Conexión Microsoft Sentinel a otros servicios de Microsoft mediante conexiones basadas en la configuración de diagnóstico

En este artículo se describe cómo conectarse a Microsoft Sentinel mediante conexiones de configuración de diagnóstico. Microsoft Sentinel usa la base Azure para proporcionar compatibilidad integrada de servicio a servicio para la ingesta de datos de muchos servicios de Azure y Microsoft 365, Amazon Web Services y varios servicios de Windows Server. Hay algunos métodos diferentes a través de los cuales se realizan estas conexiones.

En este artículo se presenta información común al grupo de conectores de datos que usan conexiones basadas en la configuración de diagnóstico. Algunos de estos tipos de conectores se administran mediante Azure Policy. Para los demás conectores de este tipo, use las instrucciones independientes.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes del Gobierno de EE. UU., consulte las tablas de Microsoft Sentinel en disponibilidad de características en la nube para los clientes de US Government.

Requisitos previos

Para ingerir datos en Microsoft Sentinel mediante un conector independiente basado en la configuración de diagnóstico, debe tener permisos de lectura y escritura en el área de trabajo de Log Analytics habilitada para Microsoft Sentinel.

Para ingerir datos en Microsoft Sentinel mediante conectores basados en la configuración de diagnóstico administrados por Azure Policy, también debe tener los siguientes requisitos previos:

  • Para usar Azure Policy para aplicar una directiva de streaming de registros a los recursos, debe tener el rol Propietario para el ámbito de asignación de directivas.

  • Los siguientes requisitos previos, en función del conector que use:

    Conector de datos Licencias, costos y otra información
    Actividad de Azure Este conector ahora usa la canalización de configuración de diagnóstico. Si usa el método heredado, debe desconectar las suscripciones existentes del método heredado antes de configurar el nuevo conector de registro de actividad de Azure.

    1. En el menú de navegación Microsoft Sentinel, seleccione Conectores de datos. En la lista de conectores, seleccione Azure Actividad y, a continuación, seleccione el botón Abrir página del conector en la parte inferior derecha.
    2. En la pestaña Instrucciones , en la sección Configuración , en el paso 1, revise la lista de las suscripciones existentes que están conectadas al método heredado y desconéctelas a la vez haciendo clic en el botón Desconectar todo a continuación.
    3. Siga configurando el nuevo conector con las instrucciones de esta sección.
    Azure DDoS Protection : se ha configurado Azure plan de protección Standard DDoS.
    - Red virtual configurada con Azure DDoS Standard habilitado
    - Pueden aplicarse otros cargos
    - El estado de Azure conector de datos de DDoS Protection cambia a Conectado solo cuando los recursos protegidos están bajo un ataque DDoS.
    Azure cuenta de almacenamiento El recurso de cuenta de almacenamiento (primario) tiene dentro otros recursos (secundarios) para cada tipo de almacenamiento: archivos, tablas, colas y blobs.
    Al configurar diagnósticos para una cuenta de almacenamiento, debe seleccionar y configurar:

    - El recurso de la cuenta primaria, exportando la métrica Transacción .
    - Cada uno de los recursos de tipo de almacenamiento secundario, exportando todos los registros y métricas.

    Solo verá los tipos de almacenamiento para los que realmente ha definido los recursos.

Conexión a través de un conector independiente basado en la configuración de diagnóstico

En este procedimiento se describe cómo conectarse a Microsoft Sentinel mediante conectores de datos que usan conexiones independientes basadas en la configuración de diagnóstico.

  1. En el menú de navegación Microsoft Sentinel, seleccione Conectores de datos.

  2. Seleccione el tipo de recurso en la galería de conectores de datos y, a continuación, seleccione Abrir página del conector en el panel de vista previa.

  3. En la sección Configuración de la página del conector, seleccione el vínculo para abrir la página de configuración de recursos.

    Si se presenta una lista de recursos del tipo deseado, seleccione el vínculo de un recurso cuyos registros desea ingerir.

