conectores de datos Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Después de incorporar Microsoft Sentinel al área de trabajo, use conectores de datos para empezar a ingerir los datos en Microsoft Sentinel. Microsoft Sentinel incluye muchos conectores integrados para los servicios de Microsoft, que se integran en tiempo real. Por ejemplo, el conector de Microsoft Defender XDR es un conector de servicio a servicio que integra datos de Office 365, Microsoft Entra ID, Microsoft Defender for Identity y Microsoft Defender for Cloud Apps.

Los conectores integrados permiten la conexión al ecosistema de seguridad más amplio para productos que no son de Microsoft. Por ejemplo, use Syslog, Common Event Format (CEF) o las API REST para conectar los orígenes de datos con Microsoft Sentinel.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes del Gobierno de EE. UU., consulte las tablas de Microsoft Sentinel en disponibilidad de características en la nube para los clientes de US Government.

Importante

Según el anuncio de 2024, después del 14 de septiembre de 2026, ya no se admitirá la API de recopilador de datos HTTP heredada. Los orígenes de datos, las integraciones personalizadas o los conectores que usan la API de recopilador de datos HTTP deben realizar la transición a una alternativa admitida para evitar posibles interrupciones de ingesta después de esta fecha.

Si actualmente usa la API de recopilador de datos HTTP, se recomienda empezar a planear la migración a la API de ingesta de registros o a Codeless Connector Framework (CCF) para garantizar la ingesta ininterrumpida de datos, la confiabilidad, la escalabilidad y la compatibilidad a largo plazo.

Consideraciones de administración de datos para Microsoft Sentinel lago de datos

Las siguientes consideraciones deben tenerse en cuenta en el planeamiento de cumplimiento y administración de datos:

  • RGPD y retención de datos

    • Los administradores de inquilinos pueden ejercer los derechos del RGPD mediante la característica Purgar para el nivel de análisis. Esto no afecta al nivel del lago de datos.
    • No se pueden purgar registros específicos del lago de datos de Sentinel. El lago de datos conserva los datos ingeridos durante el período de retención definido, incluso si los datos se eliminan en el origen o en el nivel de análisis.

  • Integración de Purview. Los cambios en la configuración de Purview no tienen ningún efecto en los datos almacenados en el lago de datos Sentinel.

  • Ubicación de almacenamiento Sentinel las ubicaciones de almacenamiento de Data Lake las selecciona el administrador de inquilinos y pueden diferir de la ubicación de almacenamiento principal de los servicios de origen.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Conectores de datos proporcionados con soluciones

Microsoft Sentinel soluciones proporcionan contenido de seguridad empaquetado, incluidos conectores de datos, libros, reglas de análisis, cuadernos de estrategias y mucho más. Al implementar una solución con un conector de datos, se obtiene el conector de datos junto con el contenido relacionado de la misma implementación.

En la página Microsoft Sentinel Data connectors (Conectores de datos de Microsoft Sentinel) se enumeran los conectores de datos instalados o en uso.

Para agregar más conectores de datos, instale la solución asociada al conector de datos desde el Centro de contenido. Para más información, consulte los siguientes artículos:

Creación de conectores personalizados

Si no puede conectar el origen de datos a Microsoft Sentinel mediante cualquiera de las soluciones existentes disponibles, considere la posibilidad de crear su propio conector de origen de datos. Por ejemplo, muchas soluciones de seguridad proporcionan un conjunto de API para recuperar archivos de registro y otros datos de seguridad de su producto o servicio. Esas API se conectan a Microsoft Sentinel con uno de los métodos siguientes:

También puede usar Azure Agente de Supervisión directamente o Logstash para crear el conector personalizado. Para obtener más información, vea Recursos para crear Microsoft Sentinel conectores personalizados.

Integración basada en agente para conectores de datos

Microsoft Sentinel puede usar agentes proporcionados por el servicio Azure Monitor (en el que se basa Microsoft Sentinel) para recopilar datos de cualquier origen de datos que pueda realizar streaming de registros en tiempo real. Por ejemplo, la mayoría de los orígenes de datos locales se conectan mediante la integración basada en agente.

En las secciones siguientes se describen los distintos tipos de conectores de datos basados en agentes de Microsoft Sentinel. Para configurar conexiones mediante mecanismos basados en agente, siga los pasos de cada página Microsoft Sentinel conector de datos.

