Conexión de Microsoft Sentinel a otros servicios de Microsoft mediante conexiones basadas en la configuración de diagnóstico
En este artículo se describe cómo conectarse a Microsoft Sentinel mediante conexiones de configuración de diagnóstico. Microsoft Sentinel usa la base de Azure para proporcionar compatibilidad integrada entre servicios para la ingesta de datos de muchos servicios de Azure y Microsoft 365, Amazon Web Services y varios servicios de Windows Server. Estas conexiones se establecen mediante varios métodos diferentes.
En este artículo se presenta información común al grupo de conectores de datos que usan conexiones basadas en la configuración de diagnóstico. Algunos de estos tipos de conectores se administran mediante Azure Policy. Para los demás conectores de este tipo, use las instrucciones independientes.
Nota
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Para ingerir datos en Microsoft Sentinel mediante un conector independiente basado en la configuración de diagnóstico, debe tener permisos de lectura y escritura en el área de trabajo de Log Analytics habilitada para Microsoft Sentinel.
Para ingerir datos en Microsoft Sentinel mediante conectores basados en la configuración de diagnóstico administrados por Azure Policy, también debe disponer de los siguientes requisitos previos:
Para usar Azure Policy a fin de aplicar una directiva de streaming de registro a los recursos, debe tener asignado el rol de propietario para el ámbito de asignación de directivas.
Los siguientes requisitos previos, en función del conector que use:
Conector de datos Licencias, costos y otra información Azure Activity (Actividad de Azure) Este conector ahora usa la canalización de configuración de diagnóstico. Si usa el método heredado, debe desconectar las suscripciones existentes del método heredado antes de configurar el nuevo conector de registro de actividad de Azure.
1. En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos. En la lista de conectores, seleccione Actividad de Azure y, después, seleccione el botón Abrir página del conector en la parte inferior derecha.
2. En la pestaña Instrucciones, en la sección Configuración, en el paso 1, revise la lista de suscripciones existentes que están conectadas al método heredado y desconéctelas todas a la vez haciendo clic en el botón Desconectar todo que aparece a continuación.
3. Siga configurando el nuevo conector con las instrucciones de esta sección.Protección contra DDoS de Azure - Plan de Azure DDoS Protection Standard configurado
- Red virtual con Azure DDoS Standard habilitado configurada
- Es posible que se apliquen cargos adicionales.
- El estado del conector de datos de Azure DDoS Protection cambia a Conectado solo cuando los recursos protegidos se enfrentan a un ataque DDoS.Cuenta de Azure Storage El recurso de cuenta de almacenamiento (primario) contiene otros recursos (secundarios) para cada tipo de almacenamiento: archivos, tablas, colas y blobs.
Al configurar diagnósticos para una cuenta de almacenamiento, debe seleccionar y configurar lo siguiente:
- El recurso de la cuenta primaria, y exportar la métrica Transacción.
- Cada uno de los recursos de tipo de almacenamiento secundario, y exportar todos los registros y las métricas.
Solo verá los tipos de almacenamiento para los que realmente ha definido recursos.
En este procedimiento, se describe cómo conectarse a Microsoft Sentinel mediante conectores de datos que usan conexiones independientes basadas en la configuración de diagnóstico.
En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos.
Seleccione el tipo de recurso en la galería de conectores de datos y, luego, seleccione Open Connector Page (Abrir página del conector) en el panel de vista previa.
En la sección Configuration (Configuración) de la página del conector, seleccione el vínculo para abrir la página de configuración del recurso.
Si aparece una lista de recursos del tipo deseado, seleccione el vínculo de un recurso cuyos registros quiera ingerir.
Desde el menú de navegación del recurso, seleccione Configuración de diagnóstico.
Seleccione + Agregar configuración de diagnóstico.
En la pantalla Configuración de diagnóstico, escriba un nombre en el campo Nombre de la configuración de diagnóstico.
Marque la casilla Enviar a Log Analytics. Se muestran dos nuevos campos debajo. Elija la suscripción y el área de trabajo de Log Analytics pertinentes (donde reside Microsoft Sentinel).
Active las casillas de los tipos de registros y métricas que quiera recopilar. Vea las opciones recomendadas para cada tipo de recurso en la sección del conector del recurso en la página Referencia de conectores de datos.
En la parte superior de la pantalla, seleccione Guardar.
Para más información, vea también Creación de una configuración de diagnóstico para enviar registros y métricas de plataforma de Azure Monitor a diferentes destinos en la documentación de Azure Monitor.
Conexión mediante un conector basado en la configuración de diagnóstico administrado por Azure Policy
En este procedimiento, se describe cómo conectarse a Microsoft Sentinel mediante conectores de datos que usan conexiones basadas en la configuración de diagnóstico y son administrados por Azure Policy.
Los conectores de este tipo usan Azure Policy para aplicar una configuración de diagnóstico única a una colección de recursos de un solo tipo, definidos como un ámbito. Puede ver los tipos de registro ingeridos desde un tipo de recurso concreto en el lado izquierdo de la página del conector para ese recurso, en Tipos de datos.
En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos.
Seleccione el tipo de recurso en la galería de conectores de datos y, luego, seleccione Open Connector Page (Abrir página del conector) en el panel de vista previa.
En la sección Configuration (Configuración) de la página del conector, expanda los expansores que vea y seleccione el botón Launch Azure Policy Assignment wizard (Iniciar el asistente para asignación de Azure Policy).
Se abre el asistente para la asignación de directivas, listo para crear una directiva, con un nombre de directiva rellenado previamente.
En la pestaña Datos básicos, seleccione el botón con los tres puntos debajo de Ámbito para elegir la suscripción (y, opcionalmente, un grupo de recursos). También puede agregar una descripción.
En la pestaña Parámetros:
- Desactive la casilla Mostrar solo los parámetros que requieran entrada.
- Si ve los campos Efecto y Nombre de configuración, déjelos como están.
- Elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics.
- Los campos desplegables restantes representan los tipos de registro de diagnóstico disponibles. Deje marcados como True todos los tipos de registro que quiera ingerir.
La directiva se aplicará a los recursos agregados en el futuro. Para aplicar la directiva también a los recursos existentes, seleccione la pestaña Corrección y marque la casilla Crear una tarea de corrección.
En la pestaña Revisar y crear, haga clic en Crear. La directiva se asigna ahora al ámbito elegido.
Con este tipo de conector de datos, los indicadores de estado de conectividad (una franja de color en la galería de conectores de datos y los iconos de conexión situados junto a los nombres de tipo de datos) muestran el estado Conectado (verde) solo si los datos se han ingerido en algún momento en los últimos 14 días. Una vez transcurridos 14 días sin ingesta de datos, el conector se muestra como desconectado. En el momento en que pasen más datos, el estado vuelve a Conectado.
Puede buscar y consultar los datos de cada tipo de recurso mediante el nombre de tabla que aparece en la sección del conector del recurso en la página Referencia de conectores de datos. Para más información, consulte Creación de una configuración de diagnóstico para enviar registros y métricas de plataforma de Azure Monitor a diferentes destinos en la documentación de Azure Monitor.
Para más información, vea: