Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Após integrar o Microsoft Sentinel com o workspace, use os conectores de dados para começar a ingerir os dados no Microsoft Sentinel. O Microsoft Sentinel vem com muitos conectores prontos para o uso em serviços da Microsoft, os quais são integrados em tempo real. Por exemplo, o conector Microsoft Defender XDR é um conector serviço a serviço que integra dados do Office 365, Microsoft Entra ID, Microsoft Defender para Identidade e Microsoft Defender para Nuvem Apps.
Os conectores internos permitem a conexão com o ecossistema de segurança mais amplo para produtos que não são da Microsoft. Por exemplo, use Syslog, Formato Comum de Evento (CEF) ou APIs REST para conectar suas fontes de dados com o Microsoft Sentinel.
Observação
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel na disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Considerações de gerenciamento de dados para o data lake do Microsoft Sentinel
As seguintes considerações devem ser consideradas em seu planejamento de conformidade e gerenciamento de dados:
RGPD e Retenção de Dados
- Os administradores de locatários podem exercer direitos de GDPR usando o recurso Limpar na camada de análise. Isso não afeta a camada do data lake.
- Registros específicos não podem ser limpos do data lake do Sentinel. O data lake retém dados ingeridos para o período de retenção definido, mesmo que os dados sejam excluídos na origem ou na camada de análise.
Integração do Purview. As alterações nas configurações do Purview não têm nenhum efeito sobre os dados armazenados no data lake do Sentinel.
Local de Armazenamento Os locais de armazenamento do Data Lake do Sentinel são selecionados pelo administrador do locatário e podem ser diferentes do local de armazenamento primário dos serviços de origem.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.
Conectores de dados fornecidos com soluções
As soluções Microsoft Sentinel fornecem conteúdo de segurança empacotado, incluindo conectores de dados, pastas de trabalho, regras de análise, manuais e muito mais. Ao implantar uma solução com um conector de dados, você obterá o conector de dados juntamente com o conteúdo relacionado na mesma implantação.
A página Conectores de Dados do Microsoft Sentinel lista os conectores de dados instalados ou em uso.
Para adicionar mais conectores de dados, instale a solução associada ao conector de dados do Hub de Conteúdo. Para obter mais informações, consulte os seguintes artigos:
- Localizar o conector de dados do Microsoft Sentinel
- Sobre o conteúdo e as soluções do Microsoft Sentinel
- Descobrir e gerenciar conteúdo pronto para uso para o Microsoft Sentinel
- Catálogo do hub de conteúdo do Microsoft Sentinel
- Soluções de domínio baseadas em ASIM (Advanced Security Information Model) para o Microsoft Sentinel
Criar conectores personalizados
Se não for possível conectar sua fonte de dados ao Microsoft Azure Sentinel usando qualquer uma das soluções existentes disponíveis, considere criar seu próprio conector de fonte de dados. Por exemplo, muitas soluções de segurança fornecem um conjunto de APIs para recuperar arquivos de log e outros dados de segurança de seu produto ou serviço. Essas APIs se conectam ao Microsoft Sentinel com um dos seguintes métodos:
- As APIs da fonte de dados são configuradas com o Codeless Connector Framework.
- O conector de dados usa a API de Ingestão de Log para o Azure Monitor como parte de uma função ou aplicativo lógico do Azure.
Você também pode usar o Agente do Azure Monitor diretamente ou o Logstash para criar seu conector personalizado. Para obter mais informações, consulte Recursos para criar conectores personalizados do Microsoft Sentinel.
Integração baseada em agente para conectores de dados
O Microsoft Sentinel pode usar agentes fornecidos pelo serviço do Azure Monitor (no qual o Microsoft Sentinel se baseia) para coletar dados de qualquer fonte de dados que possa executar o streaming de log em tempo real. Por exemplo, a maioria das fontes de dados locais conecta-se usando integração baseada em agente.
As seções a seguir descrevem os diferentes tipos de conectores de dados baseados em agente do Microsoft Sentinel. Para configurar conexões usando mecanismos baseados em agente, siga as etapas em cada página do conector de dados do Microsoft Sentinel.
