Suportado por:1Password

O conector CCF 1Password permite que o utilizador ingira 1Password Audit, Signin & ItemUtilize eventos em Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Token da API de 1Password: é necessário um Token de API de Palavra-passe 1. Veja a documentação 1Password sobre como criar um token de API.

Instruções de Configuração:

PASSO 1 – Criar um token da API 1Password:

Siga a documentação 1Password para obter orientações sobre este passo.

PASSO 2 – escolha o URL base correto:

Existem vários servidores 1Password que podem alojar os seus eventos. O servidor correto depende da sua licença e região. Siga a documentação 1Password para escolher o servidor correto. Introduza o URL base conforme apresentado pela documentação (incluindo "https://" e sem um "/" à direita).

PASSO 3 – Introduza os detalhes de 1Password:

Introduza o URL base 1Password & Token da API abaixo:

• URL Base: (Introduza o URL Base)
• Token de API: (Introduza o Token de API)
• Ativar/Desativar Ligação

Suportado por:1Password

A solução 1Password para Microsoft Sentinel permite-lhe ingerir tentativas de início de sessão, utilização de itens e eventos de auditoria da sua conta 1Password Business com a API de Relatórios de Eventos 1Password. Isto permite-lhe monitorizar e investigar eventos no 1Password no Microsoft Sentinel juntamente com as outras aplicações e serviços que a sua organização utiliza.

Tecnologias Subjacentes da Microsoft utilizadas:

Esta solução depende das seguintes tecnologias e algumas das quais podem estar no estado de Pré-visualização ou podem incorrer em ingestão ou custos operacionais adicionais:

• Azure Functions

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• 1 Token de API de Eventos de Palavra-passe: é necessário um Token de API de Eventos de Palavra-passe 1. Para obter mais informações, veja a API 1Password.

Nota: É necessária uma conta 1Password Business

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar a 1Password para solicitar registos para Microsoft Sentinel. Isto pode resultar em custos adicionais de ingestão de dados de Azure. Consulte a página de preços do Azure Functions para obter detalhes.

(Passo Opcional) Armazene de forma segura a área de trabalho e as chaves ou tokens de autorização da API em Azure Key Vault. Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar Azure Key Vault com uma Aplicação de Funções Azure.

PASSO 1 – Passos de configuração para a API de Relatórios de Eventos 1Password

Siga estas instruções fornecidas pelo 1Password para obter um Token de API de Relatórios de Eventos. Nota: É necessária uma conta 1Password Business

PASSO 2 – Implementar a functionApp com o botão DeployToAzure para criar a tabela, dcr e a Função de Azure associada

IMPORTANTE: Antes de implementar o conector 1Password, é necessário criar uma tabela personalizada.

Opção 1 - Modelo de Azure Resource Manager (ARM)

Este método fornece uma implementação automatizada do conector 1Password com um Arm Tempate.

1. Clique no botão Implementar para Azure abaixo.

   aka.ms

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferenciais.

3. Introduza o Nome da Área de Trabalho, o Nome da Área de Trabalho, a Chave de API de Eventos de Palavra-passe e o URI.

• O Intervalo de Tempo predefinido está definido como cinco (5) minutos. Se quiser modificar o intervalo, pode ajustar o Acionador de Temporizador da Aplicação de Funções em conformidade (no ficheiro function.json, pós-implementação) para impedir a sobreposição da ingestão de dados.
• Nota: se utilizar Azure Key Vault segredos para qualquer um dos valores acima, utilize o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema em vez dos valores da cadeia. Veja Key Vault documentação de referências para obter mais detalhes.

4. Marque a caixa de verificação etiquetada Concordo com os termos e condições indicados acima.
5. Clique em Comprar para implementar.

Suportado por:Segurança Anormal

O conector de dados de Segurança Anormal fornece a capacidade de ingerir ameaças e registos de casos em Microsoft Sentinel através da API Rest de Segurança Anormal.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• Token de API de Segurança Anormal: é necessário um Token de API de Segurança Anormal. Para obter mais informações, veja API de Segurança Anormais. Nota: É necessária uma conta de Segurança Anormal

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar à API REST da Segurança Anormal para solicitar registos para Microsoft Sentinel. Isto pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

PASSO 1 – Passos de configuração para a API de Segurança Anormal

Siga estas instruções fornecidas pela Segurança Anormal para configurar a integração da API REST. Nota: É necessária uma conta de Segurança Anormal

PASSO 2 – escolha UMA das duas opções de implementação seguintes para implementar o conector e a Função Azure associada

IMPORTANTE: Antes de implementar o conector de dados De Segurança Anormal, tenha o ID da Área de Trabalho e a Chave Primária da Área de Trabalho (podem ser copiados do seguinte), bem como o Token de Autorização de API de Segurança Anormal, prontamente disponível.

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Opção 1 - Modelo de Azure Resource Manager (ARM)

Este método fornece uma implementação automatizada do conector de Segurança Anormal com um Modelo do ARM.

1. Clique no botão Implementar para Azure abaixo.

   aka.ms

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferenciais.

3. Introduza o ID da Área de Trabalho Microsoft Sentinel, Microsoft Sentinel Chave Partilhada e Chave de API REST de Segurança Anormal.

• O Intervalo de Tempo predefinido está definido para extrair os últimos cinco (5) minutos de dados. Se o intervalo de tempo precisar de ser modificado, recomenda-se que altere o Acionador do Temporizador da Aplicação de Funções em conformidade (no ficheiro function.json, pós-implementação) para evitar a sobreposição da ingestão de dados.

4. Marque a caixa de verificação etiquetada Concordo com os termos e condições indicados acima.
5. Clique em Comprar para implementar.

Opção 2 – Implementação Manual de Azure Functions

Utilize as seguintes instruções passo a passo para implementar manualmente o conector de dados de Segurança Anormal com Azure Functions (Implementação através de Visual Studio Code).

1. Implementar uma Aplicação de Funções

NOTA: Terá de preparar o código VS para Azure desenvolvimento de funções.

1. Transfira o ficheiro Azure Function App. Extraia o arquivo para o seu computador de desenvolvimento local.

2. Inicie o VS Code. Selecione Ficheiro no menu principal e selecione Abrir Pasta.

3. Selecione a pasta de nível superior a partir dos ficheiros extraídos.

4. Selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione o botão Implementar na aplicação de funções. Se ainda não tiver sessão iniciada, selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione Iniciar sessão para Azure Se já tiver sessão iniciada, avance para o passo seguinte.

5. Indique as seguintes informações nos pedidos:

   a. Selecionar pasta: Escolha uma pasta a partir da área de trabalho ou navegue para uma que contenha a sua aplicação de funções.

   b. Selecione Subscrição: Escolha a subscrição a utilizar.

   c. Selecione Criar nova Aplicação de Funções no Azure (não escolha a opção Avançadas)

   d. Introduza um nome globalmente exclusivo para a aplicação de funções: Escreva um nome válido num caminho de URL. O nome que escrever é validado para se certificar de que é exclusivo no Azure Functions. (por exemplo, AbnormalSecurityXX).

   e. Selecione um runtime: Selecione Python 3.8.

   f. Selecione uma localização para novos recursos. Para um melhor desempenho e custos mais baixos, escolha a mesma região onde Microsoft Sentinel se encontra.

6. A implementação será iniciada. É apresentada uma notificação após a criação da aplicação de funções e a aplicação do pacote de implementação.

7. Aceda ao Portal Azure para obter a configuração da Aplicação de Funções.

8. Configurar a Aplicação de Funções

9. Na Aplicação de Funções, selecione o Nome da Aplicação de Funções e selecione Configuração.

10. No separador Definições da aplicação, selecione + Nova definição da aplicação.

11. Adicione cada uma das seguintes definições de aplicação individualmente, com os respetivos valores de cadeia (sensíveis às maiúsculas e minúsculas): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (opcional) (adicione quaisquer outras definições exigidas pela Aplicação de Funções) Defina o uri valor como: <add uri value>

Nota: se utilizar Azure Key Vault segredos para qualquer um dos valores acima, utilize o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema em vez dos valores da cadeia. Veja Azure Key Vault documentação de referências para obter mais detalhes.

• Utilize logAnalyticsUri para substituir o ponto final da API de análise de registos para a cloud dedicada. Por exemplo, para a cloud pública, deixe o valor vazio; para Azure ambiente de cloud GovUS, especifique o valor no seguinte formato:https://<CustomerId>.ods.opinsights.azure.us.

4. Assim que todas as definições da aplicação tiverem sido introduzidas, clique em Guardar.

Suportado por:Microsoft Corporation

Agent 365 conector de dados fornece informações mais avançadas sobre a atividade do agente de IA ao trazer telemetria do agente de IA de Agent 365, AI Foundry e Copilot no data lake do Microsoft Sentinel para investigar o comportamento do agente, a utilização de ferramentas e a execução com fluxos de trabalho de investigação, gráfico e MCP. Os dados deste conector são utilizados para investigar o comportamento do agente de IA, a utilização de ferramentas e a execução no Microsoft Sentinel. Se tiver ativado estes fluxos de trabalho, desativar este conector impedirá que essas investigações sejam realizadas.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Instruções de Configuração:

Suportado por:AIShield

O conector AIShield permite que os utilizadores se liguem aos registos do mecanismo de defesa personalizado AIShield com Microsoft Sentinel, permitindo a criação de Dashboards dinâmicos, Livros, Blocos de Notas e Alertas personalizados para melhorar a investigação e impedir ataques a sistemas de IA. Fornece aos utilizadores mais informações sobre a postura de segurança dos recursos de IA da organização e melhora as capacidades de operação de segurança dos sistemas de IA. AIShield.GuArdIan analisa o conteúdo gerado pelo LLM para identificar e mitigar conteúdo prejudicial, salvaguardando contra violações legais, políticas, baseadas em funções e violações baseadas na utilização

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Nota: os utilizadores devem ter utilizado a oferta de SaaS AIShield para realizar a análise de vulnerabilidades e implementar mecanismos de defesa personalizados gerados juntamente com o respetivo recurso de IA. Clique aqui para saber mais ou entrar em contacto.

