Entender os provedores de conectores de dados

  • 6 minutos

Microsoft Defender XDR

O conector de dados do Microsoft Defender XDR fornece alertas, incidentes e dados brutos dos produtos Microsoft Defender XDR, incluindo (entre outros):

  • Microsoft Defender para ponto de extremidade

  • Microsoft Defender para Identidade

  • Microsoft Defender para Office 365

  • Microsoft Defender for Cloud Apps

Serviços do Microsoft Azure

Os conectores dos serviços relacionados à Microsoft e ao Azure incluem (entre outros):

  • ID do Microsoft Entra

  • Atividades do Azure

  • Proteção de Identidade do Microsoft Entra

  • Proteção contra DDoS do Azure

  • Microsoft Defender para IoT

  • Proteção de Informações do Azure

  • Firewall do Azure

  • Microsoft Defender para Nuvem

  • WAF (Firewall de Aplicativo Web) (antigo Microsoft WAF)

  • Servidor de nomes de domínio

  • Office 365

  • Firewall do Windows

  • Eventos de segurança

Conectores do fornecedor

O Microsoft Sentinel fornece uma lista cada vez maior de conectores de dados específicos do fornecedor. Esses conectores usam principalmente o conector do CEF e do Syslog como base.

Dica

Lembre-se de verificar a página do conector para ver o Tipo de Dados (tabela) em que ele é gravado.

Conectores personalizados usando a API do Log Analytics

Você pode usar a API do coletor de dados do Log Analytics para enviar dados de log para o workspace do Log Analytics do Microsoft Sentinel.

Plug-in Logstash

Usando o plug-in de saída do Microsoft Sentinel para o mecanismo de coleta de dados Logstash, você pode enviar os logs desejados por meio do Logstash diretamente para o workspace do Log Analytics no Microsoft Sentinel. Os logs são gravados em uma tabela personalizada que você define usando o plug-in de saída.

Formato Comum de Evento e conector Syslog

Se não houver conectores do fornecedor, será possível usar o conector do CEF (Formato Comum de Evento) ou do Syslog.

O Syslog é um protocolo de registro de eventos em log que é comum para o Linux. Os aplicativos enviam mensagens que podem ser armazenadas no computador local ou entregues a um coletor de Syslog.

O CEF (Formato Comum de Evento) é um formato padrão do setor, além das mensagens do Syslog, usado por muitos fornecedores de segurança para viabilizar a interoperabilidade de eventos entre diferentes plataformas.

Syslog versus Formato Comum de Evento

O CEF é sempre uma opção superior porque os dados de log são analisados em campos predefinidos na tabela CommonSecurityLog. O Syslog fornece campos de cabeçalho, mas a mensagem de log bruto é armazenada em um campo chamado SyslogMessage na tabela Syslog. Para que os dados do Syslog sejam consultados, você precisará gravar um analisador a fim de extrair os campos específicos. O processo de criar um analisador para uma mensagem do Syslog será demonstrado em um módulo posterior.

Opções de arquitetura do conector

Para conectar o Coletor do CEF ou do Syslog no Microsoft Sentinel, o agente precisa ser implantado em uma máquina virtual (VM) dedicada do Azure ou em um sistema local para dar suporte à comunicação do dispositivo com o Microsoft Sentinel. Você pode implantar o agente manualmente ou automaticamente. A implantação automática está disponível somente quando o computador dedicado está conectado ao Azure Arc ou é uma máquina virtual no Azure.

O diagrama a seguir ilustra os sistemas locais que enviam dados do Syslog para uma VM do Azure dedicada que executa o agente do Microsoft Sentinel.

Diagram of Common Event Format architecture using Syslog on a dedicated Azure VM.

Como alternativa, você pode implantar manualmente o agente em uma VM do Azure existente, em uma VM em outra nuvem ou um computador local. O diagrama a seguir ilustra os sistemas locais que enviam dados do Syslog para um sistema local dedicado que executa o agente do Microsoft Sentinel.

Diagram of Common Event Format architecture for sending Linux log data using Syslog on a dedicated on-premises system.