Syslog e Formato Comum de Evento (CEF)
Você pode transmitir eventos de dispositivos com suporte a Syslog baseados em Linux para o Microsoft Sentinel usando o Azure Monitor Agent (AMA). Os formatos de log variam, mas diversas fontes suportam formatação baseada em CEF. Dependendo do tipo de dispositivo, o agente é instalado diretamente no dispositivo ou em um encaminhador de log dedicado baseado no Linux. O AMA recebe mensagens de evento Syslog ou CEF simples do daemon Syslog por UDP. O daemon do Syslog encaminha eventos para o agente internamente, comunicando-se por TCP ou UDS (Soquetes de Domínio Unix), dependendo da versão. Em seguida, o AMA transmite esses eventos para o espaço de trabalho do Microsoft Sentinel.
Aqui está um fluxo simples que mostra como o Microsoft Sentinel transmite dados Syslog.
- O daemon Syslog integrado do dispositivo coleta eventos locais dos tipos específicos e encaminha os eventos localmente para o agente.
- O agente transmite os eventos para o workspace do Log Analytics.
- Após a configuração bem-sucedida, as mensagens do Syslog aparecem na tabela Syslog do Log Analytics e nas mensagens CEF na tabela CommonSecurityLog .
Para obter mais informações, consulte Syslog e CEF (Common Event Format) via conectores AMA para Microsoft Sentinel.
Logs personalizados
Para algumas fontes de dados, você pode coletar logs como arquivos nos computadores Windows ou Linux, usando o agente de coleta de logs personalizado do Log Analytics.
Para se conectar usando o agente de coleta de log personalizado do Log Analytics, siga as etapas em cada página do conector de dados do Microsoft Sentinel. Após a configuração, os dados aparecem em tabelas personalizadas.
Para obter mais informações, veja Logs personalizados via conector de dados AMA - Configurar ingestão de dados no Microsoft Sentinel de aplicativos específicos.
Integração de serviço a serviço para conectores de dados
O Microsoft Sentinel usa a fundação Azure para fornecer suporte pronto para uso de serviço a serviço para serviços Microsoft e Amazon Web Services.
Para obter mais informações, consulte os seguintes artigos:
- Conectar o Microsoft Sentinel aos serviços Azure, Windows, Microsoft e Amazon
- Localizar o conector de dados do Microsoft Sentinel
Suporte ao conector de dados
Tanto a Microsoft quanto outras organizações criam conectores de dados do Microsoft Sentinel. Cada conector de dados tem um dos seguintes tipos de suporte listados na página do conector de dados no Microsoft Sentinel.
| Tipo de suporte | Descrição |
|---|---|
| Suporte da Microsoft | Aplica-se a:
Os parceiros ou a Comunidade oferecem suporte a conectores de dados criados por terceiros que não a Microsoft. |
| Apoiado por parceiros | Aplica-se a conectores de dados criados por terceiros que não sejam a Microsoft. A empresa parceira oferece suporte ou manutenção para esses conectores de dados. A empresa parceira pode ser um fornecedor independente de software, um Provedor de Serviços Gerenciados (MSP/MSSP), um Integrador de Sistemas (SI) ou qualquer organização cujas informações de contato sejam fornecidas na página do Microsoft Sentinel desse conector de dados. Se você tiver problemas com um conector de dados com suporte do parceiro, entre em contato com o suporte do conector de dados específico. |
| Com suporte da comunidade | Aplica-se a conectores de dados de autoria da Microsoft ou de desenvolvedores parceiros que não listaram contatos para suporte e manutenção do conector de dados na página do conector de dados no Microsoft Sentinel. Para perguntas ou problemas com esses conectores de dados, você pode apresentar um problema na comunidade GitHub do Microsoft Sentinel. |
Para obter mais informações, consulte Encontrar suporte para um conector de dados.
Próximas etapas
Para obter mais informações sobre conectores de dados, veja os artigos a seguir.
- Conectar suas fontes de dados ao Microsoft Sentinel usando conectores de dados
- Localizar o conector de dados do Microsoft Sentinel
- Recursos para criar conectores personalizados do Microsoft Sentinel
Para obter uma referência básica de IaC (Infraestrutura como Código) do Bicep, do Azure Resource Manager e do Terraform para implantar conectores de dados no Microsoft Sentinel, consulte a referência iaC do conector de dados do Microsoft Sentinel.