Instruções de Configuração:

NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar conforme esperado AIShield, que é implementado com a Solução Microsoft Sentinel.

IMPORTANTE: Antes de implementar o Conector AIShield, tenha o ID da Área de Trabalho e a Chave Primária da Área de Trabalho (pode ser copiado do seguinte).

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Suportado por:Microsoft Corporation

O conector de dados Alibaba Cloud ActionTrail fornece a capacidade de obter eventos actiontrail armazenados no Alibaba Cloud Simple Log Service e armazená-los em Microsoft Sentinel através da API REST SLS. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Credenciais/permissões da API REST SLS: AliCloudAccessKeyId e AliCloudAccessKeySecret são necessários para fazer chamadas à API. A declaração de política de RAM com a ação de, pelo menos log:GetLogStoreLogs , sobre o recurso acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} é necessária para conceder a um utilizador de RAM as permissões para chamar esta operação.

Instruções de Configuração:

Configurar o acesso à API SLS do AliCloud

Antes de utilizar a API, tem de preparar a sua conta de identidade e o par de chaves de acesso para aceder eficazmente à API.

1. Recomendamos que utilize um utilizador da Gestão de Acesso a Recursos (RAM) para chamar operações de API. Para obter mais informações, veja Criar um utilizador de RAM e autorizar o utilizador da RAM a aceder ao Simple Log Service.
2. Obtenha o par de chaves de acesso para o utilizador da RAM. Para obter detalhes, veja Obter o par da Chave de Acesso.

Tenha em atenção os detalhes do par de chaves de acesso para o próximo passo.

Adicionar ActionTrail Logstore

Para ativar o conector Alibaba Cloud ActionTrail para Microsoft Sentinel, clique em adicionar ActionTrail Logstore, preencha o formulário com a configuração do ambiente da Alibaba Cloud e clique em Ligar.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Microsoft Corporation

O conector de dados alibaba Cloud Networking fornece a capacidade de ingerir dados de rede da Alibaba Cloud em Microsoft Sentinel através da API REST do Simple Log Service (SLS). Veja a documentação da API para obter mais informações. O conector fornece a capacidade de obter Registos de Fluxo de VPC, Registos de WAF e Registos de Gateway de API da Alibaba Cloud.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Acesso à API do Alibaba Cloud SLS: é necessário acesso ao Alibaba Cloud Simple Log Service para a API SLS.

Instruções de Configuração:

Configurar o acesso à API SLS do AliCloud

Antes de utilizar a API, tem de preparar a sua conta de identidade e o par de chaves de acesso para aceder eficazmente à API.

1. Recomendamos que utilize um utilizador da Gestão de Acesso a Recursos (RAM) para chamar operações de API. Para obter mais informações, veja Criar um utilizador de RAM e autorizar o utilizador da RAM a aceder ao Simple Log Service.
2. Obtenha o par de chaves de acesso para o utilizador da RAM. Para obter detalhes, veja Obter o par da Chave de Acesso.

Tenha em atenção os detalhes do par de chaves de acesso para o próximo passo.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Microsoft Corporation

O conector de dados do AliCloud fornece a capacidade de obter registos de aplicações na cloud com a API da Cloud e armazenar eventos em Microsoft Sentinel através da API REST. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• Credenciais/permissões da API REST: AliCloudAccessKeyId e AliCloudAccessKey são necessários para fazer chamadas à API.

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar à API de Armazenamento de Blobs do Azure para solicitar registos para Microsoft Sentinel. Isto pode resultar em custos adicionais para a ingestão de dados e para armazenar dados em custos de Armazenamento de Blobs do Azure. Consulte a página de preços do Azure Functions e Armazenamento de Blobs do Azure página de preços para obter detalhes.

(Passo Opcional) Armazene de forma segura a área de trabalho e as chaves ou tokens de autorização da API em Azure Key Vault. Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar Azure Key Vault com uma Aplicação de Funções Azure.

NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar conforme esperado, o AliCloud, que é implementado com o Microsoft Sentinel Solution.

PASSO 1 – Passos de configuração para a API do AliCloud

Siga as instruções para obter as credenciais.

1. Obtenha o AliCloudAccessKeyId e AliCloudAccessKey: inicie sessão na conta, clique em Gestão de Chaves de Acesso e, em seguida, clique em Ver Segredo.
2. Guarde as credenciais para utilizar no conector de dados.

PASSO 2 – escolha UMA das duas opções de implementação seguintes para implementar o conector e a Função Azure associada

IMPORTANTE: Antes de implementar o conector de dados do AliCloud, tenha o ID da Área de Trabalho e a Chave Primária da Área de Trabalho (pode ser copiado do seguinte).

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Opção 1 - Modelo de Azure Resource Manager (ARM)

Utilize este método para a implementação automatizada do conector de dados do AliCloud com um Modelo do ARM.

1. Clique no botão Implementar para Azure abaixo.

   aka.ms

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferenciais.

NOTA: No mesmo grupo de recursos, não pode misturar o Windows e Linux aplicações na mesma região. Selecione o grupo de recursos existente sem aplicações do Windows ou crie um novo grupo de recursos. 3. Introduza o WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects e AppInsightsWorkspaceResourceID e implemente. 4. Marque a caixa de verificação identificada como Concordo com os termos e condições acima indicados. 5. Clique em Comprar para implementar.

Opção 2 – Implementação Manual de Azure Functions

Utilize as seguintes instruções passo a passo para implementar manualmente o conector de dados do AliCloud com Azure Functions (Implementação através de Visual Studio Code).

1. Implementar uma Aplicação de Funções

NOTA: Terá de preparar o código VS para Azure desenvolvimento de funções.

1. Transfira o ficheiro Azure Function App. Extraia o arquivo para o seu computador de desenvolvimento local.

2. Inicie o VS Code. Selecione Ficheiro no menu principal e selecione Abrir Pasta.

3. Selecione a pasta de nível superior a partir dos ficheiros extraídos.

4. Selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione o botão Implementar na aplicação de funções. Se ainda não tiver sessão iniciada, selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione Iniciar sessão para Azure Se já tiver sessão iniciada, avance para o passo seguinte.

5. Indique as seguintes informações nos pedidos:

   a. Selecionar pasta: Escolha uma pasta a partir da área de trabalho ou navegue para uma que contenha a sua aplicação de funções.

   b. Selecione Subscrição: Escolha a subscrição a utilizar.

   c. Selecione Criar nova Aplicação de Funções no Azure (não escolha a opção Avançadas)

   d. Introduza um nome globalmente exclusivo para a aplicação de funções: Escreva um nome válido num caminho de URL. O nome que escrever é validado para se certificar de que é exclusivo no Azure Functions. (por exemplo, AliCloudXXXXX).

   e. Selecione um runtime: Selecione Python 3.11.

   f. Selecione uma localização para novos recursos. Para um melhor desempenho e custos mais baixos, escolha a mesma região onde Microsoft Sentinel se encontra.

6. A implementação será iniciada. É apresentada uma notificação após a criação da aplicação de funções e a aplicação do pacote de implementação.

7. Aceda ao Portal Azure para obter a configuração da Aplicação de Funções.

8. Configurar a Aplicação de Funções

9. Na Aplicação de Funções, selecione o Nome da Aplicação de Funções e selecione Configuração.

10. No separador Definições da aplicação, selecione Nova definição da aplicação.

11. Adicione cada uma das seguintes definições de aplicação individualmente, com os respetivos valores de cadeia (sensíveis às maiúsculas e minúsculas): WorkspaceID WorkspaceKey AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

• Utilize logAnalyticsUri para substituir o ponto final da API de análise de registos para a cloud dedicada. Por exemplo, para a cloud pública, deixe o valor vazio; para Azure ambiente de cloud GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

4. Assim que todas as definições da aplicação tiverem sido introduzidas, clique em Guardar.

Suportado por:Microsoft Corporation

As instruções para ligar ao AWS e transmitir em fluxo os registos do CloudTrail para Microsoft Sentinel são apresentadas durante o processo de instalação. Para obter mais informações, veja a documentação do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Suportado por:Microsoft Corporation

Este conector de dados permite a integração de registos do AWS CloudFront com Microsoft Sentinel para suportar a deteção avançada de ameaças, investigação e monitorização de segurança. Ao utilizar o Amazon S3 para armazenamento de registos e o Amazon SQS para colocação de mensagens em fila, o conector ingere de forma fiável os registos de acesso do CloudFront no Microsoft Sentinel

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Instruções de Configuração:

Ingerir registos do AWS CloudFront no Microsoft Sentinel

Lista de Recursos Necessários:

• Abrir o fornecedor de identidade Web do ID Connect (OIDC)
• Função IAM
• Registo do Amazon S3
• Amazon SQS
• Configuração do AWS CloudFront

1. Implementação do CloudFormation do AWS Para configurar o acesso no AWS, foram gerados dois modelos para configurar o ambiente do AWS para enviar registos de um registo S3 para a área de trabalho do Log Analytics.

Para cada modelo, crie o Stack no AWS:

1. Aceda a AWS CloudFormation Stacks.
2. Selecione a opção "Especificar modelo" e, em seguida, "Carregar um ficheiro de modelo", clicando em "Escolher ficheiro" e selecionando o ficheiro de modelo CloudFormation adequado indicado abaixo. clique em "Escolher ficheiro" e selecione o modelo transferido.
3. Clique em "Seguinte" e em "Criar pilha".

