Configuración de conectores de datos federados en Microsoft Sentinel lago de datos

En este artículo se explica cómo configurar conectores de datos federados para habilitar la consulta de orígenes de datos externos desde el lago de datos Microsoft Sentinel. Puede federar con Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 y Microsoft Fabric.

Requisitos previos

Antes de configurar la federación de datos, asegúrese de cumplir los siguientes requisitos:

  • Sentinel incorporación del lago de datos: el inquilino debe incorporarse al lago de datos de Sentinel. Para obtener más información, consulte Incorporación a Microsoft Sentinel lago de datos.

  • Accesibilidad pública: el origen externo debe ser accesible públicamente. Actualmente no se admiten puntos de conexión privados.

  • Entidad de servicio: se requiere una entidad de servicio con los permisos adecuados en el origen de datos con el que desea conectarse para Azure Databricks y Azure Data Lake Storage Gen2 orígenes. Para obtener más información, consulte Microsoft Entra ID registros de aplicaciones.

  • Azure Key Vault: se requiere un Azure Key Vault configurado con el secreto de cliente de la entidad de servicio. La identidad de la aplicación Microsoft Sentinel necesita permisos asignados al almacén de claves. Para obtener más información sobre cómo configurar Azure almacenes de claves, consulte Azure Key Vaults.

  • Microsoft Sentinel permisos: permisos de datos (administrar) en tablas del sistema para configurar un conector de federación de datos. Para obtener más información, consulte Roles y permisos en la plataforma de Microsoft Sentinel.

Crear un servicio principal

Para Azure federación de Databricks y ADLS Gen 2, necesita una entidad de servicio con credenciales de acceso almacenadas en Azure Key Vault. Puede usar una entidad de servicio existente o seguir los pasos siguientes para crear una nueva entidad de servicio.

  1. Cree un registro de aplicación Microsoft Entra ID:

    1. En el Azure Portal, vaya a Microsoft Entra ID>Registros de aplicaciones.
    2. Seleccione Nuevo registro.
    3. Escriba un nombre para la aplicación.
    4. Deje vacío el URI de redireccionamiento (no es necesario para este escenario).
    5. Seleccione Registrar.

  2. Cree un secreto de cliente:

    1. En el registro de la aplicación, vaya a Certificados & secretos.
    2. Seleccione Nuevo secreto de cliente.
    3. Escriba una descripción y seleccione un período de expiración.
    4. Seleccione Agregar.
    5. Copie el valor del secreto de cliente inmediatamente para usarlo en la sección siguiente. No se puede recuperar este valor después de salir de la página.

  3. Tenga en cuenta los detalles de la aplicación:

    • Identificador de aplicación (cliente)
    • Id. de objeto
    • Identificador de directorio (inquilino)

Para obtener más información sobre cómo crear entidades de servicio, consulte Microsoft Entra ID registros de aplicaciones.

Creación de una Azure Key Vault y almacenamiento de credenciales

Puede usar una Azure Key Vault existente y seguir los pasos siguientes para configurar Key Vault acceso, o bien crear una Key Vault mediante los pasos siguientes:

  1. Cree una Azure Key Vault:

    1. En el Azure Portal, cree un nuevo Azure Key Vault.
    2. Use el modelo de permisos de control de acceso basado en rol (recomendado) de Azure.
    3. Habilite la configuración de protección de eliminación temporal y purga para el almacén de claves.
    4. Tenga en cuenta el URI de Key Vault después de la creación.

  2. Configuración del acceso Key Vault:

    1. Asigne el rol usuario de secretos de Key Vault a la identidad administrada de la plataforma de Microsoft Sentinel. La identidad tiene el msg-resources-prefijo .
    2. Si usa directivas de acceso para Key Vaults en lugar de Azure control de acceso basado en rol, proporcione los permisos para Obtener y enumerar para operaciones de administración de secretos.