  4. En el menú de navegación de recursos, seleccione Configuración de diagnóstico.

  5. Seleccione + Agregar configuración de diagnóstico en la parte inferior de la lista.

  6. En la pantalla Configuración de diagnóstico , escriba un nombre en el campo Nombre de configuración de diagnóstico .

    Marque la casilla Enviar a Log Analytics . Debajo se muestran dos campos nuevos. Elija la suscripción y el área de trabajo de Log Analytics pertinentes (donde reside Microsoft Sentinel).

  7. Marque las casillas de los tipos de registros y métricas que desea recopilar. Consulte nuestras opciones recomendadas para cada tipo de recurso en la sección del conector del recurso en la página Referencia de conectores de datos .

  8. Seleccione Guardar en la parte superior de la pantalla.

Para obtener más información, consulte también Creación de configuraciones de diagnóstico para enviar métricas y registros de plataforma de Azure Monitor a diferentes destinos en la documentación de Azure Monitor.

Conexión a través de un conector basado en la configuración de diagnóstico administrado por Azure Policy

En este procedimiento se describe cómo conectarse a Microsoft Sentinel mediante conectores de datos que usan conexiones basadas en la configuración de diagnóstico y que Azure Policy administran.

Los conectores de este tipo usan Azure Policy para aplicar una configuración de diagnóstico única a una colección de recursos de un solo tipo, definida como ámbito. Puede ver los tipos de registro ingeridos de un tipo de recurso determinado en el lado izquierdo de la página del conector de ese recurso, en Tipos de datos.

  1. En el menú de navegación Microsoft Sentinel, seleccione Conectores de datos.

  2. Seleccione el tipo de recurso en la galería de conectores de datos y, a continuación, seleccione Abrir página del conector en el panel de vista previa.

  3. En la sección Configuración de la página del conector, expanda los expansores que vea allí y seleccione el botón Iniciar Azure Policy Asistente para asignación.

    Se abre el Asistente para asignación de directivas, listo para crear una nueva directiva, con un nombre de directiva rellenado previamente.

    1. En la pestaña Aspectos básicos , seleccione el botón con los tres puntos en Ámbito para elegir la suscripción (y, opcionalmente, un grupo de recursos). También puede agregar una descripción.

    2. En la pestaña Parámetros :

      • Desactive la casilla Mostrar solo los parámetros que requieren entrada .
      • Si ve los campos De efecto y Nombre de configuración , déjelos tal cual.
      • Elija el área de trabajo de Microsoft Sentinel en la lista desplegable Área de trabajo de Log Analytics.
      • Los campos desplegables restantes representan los tipos de registro de diagnóstico disponibles. Deje marcado como True todos los tipos de registro que desea ingerir.

    3. La directiva se aplicará a los recursos agregados en el futuro. Para aplicar la directiva también en los recursos existentes, active la pestaña Corrección y marque la casilla Crear una tarea de corrección .

    4. En la pestaña Revisar y crear , haga clic en Crear. La directiva ahora se asigna al ámbito que eligió.

Con este tipo de conector de datos, los indicadores de estado de conectividad (una franja de color en la galería de conectores de datos y los iconos de conexión junto a los nombres de tipo de datos) se muestran como conectados (verde) solo si los datos se han ingerido en algún momento en los últimos 14 días. Una vez transcurridos 14 días sin ingesta de datos, el conector se muestra como desconectado. En el momento en que llegan más datos, se devuelve el estado conectado .

Puede buscar y consultar los datos de cada tipo de recurso mediante el nombre de tabla que aparece en la sección del conector del recurso en la página Referencia de conectores de datos . Para obtener más información, consulte Creación de configuraciones de diagnóstico para enviar Azure supervisión de registros y métricas de plataforma a diferentes destinos en la documentación de Azure Monitor.

Contenido relacionado

Para más información, vea:

  • Last updated on