• Modelo 1: implementação de autenticação do OpenID Connect: <valor variável fornecido no momento da instalação>
• Modelo 2: implementação de recursos do AWSCloudFront: <valor variável fornecido no momento da instalação>

2. Ligar novos recoletores Para ativar o AWS S3 para Microsoft Sentinel, clique no botão Adicionar novo recoletor, preencha as informações necessárias no painel de contexto e clique em Ligar.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Microsoft Corporation

O conector de Balanceamento de Carga Elástico (ELB) do AWS para Microsoft Sentinel permite-lhe ingerir registos de acesso e registos de fluxo de Balanceadores de Carga de Aplicações (ALB) do AWS, Balanceadores de Carga de Rede (NLB) e Balanceadores de Carga de Gateway (GLB) para Microsoft Sentinel. Estes registos fornecem informações detalhadas sobre os pedidos processados pelos balanceadores de carga e fluxos de tráfego VPC, permitindo a monitorização de segurança, a deteção de ameaças e a análise de tráfego.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• ARN da Função IAM do AWS e Fila sqS: é necessário um ARN da Função IAM do AWS com acesso entre contas e um URL de Fila sqS configurado para notificações de eventos S3. Veja a documentação do conector ELB do AWS para obter instruções de configuração.

Instruções de Configuração:

1. Implementação de CloudFormation do AWS Para configurar o acesso no AWS, utilize modelos cloudFormation para configurar o ambiente para enviar registos do ALB, NLB e GLB para a área de trabalho do Log Analytics.

Passos de implementação:

1. Aceda aos Modelos de Formação da Cloud e transfira os ficheiros de modelo JSON.
2. Aceda a AWS CloudFormation Stacks.
3. Primeiro, implemente o modelo de OIDCWebIdProvider.json (ignore se já tiver um fornecedor OIDC para Microsoft Sentinel).
4. Em seguida, implemente o modelo AWSS3ELB.json com os parâmetros.
5. Anote os seguintes valores das saídas da pilha:
   • IAMRoleArn
   • ALBSQSQueueURL
   • NLBSQSQueueURL
   • NLBFlowLogsSQSQueueURL
   • GLBFlowLogsSQSQueueURL

Configuração pós-implementação:

Assim que a pilha CloudFormation for implementada com êxito:

• Aceda ao separador Recursos na pilha.
• Localize o nome do registo S3 criado.
• No registo S3, crie manualmente as seguintes pastas:
  • ALBLogs
  • NLBAccessLogs
  • NLBFlowLogs
  • GLBFlowLogs

A Enviar Registos:

Após a criação da pasta, configure os serviços do AWS para enviar registos para as pastas adequadas:

• Registos de acesso do ALB ->ALBLogs/
• Registos de acesso do NLB ->NLBAccessLogs/
• Registos de fluxo do NLB ->NLBFlowLogs/
• Registos de fluxo do GLB ->GLBFlowLogs/

Estes registos serão ingeridos nas tabelas correspondentes na área de trabalho do Log Analytics.

Mapeamento de Tabelas:

• Registos de acesso do ALB ->AWSALBAccessLogsData
• Registos de acesso do NLB ->AWSNLBAccessLogsData
• Registos de fluxo de NLB e GLB ->AWSELBFlowLogsData

Nota: Na tabela, uma coluna com o AWSELBFlowLogsData nome LogType indicará se uma linha provém dos registos de fluxo do NLB ou dos registos de fluxo do GLB.

2. Ligar novos recoletores Para ativar o conector, clique em Adicionar novo recoletor, introduza os detalhes necessários e clique em Ligar.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Microsoft Corporation

Este conector de dados permite-lhe ingerir registos da Firewall de Rede do AWS no Microsoft Sentinel para deteção avançada de ameaças e monitorização de segurança. Ao tirar partido do Amazon S3 e do Amazon SQS, o conector reencaminha registos de tráfego de rede, alertas de deteção de intrusões e eventos de firewall para Microsoft Sentinel, permitindo a análise e correlação em tempo real com outros dados de segurança

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Instruções de Configuração:

Ingerir registos do AWS NetworkFirewall no Microsoft Sentinel

Lista de Recursos Necessários:

• Abrir o fornecedor de identidade Web do ID Connect (OIDC)
• Função IAM
• Registo do Amazon S3
• Amazon SQS
• Configuração de AWSNetworkFirewall
• Siga estas instruções para a configuração do conector de Dados AWS NetworkFirewall

1. Implementação do CloudFormation do AWS Para configurar o acesso no AWS, foram gerados dois modelos para configurar o ambiente do AWS para enviar registos de um registo S3 para a área de trabalho do Log Analytics.

Para cada modelo, crie o Stack no AWS:

1. Aceda a AWS CloudFormation Stacks.
2. Selecione a opção "Especificar modelo" e, em seguida, "Carregar um ficheiro de modelo", clicando em "Escolher ficheiro" e selecionando o ficheiro de modelo CloudFormation adequado indicado abaixo. clique em "Escolher ficheiro" e selecione o modelo transferido.
3. Clique em "Seguinte" e em "Criar pilha".

• Modelo 1: implementação de autenticação do OpenID Connect: <valor variável fornecido no momento da instalação>
• Modelo 2: implementação de recursos AWSNetworkFirewall: <valor variável fornecido no momento da instalação>

2. Ligar novos recoletores Para ativar o AWS S3 para Microsoft Sentinel, clique no botão Adicionar novo recoletor, preencha as informações necessárias no painel de contexto e clique em Ligar.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Microsoft Corporation

Este conector permite-lhe ingerir registos do serviço AWS, recolhidos em registos do AWS S3, para Microsoft Sentinel. Os tipos de dados atualmente suportados são:

• AWS CloudTrail
• Registos do Fluxo de VPC
• AWS GuardDuty
• AWSCloudWatch

Para obter mais informações, veja a documentação do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Ambiente: tem de ter os seguintes recursos do AWS definidos e configurados: S3, Simple Queue Service (SQS), funções E políticas de permissões do IAM e os serviços do AWS cujos registos pretende recolher.

Instruções de Configuração:

1. Configurar o ambiente do AWS

Existem duas opções para configurar o ambiente do AWS para enviar registos de um registo S3 para a área de trabalho do Log Analytics:

Configurar com o script do PowerShell (recomendado)

• Execute o script para configurar o ambiente: <valor variável fornecido no momento da instalação>
• ID externa (ID da Área de Trabalho): <valor variável fornecido no momento da instalação>

Configuração manual

Siga as instruções na seguinte ligação para configurar o ambiente: Ligar o AWS S3 ao Microsoft Sentinel

2. Adicionar ligação

Suportado por:Microsoft Corporation

Este conector permite a ingestão de registos DNS do AWS Route 53 no Microsoft Sentinel para uma maior visibilidade e deteção de ameaças. Suporta registos de consultas DNS Resolver ingeridos diretamente a partir de registos do AWS S3, enquanto os registos de consultas DNS Públicos e os registos de auditoria da Rota 53 podem ser ingeridos com os conectores do AWS CloudWatch e cloudTrail do Microsoft Sentinel. São fornecidas instruções abrangentes para o orientar ao longo da configuração de cada tipo de registo. Tire partido deste conector para monitorizar a atividade DNS, detetar potenciais ameaças e melhorar a sua postura de segurança em ambientes na cloud.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Instruções de Configuração:

AWS Route53

Este conector permite a ingestão de registos DNS do AWS Route 53 no Microsoft Sentinel, proporcionando visibilidade melhorada sobre a atividade DNS e reforçando as capacidades de deteção de ameaças. Suporta a ingestão direta de registos de consultas DNS Resolver a partir de registos do AWS S3, enquanto os registos de consultas DNS Públicos e os registos de auditoria da Rota 53 podem ser ingeridos através dos conectores do AWS CloudWatch e cloudTrail do Microsoft Sentinel. São fornecidas instruções de configuração detalhadas para cada tipo de registo. Utilize este conector para monitorizar o tráfego DNS, identificar potenciais ameaças e melhorar a postura de segurança da cloud.

Pode ingerir o seguinte tipo de registos da Rota 53 do AWS para Microsoft Sentinel:

1. Registos de consultas do Route 53 Resolver
2. Registos de consultas de zonas Alojadas Públicas da Rota 53 (através do conector do CloudWatch Microsoft Sentinel)
3. Route 53 audit logs (via Microsoft Sentinel CloudTrail connector)

Ingerir registos de consultas do Route53 Resolver no Microsoft Sentinel

Lista de Recursos Necessários:

• Abrir o fornecedor de identidade Web do ID Connect (OIDC)
• Função IAM
• Registo do Amazon S3
• Amazon SQS
• Route 53 Resolver query logging configuration (Configuração do registo de consultas de Resolução do Route 53)
• VPC para associar à configuração do registo de consultas resolver route53

1. Implementação do CloudFormation do AWS Para configurar o acesso no AWS, foram gerados dois modelos para configurar o ambiente do AWS para enviar registos de um registo S3 para a área de trabalho do Log Analytics.

Para cada modelo, crie o Stack no AWS:

1. Aceda a AWS CloudFormation Stacks.
2. Selecione a opção "Especificar modelo" e, em seguida, "Carregar um ficheiro de modelo", clicando em "Escolher ficheiro" e selecionando o ficheiro de modelo CloudFormation adequado indicado abaixo. clique em "Escolher ficheiro" e selecione o modelo transferido.
3. Clique em "Seguinte" e em "Criar pilha".

• Modelo 1: implementação de autenticação do OpenID Connect: <valor variável fornecido no momento da instalação>
• Modelo 2: implementação de recursos do AWS Route53: <valor variável fornecido no momento da instalação>

2. Ligar novos recoletores Para ativar o Amazon Web Services S3 DNS Route53 para Microsoft Sentinel, clique no botão Adicionar novo recoletor, preencha as informações necessárias no painel de contexto e clique em Ligar.