  3. Almacene el secreto de cliente en Key Vault:

    1. En la Key Vault, vaya aGeneración o importación de secretos>.
    2. Cree un nuevo secreto que contenga el secreto de cliente de la entidad de servicio.
    3. Anote el nombre del secreto. Se usa al configurar la instancia del conector de federación de datos.

Para obtener más información sobre cómo configurar Azure almacenes de claves, consulte Azure Key Vaults.

Conectores de datos federados

Los conectores federados se administran en la página Conectores de datos de Microsoft Sentinel en el portal de Defender.

  1. Vaya a Microsoft Sentinel>Conectores de datos de configuración>.

  2. En Federación de datos, seleccione Catálogo para ver los conectores federados disponibles.

    La página del catálogo muestra:

    • Tipos de conectores de federación disponibles
    • Número de instancias configuradas para cada conector
    • Información de publicador y soporte técnico

    Captura de pantalla que muestra el catálogo de federación de datos con conectores disponibles.

  3. Seleccione la página Mis conectores para ver todas las instancias de conector configuradas. En la página se enumeran las instancias del conector de federación de datos del inquilino junto con su nombre para mostrar, versión, estado y proveedor de soporte técnico.

  4. Seleccione cada instancia para ver detalles, editar configuraciones o eliminar la instancia.

Captura de pantalla que muestra la página Mis conectores con instancias de federación configuradas.

Creación de una instancia del conector

El proceso para crear una instancia del conector varía en función del origen de datos externo al que se va a conectar. Siga las instrucciones del tipo de origen de datos específico.

Creación de una instancia del conector de Microsoft Fabric

Antes de configurar la instancia del conector de Fabric, debe configurar permisos en el entorno de Microsoft Fabric para permitir que Microsoft Sentinel accedan a los datos.

  • Configuración de la configuración de administrador en Microsoft Fabric para que el inquilino esté habilitado para el uso compartido de datos externos. Para obtener más información, consulte Creación de un recurso compartido de datos externo.

  • Configure los valores de administrador en Microsoft Fabric para que la configuración esté habilitada para que las entidades de servicio puedan llamar a las API públicas de Fabric. Para obtener más información, consulte Las entidades de servicio pueden llamar a las API públicas de Fabric.

  • Agregue la identidad de la plataforma Sentinel, con msg-resources- el prefijo como miembro del área de trabajo en la instancia de Lakehouse desde la que desea federar tablas. Para obtener más información, consulte Dar acceso a áreas de trabajo.

  1. En la páginaCatálogode federación> de datos, seleccione la fila Microsoft Fabric.

  2. En el panel lateral, seleccione Conectar un conector.

  3. Escriba la información siguiente:

    Campo Description
    Nombre de instancia Un nombre descriptivo para esta instancia del conector. Este nombre de instancia se anexa a las tablas representadas en el lago desde esta instancia.
    Identificador del área de trabajo de Fabric Identificador del área de trabajo tejido que se va a federar. Al navegar al área de trabajo de Fabric o a Lakehouse, el identificador del área de trabajo se encuentra en la dirección URL después de /groups/
    Identificador de tabla de Lakehouse Identificador de la tabla de Fabric Lakehouse que se va a federar. Al navegar a Fabric lakehouse, el identificador de lakehouse se muestra en la dirección URL después de /lakehouses/.

  4. Seleccione Siguiente.

    Captura de pantalla del formulario de detalles de conexión de Microsoft Fabric.

  5. Seleccione las tablas que desea federar.

  6. Seleccione Siguiente.

  7. Revise la configuración de destino de federación.

  8. Seleccione Conectar para crear la instancia de conexión.

Nota:

Los archivos del origen de datos de destino deben estar en formato parquet delta para leerse desde el lago de datos Sentinel.

Comprobación de tablas desde la instancia del conector

Después de crear una instancia del conector, compruebe que las tablas federadas están disponibles en Microsoft Sentinel.

