem conteúdos de segurança incluídos, incluindo conectores de dados, livros de trabalho, regras de análise, manuais e muito mais. Ao implantar uma solução com um conector de dados, o utilizador obtém o conector de dados junto com o conteúdo relacionado na mesma implantação.
A página de conectores Microsoft Sentinel Data lista os conectores de dados instalados ou em uso.
Para adicionar mais conectores de dados, instale a solução associada ao conector de dados do Hub de conteúdo. Para obter mais informações, consulte os seguintes artigos:
- Encontre o seu conector de dados Microsoft Sentinel
- Sobre o conteúdo e soluções do Microsoft Sentinel
- Descubra e gerencie conteúdo pré-configurado do Microsoft Sentinel
- Catálogo do centro de conteúdos do Microsoft Sentinel
- Soluções de domínio baseadas em Advanced Security Information Model (ASIM) para Microsoft Sentinel
Criar conectores personalizados
Se não conseguir ligar a sua fonte de dados ao Microsoft Sentinel usando qualquer uma das soluções existentes, considere criar o seu próprio conector de fonte de dados. Por exemplo, muitas soluções de segurança fornecem um conjunto de APIs para recuperar arquivos de log e outros dados de segurança de seu produto ou serviço. Essas APIs ligam-se ao Microsoft Sentinel por um dos seguintes métodos:
- As APIs da fonte de dados são configuradas com o Codeless Connector Framework.
- O conector de dados utiliza a API de Ingestão de Logs para Azure Monitor como parte de uma Função Azure ou Logic App.
Também pode usar diretamente o Azure Monitor Agent ou o Logstash para criar o seu conector personalizado. Para mais informações, consulte Recursos para criar Microsoft Sentinel conectores personalizados.
Integração baseada em agente para conectores de dados
O Microsoft Sentinel pode usar agentes fornecidos pelo serviço Azure Monitor (no qual o Microsoft Sentinel se baseia) para recolher dados de qualquer fonte de dados que possa realizar streaming de registos em tempo real. Por exemplo, a maioria das fontes de dados locais se conecta usando a integração baseada em agente.
As secções seguintes descrevem os diferentes tipos de conectores de dados baseados em agentes Microsoft Sentinel. Para configurar ligações usando mecanismos baseados em agentes, siga os passos em cada página do conector de dados do Microsoft Sentinel.
Syslog e Formato Comum de Evento (CEF)
Pode transmitir eventos de dispositivos baseados em Linux que suportam Syslog no Microsoft Sentinel usando o Azure Monitor Agent (AMA). Os formatos de log variam, mas muitas fontes suportam formatação baseada em CEF. Dependendo do tipo de dispositivo, o agente é instalado diretamente no dispositivo ou em um encaminhador de log dedicado baseado em Linux. O AMA recebe mensagens de evento Syslog ou CEF simples do daemon Syslog sobre UDP. O daemon Syslog encaminha eventos para o agente internamente, comunicando-se através de TCP ou UDS (Unix Domain Sockets), dependendo da versão. A AMA transmite então estes eventos para o espaço de trabalho do Microsoft Sentinel.
Aqui está um fluxo simples que mostra como o Microsoft Sentinel transmite os dados do Syslog.
- O daemon Syslog interno do dispositivo coleta eventos locais dos tipos especificados e encaminha os eventos localmente para o agente.
- O agente transmite os eventos para o seu espaço de trabalho Log Analytics.
- Após a configuração bem-sucedida, as mensagens Syslog aparecem na tabela Log Analytics Syslog, e as mensagens CEF na tabela CommonSecurityLog.
Para mais informações, consulte Syslog e Common Event Format (CEF) via conectores AMA para Microsoft Sentinel.
Registos personalizados
Para algumas fontes de dados, pode recolher registos como ficheiros em computadores Windows ou Linux usando o agente personalizado de recolha de registos Log Analytics.
Para se ligar usando o agente personalizado de recolha de registos Log Analytics, siga os passos em cada página do conector de dados Microsoft Sentinel. Após a configuração bem-sucedida, os dados aparecem em tabelas personalizadas.
Para mais informações, consulte Registos Personalizados via conector de dados AMA - Configurar a ingestão de dados para Microsoft Sentinel de aplicações específicas.
Integração serviço-a-serviço para conectores de dados
O Microsoft Sentinel utiliza a fundação Azure para fornecer suporte pronto a usar para serviços Microsoft e Amazon Web Services.
Para obter mais informações, consulte os seguintes artigos:
- Connect Microsoft Sentinel aos serviços Azure, Windows, Microsoft e Amazon
- Encontre o seu conector de dados Microsoft Sentinel
Suporte a conector de dados
Tanto a Microsoft como outras organizações são responsáveis pelos conectores de dados Microsoft Sentinel. Cada conector de dados tem um dos seguintes tipos de suporte listados na página do conector de dados no Microsoft Sentinel.
| Tipo de suporte | Descrição |
|---|---|
| Suportado pela Microsoft | Aplica-se a:
Os parceiros ou a Comunidade oferecem suporte para conectores de dados criados por qualquer entidade além da Microsoft. |
| Suportado por parceiros | Aplica-se a conectores de dados criados por terceiros que não a Microsoft. A empresa parceira fornece suporte ou manutenção para esses conectores de dados. A empresa parceira pode ser um Fornecedor Independente de Software, um Fornecedor de Serviços Geridos (MSP/MSSP), um Integrador de Sistemas (SI) ou qualquer organização cuja informação de contacto seja fornecida na página do Microsoft Sentinel para esse conector de dados. Para quaisquer problemas com um conector de dados suportado pelo parceiro, entre em contato com o contato de suporte do conector de dados especificado. |
| Suportado pela comunidade | Aplica-se a conectores de dados criados pela Microsoft ou por programadores parceiros que não tenham contactos listados para suporte e manutenção de conectores de dados na página do Microsoft Sentinel. Para questões ou problemas com estes conectores de dados, pode apresentar uma questão na comunidade Microsoft Sentinel GitHub. |
Para obter mais informações, consulte Encontrar suporte para um conector de dados.
Próximos passos
Para obter mais informações sobre conectores de dados, consulte os seguintes artigos.
- Ligue as suas fontes de dados à Microsoft Sentinel usando conectores de dados
- Encontre o seu conector de dados Microsoft Sentinel
- Recursos para criar Microsoft Sentinel conectores personalizados
Para uma referência básica de Infraestrutura como Código (IaC) de Bicep, Azure Resource Manager e Terraform para implantar conectores de dados no Microsoft Sentinel, veja referência de IaC de conector de dados do Microsoft Sentinel.