• Grelha de Conectores de Dados (configurar no portal)

Ingerir registos de consultas de zonas Alojadas Públicas da Rota 53 (através do conector cloudWatch Microsoft Sentinel)

Os registos de consultas de zona alojada pública são exportados para o serviço CloudWatch no AWS. Podemos utilizar o conector "Amazon Web Services S3" para ingerir registos do CloudWatch do AWS para Microsoft Sentinel.

Passo 1: Configurar o registo para consultas DNS Públicas

1. Inicie sessão na Consola de Gestão do AWS e abra a consola do Route 53 na AWS Route 53.
2. Navegue para a Rota 53 > Zonas alojadas.
3. Selecione a zona alojada pública para a qual pretende configurar o registo de consultas.
4. No painel Detalhes da zona alojada, clique em "Configurar o registo de consultas".
5. Escolha um grupo de registos existente ou crie um novo grupo de registos.
6. Escolha Criar.

Passo 2: Configurar o conector de dados S3 do Amazon Web Services para o AWS CloudWatch

Os registos do AWS CloudWatch podem ser exportados para um registo S3 com a função lambda. Para ingerir consultas DNS públicas de AWS CloudWatch para S3 bucket e, em seguida, para Microsoft Sentinel, siga as instruções fornecidas no conector Amazon Web Services S3.

Ingerir registos de auditoria da Rota 53 (através do conector CloudTrail do Microsoft Sentinel)

Registos de auditoria da Rota 53, ou seja, os registos relacionados com ações realizadas pelo utilizador, função ou serviço AWS na Rota 53 podem ser exportados para um registo S3 através do serviço CloudTrail do AWS. Podemos utilizar o conector "Amazon Web Services S3" para ingerir registos CloudTrail do AWS para Microsoft Sentinel.

Passo 1: Configurar o registo para registos de Auditoria da Rota 53 do AWS

1. Inicie sessão na Consola de Gestão do AWS e abra a consola CloudTrail no AWS CloudTrail
2. Se não tiver um registo existente, clique em "Criar registo"
3. Introduza um nome para o seu registo no campo Nome do registo.
4. Selecione Criar novo registo S3 (também pode optar por utilizar um registo S3 existente).
5. Deixe as outras definições como predefinição e clique em Seguinte.
6. Selecione Tipo de evento, certifique-se de que a opção Eventos de gestão está selecionada.
7. Selecione Atividade da API, "Leitura" e "Escrita"
8. Clique em Avançar.
9. Reveja as definições e clique em "Criar registo".

Passo 2: Configurar o conector de dados S3 do Amazon Web Services para o AWS CloudTrail

Para ingerir registos de auditoria e gestão de AWS CloudTrail para Microsoft Sentinel, siga as instruções fornecidas no conector Amazon Web Services S3

Suportado por:Microsoft Corporation

Este conector permite-lhe ingerir registos WAF do AWS, recolhidos em registos do AWS S3, para Microsoft Sentinel. Os registos waf do AWS são registos detalhados do tráfego que as listas de controlo de acesso Web (ACLs) analisam, que são essenciais para manter a segurança e o desempenho das aplicações Web. Estes registos contêm informações como a hora em que a WAF do AWS recebeu o pedido, as especificidades do pedido e a ação tomada pela regra com que o pedido correspondeu.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Instruções de Configuração:

1. Implementação do CloudFormation do AWS Para configurar o acesso no AWS, foram gerados dois modelos para configurar o ambiente do AWS para enviar registos de um registo S3 para a área de trabalho do Log Analytics.

Para cada modelo, crie o Stack no AWS:

1. Aceda a AWS CloudFormation Stacks.
2. Selecione a opção "Especificar modelo" e, em seguida, "Carregar um ficheiro de modelo", clicando em "Escolher ficheiro" e selecionando o ficheiro de modelo CloudFormation adequado indicado abaixo. clique em "Escolher ficheiro" e selecione o modelo transferido.
3. Clique em "Seguinte" e em "Criar pilha".

• Modelo 1: implementação de autenticação do OpenID Connect: <valor variável fornecido no momento da instalação>
• Modelo 2: implementação de recursos WAF do AWS: <valor variável fornecido no momento da instalação>

2. Ligar novos recoletores Para ativar o AWS S3 para Microsoft Sentinel, clique no botão Adicionar novo recoletor, preencha as informações necessárias no painel de contexto e clique em Ligar.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Anvilogic

O conector de dados do Anvilogic permite-lhe extrair eventos de interesse gerados no cluster do ADX do Anvilogic para o seu Microsoft Sentinel

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• ID de Cliente e Segredo do Cliente do Registo de Aplicações Anvilogic: para aceder ao ADX Do Anvilogic, precisamos do ID do cliente e do segredo do cliente do registo da aplicação Anvilogic

Instruções de Configuração:

Ligue-se à Anvilogic para começar a recolher eventos de interesse em Microsoft Sentinel

Preencha o formulário para ingerir Alertas Anvilogic no seu Microsoft Sentinel

• Ponto Final de Token: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
• Âmbito do ADX Anvilogic: (<avl_adx_uri>/.default)
• URI do Pedido ADX Anvilogic: (<avl_adx_uri>/v2/rest/query)

Suportado pelo:ARGOS Cloud Security

A integração do ARGOS Cloud Security para Microsoft Sentinel permite-lhe ter todos os seus eventos de segurança na cloud importantes num único local. Isto permite-lhe criar facilmente dashboards, alertas e correlacionar eventos em vários sistemas. Globalmente, isto irá melhorar a postura de segurança da sua organização e a resposta a incidentes de segurança.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Instruções de Configuração:

1. Subscrever o ARGOS

Certifique-se de que já possui uma Subscrição ARGOS. Caso contrário, navegue para ARGOS Cloud Security e inscreva-se no ARGOS.

Em alternativa, também pode comprar ARGOS através do Azure Marketplace.

2. Configurar a integração do Sentinel a partir do ARGOS

Configure o ARGOS para reencaminhar quaisquer novas deteções para a área de trabalho Sentinel ao fornecer ARGOS com o ID da Área de Trabalho e a Chave Primária.

Não é necessário implementar nenhuma infraestrutura personalizada.

Introduza as informações na página de configuração do arGOS Sentinel.

As novas deteções serão reencaminhadas automaticamente.

Saiba mais sobre a integração

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Suportado por:Armis Corporation

O conector Atividades de Alertas do Armis dá a capacidade de ingerir Alertas e Atividades do Armis em Microsoft Sentinel através da API REST do Armis. Veja a documentação da API: https://<YourArmisInstance>.armis.com/api/v1/docs para obter mais informações. O conector fornece a capacidade de obter informações de alerta e atividade a partir da plataforma Armis e de identificar e priorizar ameaças no seu ambiente. O Armis utiliza a infraestrutura existente para detetar e identificar dispositivos sem ter de implementar agentes.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• Credenciais/permissões da API REST: a Chave Secreta do Armis é necessária. Veja a documentação para saber mais sobre a API no https://<YourArmisInstance>.armis.com/api/v1/doc

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar à API do Armis para extrair os registos para Microsoft Sentinel. Isto pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Passo Opcional) Armazene de forma segura a área de trabalho e as chaves ou tokens de autorização da API em Azure Key Vault. Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar Azure Key Vault com uma Aplicação de Funções Azure.

NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar conforme esperado, que é implementado como parte da solução. Para ver o código da função no Log Analytics, abra o painel Log Analytics/Microsoft Sentinel Registos, clique em Funções e procure o alias ArmisActivities/ArmisAlerts e carregue o código da função. Normalmente, a função demora entre 10 a 15 minutos a ser ativada após a instalação/atualização da solução.

PASSO 1 – Passos de configuração para a API armis

Siga estas instruções para criar uma chave secreta da API armis.

1. Iniciar sessão na instância do Armis
2. Navegar para Definições -> Gerenciamento de API
3. Se a chave secreta ainda não tiver sido criada, prima o botão Criar para criar a chave secreta
4. Para aceder à tecla secreta, prima o botão Mostrar
5. A chave secreta pode agora ser copiada e utilizada durante a configuração do conector Atividades de Alertas do Armis

PASSO 2 – Passos de Registo de Aplicações para a Aplicação no Microsoft Entra ID

Esta integração requer um Registo de aplicações no portal do Azure. Siga os passos nesta secção para criar uma nova aplicação no Microsoft Entra ID:

1. Entre no portal do Azure.
2. Procure e selecione Microsoft Entra ID.
3. Em Gerir, selecione Registros de aplicativo > Novo registo.
4. Introduza um Nome a apresentar para a sua aplicação.
5. Selecione Registar para concluir o registo inicial da aplicação.
6. Quando o registo terminar, o portal do Azure apresenta o painel Descrição Geral do registo de aplicações. Verá o ID da Aplicação (cliente) e o ID do Inquilino. O ID de cliente e o ID do Inquilino são necessários como parâmetros de configuração para a execução do Conector de Dados de Atividades de Alertas do Armis.

Ligação de referência:/azure/active-directory/develop/quickstart-register-app

PASSO 3 – Adicionar um segredo do cliente para a aplicação no Microsoft Entra ID

Por vezes denominado palavra-passe de aplicação, um segredo do cliente é um valor de cadeia necessário para a execução do Conector de Dados atividades de Alertas do Armis. Siga os passos nesta secção para criar um novo Segredo do Cliente:

1. Na portal do Azure, em Registros de aplicativo, selecione a sua aplicação.
2. Selecione Certificados & segredos > do cliente Segredos > do cliente Novo segredo do cliente.
3. Adicione uma descrição para o segredo do cliente.
4. Selecione uma expiração para o segredo ou especifique uma duração personalizada. O limite é de 24 meses.
5. Selecione Adicionar.
6. Registe o valor do segredo para utilização no código da aplicação cliente. Este valor secreto nunca mais é apresentado depois de sair desta página. O valor do segredo é necessário como parâmetro de configuração para a execução do Conector de Dados atividades do Armis Alerts.