  1. Vaya a Microsoft Sentinel > tablas de configuración>.

  2. Filtre por tipo federado para ver todas las tablas federadas.

  3. Busque por el nombre de la instancia del conector.

  4. Las tablas de la instancia del conector aparecen con su nombre seguido de _instance name. Por ejemplo, si el nombre de la instancia del conector de datos era GlobalHRData y la tabla se llamaba hrlogs, el nombre de la tabla se muestra como hrlogs_GlobalHRData.

  5. Seleccione una tabla de la lista para abrir el panel de detalles.

  6. Seleccione la pestaña Información general para ver el tipo de tabla y el proveedor de federación.

  7. Seleccione la pestaña Origen de datos para ver el proveedor de datos de la instancia del conector y el producto de origen de la tabla. Al seleccionar el nombre de instancia del conector, se le llevará a esa instancia en Mis conectores dentro de Data Connectors.

  8. Seleccione la pestaña Esquema para ver el esquema de tabla.

  9. En la pestaña Esquema , seleccione Actualizar para actualizar el esquema de tabla asociado a la tabla federada.

Captura de pantalla que muestra el esquema de tabla federada.

Administración de instancias del conector

Para modificar o eliminar una instancia del conector:

  1. Vaya a la página Federación >de datosMis conectores.
  2. Seleccione la instancia del conector que desea administrar.
  3. En el panel de detalles, use las opciones disponibles para:
    • Edición de la configuración de conexión
    • Adición o eliminación de tablas federadas
    • Eliminación de la instancia del conector

Nota:

Las instancias de conexión de Microsoft Fabric no admiten la edición. Puede crear una nueva conexión federada para agregar más tablas, o puede eliminar la instancia de conexión de Fabric y volver a crearla con el mismo nombre de instancia y un conjunto diferente de tablas seleccionadas.

Captura de pantalla que muestra la página Mis conectores.

Solución de problemas

Se produce un error en la conexión

  • Compruebe que la identidad administrada de la plataforma de Sentinel con el prefijo tiene msg-resources- los permisos correctos en Azure Key Vault.

  • Si el origen de conexión está Azure Databricks o Azure Data Lake Storage Gen2, asegúrese de que el secreto de Key Vault contiene el secreto de cliente correcto para la entidad de servicio.

  • Las redes Key Vault deben establecerse en Permitir el acceso público desde todas las redes durante la configuración del conector, que es la configuración predeterminada de Key Vault. Se puede cambiar después de la creación o edición del conector.

  • Confirme que el origen de datos externo es accesible públicamente.

  • Compruebe que la entidad de servicio tiene los permisos adecuados en el origen de datos de destino para Azure Databricks y ADLS.

  • Si el origen de datos de destino es Fabric, compruebe que se concedió permiso a la msg-resources- identidad con prefijo para Microsoft Sentinel como miembro del área de trabajo.

  • Compruebe que no tiene más de 100 instancias de conexión.

Nota:

ADLS y Azure Databricks usan una instancia de conexión por conexión federada. Fabric puede usar más instancias por conexión federada. Para Fabric, cada esquema de lakehouse de la conexión federada cuenta con el límite de 100 instancias.

Las tablas no aparecen

  • Compruebe que la entidad de servicio tiene acceso de lectura a las tablas de destino para ADLS y Azure Databricks, y que la entidad de servicio está en el mismo inquilino que estos orígenes de datos.

  • En El caso de Databricks, asegúrese de que ha concedido tanto el valor preestablecido de privilegios del Lector de datos integrado como el permiso Esquema de uso externo a la entidad de servicio.

  • Para ADLS Gen 2, confirme que el rol Lector de datos de Storage Blob está asignado a la entidad de servicio.

Problemas de rendimiento de consultas

  • Tenga en cuenta el tamaño de los datos que se consultan desde orígenes externos.

  • Optimice las consultas para filtrar los datos antes.

  • Compruebe la conectividad de red entre Sentinel y el origen externo.

Pasos siguientes

  • Last updated on