Syslog y formato de evento común (CEF)

Puede transmitir eventos desde dispositivos compatibles con Syslog basados en Linux en Microsoft Sentinel mediante el agente de supervisión de Azure (AMA). Los formatos de registro varían, pero muchos orígenes admiten el formato basado en CEF. En función del tipo de dispositivo, el agente se instala directamente en el dispositivo o en un reenviador de registros dedicado basado en Linux. La AMA recibe mensajes de evento syslog o CEF sin formato del demonio de Syslog a través de UDP. El demonio de Syslog reenvía los eventos al agente internamente, comunicándose a través de TCP o UDS (sockets de dominio unix), en función de la versión. A continuación, la AMA transmite estos eventos al área de trabajo de Microsoft Sentinel.

Este es un flujo sencillo que muestra cómo Microsoft Sentinel transmite los datos de Syslog.

  1. El demonio de Syslog integrado del dispositivo recopila eventos locales de los tipos especificados y reenvía los eventos localmente al agente.
  2. El agente transmite los eventos al área de trabajo de Log Analytics.
  3. Después de una configuración correcta, los mensajes de Syslog aparecen en la tabla Syslog de Log Analytics y los mensajes CEF en la tabla CommonSecurityLog .

Para obtener más información, vea Syslog y Common Event Format (CEF) via AMA connectors for Microsoft Sentinel.

Registros personalizados

Para algunos orígenes de datos, puede recopilar registros como archivos en Equipos Windows o Linux mediante el agente de recopilación de registros personalizado de Log Analytics.

Para conectarse mediante el agente de recopilación de registros personalizado de Log Analytics, siga los pasos de cada página Microsoft Sentinel conector de datos. Después de una configuración correcta, los datos aparecen en tablas personalizadas.

Para obtener más información, consulte Registros personalizados a través del conector de datos AMA: configuración de la ingesta de datos para Microsoft Sentinel desde aplicaciones específicas.

Integración de servicio a servicio para conectores de datos

Microsoft Sentinel usa la base de Azure para proporcionar soporte de servicio a servicio de fábrica para los servicios de Microsoft y Amazon Web Services.

Para más información, consulte los siguientes artículos:

Compatibilidad con conectores de datos

Microsoft y otras organizaciones crean conectores de datos Microsoft Sentinel. Cada conector de datos tiene uno de los siguientes tipos de compatibilidad enumerados en la página del conector de datos de Microsoft Sentinel.

Tipo de soporte técnico Description
Compatible con Microsoft Se aplica a:
  • Conectores de datos para orígenes de datos donde Microsoft es el proveedor de datos y el autor.
  • Algunos conectores de datos creados por Microsoft para orígenes de datos que no son de Microsoft.
Microsoft admite y mantiene conectores de datos en esta categoría según los planes de soporte técnico de Microsoft Azure.

Los asociados o la comunidad admiten conectores de datos creados por cualquier otra persona que no sea Microsoft.
Compatible con asociados Se aplica a los conectores de datos creados por partes distintas de Microsoft.

La empresa asociada proporciona soporte técnico o mantenimiento para estos conectores de datos. La empresa asociada puede ser un proveedor de software independiente, un proveedor de servicios administrados (MSP/MSSP), un integrador de sistemas (SI) o cualquier organización cuya información de contacto se proporcione en la página de Microsoft Sentinel para ese conector de datos.

Para cualquier problema con un conector de datos compatible con asociados, póngase en contacto con el contacto de soporte técnico del conector de datos especificado.
Compatible con la comunidad Se aplica a los conectores de datos creados por Microsoft o desarrolladores asociados que no tienen contactos enumerados para la compatibilidad y el mantenimiento del conector de datos en la página del conector de datos en Microsoft Sentinel.

Para preguntas o problemas con estos conectores de datos, puede presentar un problema en la comunidad de GitHub Microsoft Sentinel.

Para obtener más información, consulte Búsqueda de compatibilidad con un conector de datos.

Pasos siguientes

Para obtener más información sobre los conectores de datos, consulte los artículos siguientes.

Para obtener una referencia básica de infraestructura como código (IaC) de Bicep, Azure Resource Manager y Terraform para implementar conectores de datos en Microsoft Sentinel, consulte Microsoft Sentinel referencia de IaC del conector de datos.

  • Last updated on