Ligação de referência:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASSO 4 – Atribuir a função de Contribuidor à aplicação no Microsoft Entra ID

Siga os passos nesta secção para atribuir a função:

1. Na portal do Azure, aceda a Grupo de Recursos e selecione o grupo de recursos.
2. Aceda a Controlo de acesso (IAM) a partir do painel esquerdo.
3. Clique em Adicionar e, em seguida, selecione Adicionar atribuição de função.
4. Selecione Contribuidor como função e clique em seguinte.
5. Em Atribuir acesso a, selecione User, group, or service principal.
6. Clique em adicionar membros, escreva o nome da sua aplicação que criou e selecione-o.
7. Agora, clique em Rever + atribuir e, em seguida, clique novamente em Rever + atribuir.

Ligação de referência:/azure/role-based-access-control/role-assignments-portal

PASSO 5 – Criar um Keyvault

Siga estas instruções para criar um novo Keyvault.

1. Na portal do Azure, aceda a Cofres de chaves. Clique em criar.
2. Selecione Subsciption (Subsciption), Resource Group (Grupo de Recursos) e indique o nome exclusivo do keyvault.

NOTA: crie um cofre de chaves separado para cada chave de API numa área de trabalho.

PASSO 6 – Criar Uma Política de Acesso no Keyvault

Siga estas instruções para criar uma política de acesso no Keyvault.

1. Aceda a keyvaults, selecione o cofre de chaves e aceda a Políticas de acesso no painel esquerdo. Clique em criar.
2. Selecione todas as chaves & permissões de segredos. Clique em seguinte.
3. Na secção principal, procure pelo nome da aplicação que foi gerado em PASSO - 2. Clique em seguinte.

NOTA: certifique-se de que o Modelo de permissão na Configuração de Acesso do Key Vault está definido como "Política de acesso ao cofre"

PASSO 7 – Escolha UMA das duas opções de implementação seguintes para implementar o conector e a Função Azure associada

IMPORTANTE: Antes de implementar o conector de dados Atividades de Alertas do Armis, tenha o ID da Área de Trabalho e a Chave Primária da Área de Trabalho (pode ser copiada do seguinte) prontamente disponíveis.., bem como a(s) Chave(s) de Autorização da API armis

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Opção 1 - Modelo de Azure Resource Manager (ARM)

Utilize este método para a implementação automatizada do conector Armis.

1. Clique no botão Implementar para Azure abaixo.

   aka.msaka.ms

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferenciais.

3. Introduza as informações abaixo: Nome da Função ID da Área de Trabalho Da Chave do Armis Secret Key URL do Armis (https://< armis-instance.armis.com/api/v1/>) Nome da Tabela de Alertas do Armis
   Gravidade do Nome da Tabela de Atividade do Armis (Predefinição: Baixa) Nome do KeyVault do Armis Azure ID do Cliente Azure ID do Inquilino do Segredo do Cliente

4. Marque a caixa de verificação etiquetada Concordo com os termos e condições indicados acima.

5. Clique em Comprar para implementar.

Opção 2 – Implementação Manual de Azure Functions

Utilize as seguintes instruções passo a passo para implementar manualmente o conector de dados Atividades de Alertas do Armis com Azure Functions (Implementação através de Visual Studio Code).

1. Implementar uma Aplicação de Funções

NOTA: Terá de preparar o código VS para Azure desenvolvimento de funções.

1. Transfira o ficheiro Azure Function App. Extraia o arquivo para o seu computador de desenvolvimento local.

2. Inicie o VS Code. Selecione Ficheiro no menu principal e selecione Abrir Pasta.

3. Selecione a pasta de nível superior a partir dos ficheiros extraídos.

4. Selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione o botão Implementar na aplicação de funções. Se ainda não tiver sessão iniciada, selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione Iniciar sessão para Azure Se já tiver sessão iniciada, avance para o passo seguinte.

5. Indique as seguintes informações nos pedidos:

   a. Selecionar pasta: Escolha uma pasta a partir da área de trabalho ou navegue para uma que contenha a sua aplicação de funções.

   b. Selecione Subscrição: Escolha a subscrição a utilizar.

   c. Selecione Criar nova Aplicação de Funções no Azure (não escolha a opção Avançadas)

   d. Introduza um nome globalmente exclusivo para a aplicação de funções: Escreva um nome válido num caminho de URL. O nome que escrever é validado para se certificar de que é exclusivo no Azure Functions. (por exemplo, ARMISXXXXX).

   e. Selecione um runtime: Escolha Python 3.11

   f. Selecione uma localização para novos recursos. Para um melhor desempenho e custos mais baixos, escolha a mesma região onde Microsoft Sentinel se encontra.

6. A implementação será iniciada. É apresentada uma notificação após a criação da aplicação de funções e a aplicação do pacote de implementação.

7. Aceda ao Portal Azure para obter a configuração da Aplicação de Funções.

8. Configurar a Aplicação de Funções

9. Na Aplicação de Funções, selecione o Nome da Aplicação de Funções e selecione Configuração.

10. No separador Definições da aplicação, selecione + Nova definição da aplicação.

11. Adicione cada uma das seguintes definições de aplicação individualmente, com os respetivos valores (sensíveis às maiúsculas e minúsculas): Nome da Tabela de Área de Trabalho ID da Área de Trabalho URL do Armis Secret Key Armis (https://< armis-instance.armis.com/api/v1/>) Nome da Tabela de Alertas armis Nome da Tabela de Atividade armis (Predefinição: Baixo) Nome do KeyVault de Agenda do Armis Azure ID do Cliente Azure ID do Inquilino do Segredo do Cliente logAnalyticsUri (opcional)

• Utilize logAnalyticsUri para substituir o ponto final da API de análise de registos para a cloud dedicada. Por exemplo, para a cloud pública, deixe o valor vazio; para Azure ambiente de cloud GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

4. Assim que todas as definições da aplicação tiverem sido introduzidas, clique em Guardar.

Suportado por:Armis Corporation

O conector do Dispositivo Armis dá a capacidade de ingerir Dispositivos Armis em Microsoft Sentinel através da API REST do Armis. Veja a documentação da API: https://<YourArmisInstance>.armis.com/api/v1/docs para obter mais informações. O conector fornece a capacidade de obter informações do dispositivo a partir da plataforma Armis. O Armis utiliza a infraestrutura existente para detetar e identificar dispositivos sem ter de implementar agentes. O Armis também pode integrar-se nas suas ferramentas de gestão de segurança de ti existentes & para identificar e classificar cada dispositivo, gerido ou não gerido no seu ambiente.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• Credenciais/permissões da API REST: a Chave Secreta do Armis é necessária. Veja a documentação para saber mais sobre a API no https://<YourArmisInstance>.armis.com/api/v1/doc

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar à API do Armis para extrair os registos para Microsoft Sentinel. Isto pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Passo Opcional) Armazene de forma segura a área de trabalho e as chaves ou tokens de autorização da API em Azure Key Vault. Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar Azure Key Vault com uma Aplicação de Funções Azure.

NOTA: este conector de dados depende de um analisador baseado numa Função Kusto para funcionar conforme esperado. Siga estes passos para criar o alias das funções kusto, ArmisDevice

PASSO 1 – Passos de configuração para a API armis

Siga estas instruções para criar uma chave secreta da API armis.

1. Iniciar sessão na instância do Armis
2. Navegar para Definições -> Gerenciamento de API
3. Se a chave secreta ainda não tiver sido criada, prima o botão Criar para criar a chave secreta
4. Para aceder à tecla secreta, prima o botão Mostrar
5. A chave secreta pode agora ser copiada e utilizada durante a configuração do conector do Dispositivo Armis

PASSO 2 – Passos de Registo de Aplicações para a Aplicação no Microsoft Entra ID

Esta integração requer um Registo de aplicações no portal do Azure. Siga os passos nesta secção para criar uma nova aplicação no Microsoft Entra ID:

1. Entre no portal do Azure.
2. Procure e selecione Microsoft Entra ID.
3. Em Gerir, selecione Registros de aplicativo > Novo registo.
4. Introduza um Nome a apresentar para a sua aplicação.
5. Selecione Registar para concluir o registo inicial da aplicação.
6. Quando o registo terminar, o portal do Azure apresenta o painel Descrição Geral do registo de aplicações. Verá o ID da Aplicação (cliente) e o ID do Inquilino. O ID de cliente e o ID do Inquilino são necessários como parâmetros de configuração para a execução do Conector de Dados do Dispositivo Armis.

Ligação de referência:/azure/active-directory/develop/quickstart-register-app

PASSO 3 – Adicionar um segredo do cliente para a aplicação no Microsoft Entra ID

Por vezes denominado palavra-passe de aplicação, um segredo do cliente é um valor de cadeia necessário para a execução do Conector de Dados do Dispositivo Armis. Siga os passos nesta secção para criar um novo Segredo do Cliente:

1. Na portal do Azure, em Registros de aplicativo, selecione a sua aplicação.
2. Selecione Certificados & segredos > do cliente Segredos > do cliente Novo segredo do cliente.
3. Adicione uma descrição para o segredo do cliente.
4. Selecione uma expiração para o segredo ou especifique uma duração personalizada. O limite é de 24 meses.
5. Selecione Adicionar.
6. Registe o valor do segredo para utilização no código da aplicação cliente. Este valor secreto nunca mais é apresentado depois de sair desta página. O valor secreto é necessário como parâmetro de configuração para a execução do Conector de Dados do Dispositivo Armis.

Ligação de referência:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASSO 4 – Atribuir a função de Contribuidor à aplicação no Microsoft Entra ID

Siga os passos nesta secção para atribuir a função:

1. Na portal do Azure, aceda a Grupo de Recursos e selecione o grupo de recursos.
2. Aceda a Controlo de acesso (IAM) a partir do painel esquerdo.
3. Clique em Adicionar e, em seguida, selecione Adicionar atribuição de função.
4. Selecione Contribuidor como função e clique em seguinte.
5. Em Atribuir acesso a, selecione User, group, or service principal.
6. Clique em adicionar membros, escreva o nome da sua aplicação que criou e selecione-o.
7. Agora, clique em Rever + atribuir e, em seguida, clique novamente em Rever + atribuir.

Ligação de referência:/azure/role-based-access-control/role-assignments-portal

PASSO 5 – Criar um Keyvault

Siga estas instruções para criar um novo Keyvault.

1. Na portal do Azure, aceda a Cofres de chaves. Clique em criar.
2. Selecione Subsciption (Subsciption), Resource Group (Grupo de Recursos) e indique o nome exclusivo do keyvault.

NOTA: crie um cofre de chaves separado para cada chave de API numa área de trabalho.

PASSO 6 – Criar Uma Política de Acesso no Keyvault

Siga estas instruções para criar uma política de acesso no Keyvault.

1. Aceda a keyvaults, selecione o cofre de chaves e aceda a Políticas de acesso no painel esquerdo. Clique em criar.
2. Selecione todas as chaves & permissões de segredos. Clique em seguinte.
3. Na secção principal, procure pelo nome da aplicação que foi gerado em PASSO - 2. Clique em seguinte.

NOTA: certifique-se de que o Modelo de permissão na Configuração de Acesso do Key Vault está definido como "Política de acesso ao cofre"

PASSO 7 – Escolha UMA das duas opções de implementação seguintes para implementar o conector e a Função Azure associada

IMPORTANTE: Antes de implementar o conector de dados do Dispositivo Armis, tenha o ID da Área de Trabalho e a Chave Primária da Área de Trabalho (pode ser copiada do seguinte) prontamente disponíveis.., bem como a(s) Chave(s) de Autorização da API armis

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Opção 1 - Modelo de Azure Resource Manager (ARM)

Utilize este método para a implementação automatizada do conector Armis.

1. Clique no botão Implementar para Azure abaixo.

   aka.msaka.ms

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferenciais.

3. Introduza as informações abaixo: Nome da Área de Trabalho nome da função ID da Área de Trabalho Key Armis Secret Key URL do Armis (https://< armis-instance.armis.com/api/v1/>) Nome da Tabela do Dispositivo Armis Nome do Armis Agendar Nome do KeyVault Azure ID do Cliente Azure ID do Inquilino do Segredo do Cliente

4. Marque a caixa de verificação etiquetada Concordo com os termos e condições indicados acima.

5. Clique em Comprar para implementar.

Opção 2 – Implementação Manual de Azure Functions

Utilize as seguintes instruções passo a passo para implementar manualmente o conector de dados do Dispositivo Armis com Azure Functions (Implementação através de Visual Studio Code).

1. Implementar uma Aplicação de Funções

NOTA: Terá de preparar o código VS para Azure desenvolvimento de funções.

1. Transfira o ficheiro Azure Function App. Extraia o arquivo para o seu computador de desenvolvimento local.

2. Inicie o VS Code. Selecione Ficheiro no menu principal e selecione Abrir Pasta.

3. Selecione a pasta de nível superior a partir dos ficheiros extraídos.

4. Selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione o botão Implementar na aplicação de funções. Se ainda não tiver sessão iniciada, selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione Iniciar sessão para Azure Se já tiver sessão iniciada, avance para o passo seguinte.

5. Indique as seguintes informações nos pedidos:

   a. Selecionar pasta: Escolha uma pasta a partir da área de trabalho ou navegue para uma que contenha a sua aplicação de funções.

   b. Selecione Subscrição: Escolha a subscrição a utilizar.

   c. Selecione Criar nova Aplicação de Funções no Azure (não escolha a opção Avançadas)

   d. Introduza um nome globalmente exclusivo para a aplicação de funções: Escreva um nome válido num caminho de URL. O nome que escrever é validado para se certificar de que é exclusivo no Azure Functions. (por exemplo, ARMISXXXXX).

   e. Selecione um runtime: Escolha Python 3.11

   f. Selecione uma localização para novos recursos. Para um melhor desempenho e custos mais baixos, escolha a mesma região onde Microsoft Sentinel se encontra.

6. A implementação será iniciada. É apresentada uma notificação após a criação da aplicação de funções e a aplicação do pacote de implementação.

7. Aceda ao Portal Azure para obter a configuração da Aplicação de Funções.

8. Configurar a Aplicação de Funções

9. Na Aplicação de Funções, selecione o Nome da Aplicação de Funções e selecione Configuração.

10. No separador Definições da aplicação, selecione + Nova definição da aplicação.

11. Adicione cada uma das seguintes definições de aplicação individualmente, com os respetivos valores (sensíveis às maiúsculas e minúsculas): Nome da Chave de Trabalho do ID da Área de Trabalho Armis UrL do Armis Secret Key Armis (https://< armis-instance.armis.com/api/v1/>) Nome da Tabela do Dispositivo Armis Nome do KeyVault Agendar KeyVault Azure ID de Cliente Azure ID do Inquilino do Segredo do Cliente LogAnalyticsUri (opcional)

• Utilize logAnalyticsUri para substituir o ponto final da API de análise de registos para a cloud dedicada. Por exemplo, para a cloud pública, deixe o valor vazio; para Azure ambiente de cloud GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

4. Assim que todas as definições da aplicação tiverem sido introduzidas, clique em Guardar.

Suportado pela:DEFEND Ltd.

O Atlassian Beacon é um produto da cloud criado para deteção inteligente de ameaças nas plataformas Atlassian (Jira, Confluence e Atlassian Administração). Isto pode ajudar os utilizadores a detetar, investigar e responder a atividades de utilizadores de risco para o conjunto de produtos Atlassian. A solução é um conector de dados personalizado da DEFEND Ltd. que é utilizado para visualizar os alertas ingeridos do Atlassian Beacon para Microsoft Sentinel através de uma Aplicação Lógica.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Instruções de Configuração:

1. Microsoft Sentinel

1. Navegue para a aplicação lógica "Atlassian Beacon Integration" recentemente instalada

2. Navegue para "Estruturador de aplicações lógicas"

3. Expanda "Quando um pedido HTTP é recebido"

4. Copiar o "URL HTTP POST"

2. Atlassian Beacon

1. Iniciar sessão no Atlassian Beacon com uma conta de administrador

2. Navegue para "Reencaminhamento SIEM" em DEFINIÇÕES

3. Colar o URL copiado da Aplicação Lógica na caixa de texto

4. Clique no botão "Guardar"

3. Teste e Validação

1. Iniciar sessão no Atlassian Beacon com uma conta de administrador

2. Navegue para "Reencaminhamento SIEM" em DEFINIÇÕES

3. Clique no botão "Testar" mesmo ao lado do webhook recentemente configurado

4. Navegue para Microsoft Sentinel

5. Navegue para a Aplicação Lógica recentemente instalada

6. Verificar a Execução da Aplicação Lógica em "Histórico de execuções"

7. Procurar registos sob o nome da tabela "atlassian_beacon_alerts_CL" em "Registos"

8. Se a regra analítica tiver sido ativada, o alerta de Teste acima deverá ter criado um incidente no Microsoft Sentinel

Suportado por:Microsoft Corporation

O conector de dados da Auditoria de Confluência Atlassian fornece a capacidade de ingerir eventos de Registos de Auditoria de Confluência em Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Acesso à API atlassian Confluence: é necessária a permissão de Administrar Confluence para obter acesso à API de registos de Auditoria de Confluência. Veja a documentação da API confluence para saber mais sobre a API de auditoria.

Instruções de Configuração:

Ligar à API atlassian Confluence para começar a recolher registos de auditoria no Microsoft Sentinel

Para ativar o conector da Confluência Atlassian para Microsoft Sentinel, clique para adicionar uma organização, preencha o formulário com as credenciais de ambiente Confluence e clique em Ligar. Siga estes passos para criar um token de API.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Microsoft Corporation

O conector de dados auditoria atlassian Jira fornece a capacidade de ingerir eventos de Registos de Auditoria Jira em Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• Credenciais/permissões da API REST: JiraAccessToken, JiraUsername é necessário para a API REST. Para obter mais informações, veja API. Verifique todos os requisitos e siga as instruções para obter credenciais.

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar à API REST Jira para solicitar os registos para Microsoft Sentinel. Isto pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Passo Opcional) Armazene de forma segura a área de trabalho e as chaves ou tokens de autorização da API em Azure Key Vault. Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar Azure Key Vault com uma Aplicação de Funções Azure.

NOTA: este conector de dados depende de um analisador baseado numa Função Kusto para funcionar conforme esperado. Siga estes passos para criar o alias das funções kusto, JiraAudit

PASSO 1 – Passos de configuração para a API Jira

Siga as instruções para obter as credenciais.

PASSO 2 – escolha UMA das duas opções de implementação seguintes para implementar o conector e a Função Azure associada

IMPORTANTE: Antes de implementar o conector de dados da Área de Trabalho, tenha o ID da Área de Trabalho e a Chave Primária da Área de Trabalho (pode ser copiado do seguinte).

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Opção 1 - Modelo de Azure Resource Manager (ARM)

Utilize este método para a implementação automatizada do conector de dados de Auditoria Jira com um Arm Tempate.

1. Clique no botão Implementar para Azure abaixo.

   aka.msaka.ms

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferenciais.

NOTA: No mesmo grupo de recursos, não pode misturar o Windows e Linux aplicações na mesma região. Selecione o grupo de recursos existente sem aplicações do Windows ou crie um novo grupo de recursos. 3. Introduza jiraAccessToken, JiraUsername, JiraHomeSiteName (parte do nome do site abreviado, como exemplo HOMESITENAME de https://community.atlassian.com) e implemente. 4. Marque a caixa de verificação identificada como Concordo com os termos e condições acima indicados. 5. Clique em Comprar para implementar.

Opção 2 – Implementação Manual de Azure Functions

Utilize as seguintes instruções passo a passo para implementar manualmente o conector de dados de Auditoria Jira com Azure Functions (Implementação através de Visual Studio Code).

1. Implementar uma Aplicação de Funções

NOTA: Terá de preparar o código VS para Azure desenvolvimento de funções.

1. Transfira o ficheiro Azure Function App. Extraia o arquivo para o seu computador de desenvolvimento local.

2. Inicie o VS Code. Selecione Ficheiro no menu principal e selecione Abrir Pasta.

3. Selecione a pasta de nível superior a partir dos ficheiros extraídos.

4. Selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione o botão Implementar na aplicação de funções. Se ainda não tiver sessão iniciada, selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione Iniciar sessão para Azure Se já tiver sessão iniciada, avance para o passo seguinte.

5. Indique as seguintes informações nos pedidos:

   a. Selecionar pasta: Escolha uma pasta a partir da área de trabalho ou navegue para uma que contenha a sua aplicação de funções.

   b. Selecione Subscrição: Escolha a subscrição a utilizar.

   c. Selecione Criar nova Aplicação de Funções no Azure (não escolha a opção Avançadas)

   d. Introduza um nome globalmente exclusivo para a aplicação de funções: Escreva um nome válido num caminho de URL. O nome que escrever é validado para se certificar de que é exclusivo no Azure Functions. (por exemplo, JiraAuditXXXXX).

   e. Selecione um runtime: Selecione Python 3.11.

   f. Selecione uma localização para novos recursos. Para um melhor desempenho e custos mais baixos, escolha a mesma região onde Microsoft Sentinel se encontra.

6. A implementação será iniciada. É apresentada uma notificação após a criação da aplicação de funções e a aplicação do pacote de implementação.

7. Aceda ao Portal Azure para obter a configuração da Aplicação de Funções.

8. Configurar a Aplicação de Funções

9. Na Aplicação de Funções, selecione o Nome da Aplicação de Funções e selecione Configuração.

10. No separador Definições da aplicação, selecione Nova definição da aplicação.

11. Adicione cada uma das seguintes definições de aplicação individualmente, com os respetivos valores de cadeia (sensíveis às maiúsculas e minúsculas): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Utilize logAnalyticsUri para substituir o ponto final da API de análise de registos para a cloud dedicada. Por exemplo, para a cloud pública, deixe o valor vazio; para Azure ambiente de cloud GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

3. Assim que todas as definições da aplicação tiverem sido introduzidas, clique em Guardar.

Suportado por:Microsoft Corporation

O conector de dados auditoria atlassian Jira fornece a capacidade de ingerir eventos de Registos de Auditoria Jira em Microsoft Sentinel através da API REST. Veja a documentação da API para obter mais informações. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Acesso à API Atlassian Jira: é necessária permissão para Administrar Jira para obter acesso à API de registos de Auditoria da Jira. Veja a documentação da API Jira para saber mais sobre a API de auditoria.

Instruções de Configuração:

Para ativar o conector Atlassian Jira para Microsoft Sentinel, clique para adicionar uma organização, preencha o formulário com as credenciais de ambiente Jira e clique em Ligar. Siga estes passos para criar um token de API.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Microsoft Corporation

O conector de dados Auth0 permite ingerir registos da API Auth0 para Microsoft Sentinel. O conector de dados baseia-se no Microsoft Sentinel Codeless Connector Framework. Utiliza a API Auth0 para obter registos e suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de segurança recebidos numa tabela personalizada para que as consultas não precisem de analisá-la novamente, o que resulta num melhor desempenho.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Instruções de Configuração:

PASSO 1 – Passos de configuração para a API de Gestão de Autenticação

Siga as instruções para obter as credenciais.

1. No Dashboard Auth0, aceda a [Aplicações Aplicações>]
2. Selecione a sua Aplicação. Esta deve ser uma Aplicação [Máquina a Computador] configurada com, pelo menos, as permissões [read:logs] e [read:logs_users].
3. Copiar [Domínio, ClientID, Segredo do Cliente]

• URL da API Base: (https://example.auth0.com)
• ID de Cliente: (ID de Cliente)
• Segredo do Cliente: (Token de API)
• Ativar/Desativar Ligação

Suportado por:Microsoft Corporation

Pode transmitir em fluxo os registos de auditoria a partir do servidor SQL WebCTRL alojado em computadores Windows ligados à sua Microsoft Sentinel. Esta ligação permite-lhe ver dashboards, criar alertas personalizados e melhorar a investigação. Isto fornece informações sobre os seus Sistemas de Controlo Industrial que são monitorizados ou controlados pela aplicação WebCTRL BAS.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Instruções de Configuração:

1. Instale e integre o agente da Microsoft para Windows.

Saiba mais sobre a configuração do agente e a integração de eventos do Windows.

Pode ignorar este passo se já tiver instalado o agente da Microsoft para Windows

2. Configurar a tarefa do Windows para ler os dados de auditoria e escrevê-la em eventos do Windows

Instale e configure a Tarefa Agendada do Windows para ler os registos de auditoria no SQL e escrevê-los como Eventos do Windows. Estes Eventos do Windows serão recolhidos pelo agente e reencaminhados para Microsoft Sentinel.

Repare que os dados de todos os computadores serão armazenados na área de trabalho selecionada

2.1 Copie os ficheiros de configuração para uma localização no servidor.

2.2 Atualize os parâmetros do script ALC-WebCTRL-AuditPull.ps1 (copiados no passo acima), como o nome da base de dados de destino e os IDs do evento do Windows. Veja os comentários no script para obter mais detalhes.

2.3 Atualize as definições de tarefa do Windows no ficheiro ALC-WebCTRL-AuditPullTaskConfig.xml que foi copiado no passo acima de acordo com o requisito. Veja os comentários no ficheiro para obter mais detalhes.

2.4 Instalar tarefas do Windows com as configurações atualizadas copiadas nos passos acima

• Execute o seguinte comando no Powershell a partir do diretório onde os ficheiros de configuração são copiados no passo 2.1: <valor variável fornecido no momento da instalação>

3. Validar ligação

Siga as instruções para validar a conectividade:

Abra o Log Analytics para marcar se os registos forem recebidos com o esquema evento.

Pode demorar cerca de 20 minutos até que a ligação transmita os dados para a área de trabalho.

Se os registos não forem recebidos, valide os passos abaixo para quaisquer problemas de tempo de execução:

1. Certifique-se de que a tarefa agendada é criada e está no estado de execução no Programador de Tarefas do Windows.

2. Verifique se existem erros de execução de tarefas no separador histórico no Programador de Tarefas do Windows para a tarefa recentemente criada no passo 2.4

3. Confirme que a tabela Auditoria do SQL consiste em novos registos enquanto a tarefa agendada do Windows é executada.

Suportado por:Microsoft Corporation

O conector de dados do AWS EKS fornece a capacidade de ingerir registos de auditoria do Amazon Elastic Kubernetes Service para Microsoft Sentinel. Este conector centra-se nos registos de auditoria do EKS (formato JSON) que contêm informações detalhadas sobre pedidos do servidor de API, decisões de autenticação e atividades de cluster. O conector utiliza o SQS do AWS para receber notificações quando novos ficheiros de registo de auditoria são exportados para S3, garantindo monitorização de segurança em tempo real e controlo de conformidade para os clusters do Kubernetes.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Instruções de Configuração:

1. Implementação do CloudFormation do AWS

Utilize os modelos cloudFormation fornecidos para configurar o ambiente do AWS para enviar registos do EKS do AWS para a área de trabalho do Log Analytics.

Implementar Modelos de CloudFormation no AWS:

1. Navegue para a CloudFormation Stacks do AWS.
2. Clique em Criar pilha e selecione Com novos recursos.
3. Selecione Carregar um ficheiro de modelo e, em seguida, clique em Escolher ficheiro para carregar o modelo CloudFormation adequado (Modelo 1 e 2 abaixo) fornecido.
4. Siga as instruções e clique em Seguinte para concluir a criação da pilha.
5. Após a criação das pilhas, navegue para a secção Saídas . Execute os scripts nos passos 1 e 2 a partir da secção de saída. Transmite o registo de eks para sqs.
6. Na mesma secção de saídas, anote o ARN da Função e o URL da Fila sqS que vão ser utilizados no conector de ligação.

• Modelo 1: implementação do fornecedor de autenticação openID Connect: <valor variável fornecido no momento da instalação>
• Modelo 2: Implementação de Recursos do EKS do AWS: <valor variável fornecido no momento da instalação>

2. Ligar novos recoletores

Para ativar o Conector do Hub de Segurança do AWS para Microsoft Sentinel, clique no botão Adicionar novo recoletor, preencha as informações necessárias no painel de contexto e clique em Ligar.

• SentinelRoleArn: (ARN da Função IAM do AWS para acesso entre contas (por exemplo, arn:aws:iam::123456789012:role/SentinelRole))
• SentinelSQSQueueURL: (O URL completo da fila EKS do AWS (por exemplo, https://sqs.region.amazonaws.com/account-id/queue-name))

3. Ligar

Ative o conector EKS do AWS.

• Ativar/Desativar Ligação

Suportado por:Microsoft Corporation

Este conector permite-lhe ingerir Registos de Acesso do Servidor AWS S3 no Microsoft Sentinel. Estes registos contêm registos detalhados para pedidos feitos a registos S3, incluindo o tipo de pedido, acesso a recursos, informações do requerente e detalhes de resposta. Estes registos são úteis para analisar padrões de acesso, depurar problemas e garantir a conformidade de segurança.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Ambiente: tem de ter os seguintes recursos do AWS definidos e configurados: Registo S3, Serviço de Fila Simples (SQS), funções de IAM e políticas de permissões.

Instruções de Configuração:

1. Implementação do CloudFormation do AWS Para configurar o acesso no AWS, foram gerados dois modelos para configurar o ambiente do AWS para enviar registos a partir de registos de Acesso do Servidor AWS S3 para a área de trabalho do Log Analytics.

Implementar Modelos de CloudFormation no AWS:

1. Navegue para a CloudFormation Stacks do AWS.
2. Clique em Criar pilha e selecione Com novos recursos.
3. Selecione Carregar um ficheiro de modelo e, em seguida, clique em Escolher ficheiro para carregar o modelo CloudFormation adequado fornecido.
4. Siga as instruções e clique em Seguinte para concluir a criação da pilha.
5. Após a criação das pilhas, anote o ARN da Função e o URL da Fila SQS.

• Modelo 1: implementação do fornecedor de autenticação openID Connect: <valor variável fornecido no momento da instalação>
• Modelo 2: implementação de recursos do AWS Server Access: <valor variável fornecido no momento da instalação>

2. Ligar novos recoletores Para ativar o Conector de Registos de Acesso do Servidor AWS S3 para Microsoft Sentinel, clique no botão Adicionar novo recoletor, preencha as informações necessárias no painel de contexto e clique em Ligar.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Microsoft Corporation

Este conector permite a ingestão de Resultados do Hub de Segurança do AWS, que são recolhidos em registos do AWS S3, em Microsoft Sentinel. Ajuda a simplificar o processo de monitorização e gestão de alertas de segurança ao integrar os Resultados do Hub de Segurança do AWS com as capacidades avançadas de deteção e resposta de ameaças do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Ambiente: tem de ter os seguintes recursos do AWS definidos e configurados: Hub de Segurança do AWS, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), funções E políticas de permissões de IAM.

Instruções de Configuração:

1. Implementação do CloudFormation do AWS Utilize os modelos cloudFormation fornecidos para configurar o ambiente do AWS para enviar registos do Hub de Segurança do AWS para a área de trabalho do Log Analytics.

Implementar Modelos de CloudFormation no AWS:

1. Navegue para a CloudFormation Stacks do AWS.
2. Clique em Criar pilha e selecione Com novos recursos.
3. Selecione Carregar um ficheiro de modelo e, em seguida, clique em Escolher ficheiro para carregar o modelo CloudFormation adequado fornecido.
4. Siga as instruções e clique em Seguinte para concluir a criação da pilha.
5. Após a criação das pilhas, anote o ARN da Função e o URL da Fila SQS.

• Modelo 1: implementação do fornecedor de autenticação openID Connect: <valor variável fornecido no momento da instalação>
• Modelo 2: Implementação de recursos do Hub de Segurança do AWS: <valor variável fornecido no momento da instalação>

2. Ligar novos recoletores Para ativar o Conector do Hub de Segurança do AWS para Microsoft Sentinel, clique no botão Adicionar novo recoletor, preencha as informações necessárias no painel de contexto e clique em Ligar.

• Grelha de Conectores de Dados (configurar no portal)

Suportado por:Microsoft Corporation

Azure Registo de Atividades é um registo de subscrição que fornece informações sobre eventos ao nível da subscrição que ocorrem no Azure, incluindo eventos de Azure Resource Manager dados operacionais, eventos de estado de funcionamento do serviço, operações de escrita realizadas nos recursos na sua subscrição e a status de atividades realizadas no Azure. Para obter mais informações, veja a documentação do Microsoft Sentinel .

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Suportado por:Microsoft Corporation

Lote do Azure Conta é uma entidade identificada exclusivamente no serviço Batch. A maioria das soluções do Batch utiliza o Armazenamento Azure para armazenar ficheiros de recursos e ficheiros de saída, pelo que cada conta do Batch está normalmente associada a uma conta de armazenamento correspondente. Este conector permite-lhe transmitir em fluxo a sua conta Lote do Azure diagnóstico inicia sessão no Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade. Para obter mais informações, veja a documentação do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Política: Função de proprietário atribuída para cada âmbito de atribuição de política

Instruções de Configuração:

Ligue o diagnóstico da Conta do Lote do Azure ao Sentinel.

Este conector utiliza Azure Policy para aplicar uma única configuração de transmissão em fluxo de registos Lote do Azure Conta a uma coleção de instâncias, definida como um âmbito. Siga as instruções abaixo para criar e aplicar uma política a todas as instâncias atuais e futuras. Tenha em atenção que pode já ter uma política ativa para este tipo de recurso.

Stream diagnóstico registos da Sua Conta de Lote do Azure em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Suportado por:Palo Alto Networks

A Firewall de Próxima Geração da Cloud da Palo Alto Networks - um serviço ISV nativo Azure - é a Firewall de Próxima Geração (NGFW) da Palo Alto Networks fornecida como um serviço nativo da cloud no Azure. Pode detetar o Cloud NGFW no Azure Marketplace e consumê-lo nas Redes Virtuais (VNet) Azure. Com a NGFW da Cloud, pode aceder às principais capacidades da NGFW, tais como O ID da Aplicação, tecnologias baseadas na filtragem de URL. Fornece prevenção e deteção de ameaças através de serviços de segurança fornecidos na cloud e assinaturas de prevenção de ameaças. O conector permite-lhe ligar facilmente os registos da NGFW da Cloud com Microsoft Sentinel, ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança. Para obter mais informações, veja a documentação do Cloud NGFW para Azure.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Instruções de Configuração:

Connect Cloud NGFW by Palo Alto Networks to Microsoft Sentinel

Ative as Definições de Registo em Todas as NGFWs da Cloud pela Palo Alto Networks.

Dentro do recurso NGFW da Cloud:

1. Navegue para as Definições de Registo a partir da home page.
2. Certifique-se de que a caixa de verificação Ativar Definições de Registo está selecionada.
3. No menu pendente Definições de Registo , selecione a Área de Trabalho do Log Analytics pretendida.
4. Confirme as suas seleções e configurações.
5. Clique em Guardar para aplicar as definições.

Suportado por:Microsoft Corporation

Azure Cognitive Search é um serviço de pesquisa na cloud que fornece aos programadores infraestruturas, APIs e ferramentas para criar uma experiência de pesquisa avançada em conteúdos privados e heterogéneos em aplicações Web, móveis e empresariais. Este conector permite-lhe transmitir em fluxo os registos do Azure Cognitive Search diagnóstico para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Política: Função de proprietário atribuída para cada âmbito de atribuição de política

Instruções de Configuração:

Ligue os registos do Azure Cognitive Search diagnóstico ao Sentinel.

Este conector utiliza Azure Policy para aplicar uma única Azure Cognitive Search configuração de transmissão em fluxo de registos a uma coleção de instâncias, definida como um âmbito. Siga as instruções abaixo para criar e aplicar uma política a todas as instâncias atuais e futuras. Tenha em atenção que pode já ter uma política ativa para este tipo de recurso.

Stream diagnóstico registos do seu Azure Cognitive Search em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Suportado por:Microsoft Corporation

Ligue-se aos registos do Standard DDoS Protection Azure através dos Registos de Diagnóstico de Endereços IP Públicos. Além da proteção de DDoS principal na plataforma, o Azure DDoS Protection Standard fornece capacidades avançadas de mitigação de DDoS contra ataques de rede. É automaticamente otimizado para proteger os seus recursos Azure específicos. A proteção é simples de ativar durante a criação de novas redes virtuais. Também pode ser feito após a criação e não requer alterações de aplicação ou de recursos. Para obter mais informações, veja a documentação do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Suportado por:Microsoft Corporation

O conector de dados dos Registos de Auditoria do Azure DevOps permite-lhe ingerir eventos de auditoria do Azure DevOps para Microsoft Sentinel. Este conector de dados é criado com o Microsoft Sentinel Codeless Connector Framework, garantindo uma integração totalmente integrada. Tira partido da API de Registos de Auditoria do Azure DevOps para obter eventos de auditoria detalhados e suporta transformações de tempo de ingestão baseadas em DCR. Estas transformações permitem analisar os dados de auditoria recebidos numa tabela personalizada durante a ingestão, melhorando o desempenho das consultas ao eliminar a necessidade de análise adicional. Ao utilizar este conector, pode obter visibilidade melhorada para o seu ambiente Azure DevOps e simplificar as operações de segurança.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Azure Pré-requisito do DevOps: certifique-se do seguinte:
  1. Registe uma Aplicação Entra no Centro de Microsoft Entra Administração em Registos de Aplicações.
  2. Em "Permissões de API" - adicione Permissões a "Azure DevOps - vso.auditlog".
  3. Em "Certificados & segredos" - gere "Segredo do cliente".
  4. Em "Autenticação" - adicione o URI de Redirecionamento encontrado abaixo no campo correspondente.
  5. Nas definições do Azure DevOps , ative o registo de auditoria e defina Ver registo de auditoria para o utilizador. Azure Auditoria de DevOps.
  6. Certifique-se de que o utilizador atribuído para ligar o conector de dados tem a permissão Ver registos de auditoria explicitamente definida como Permitir em todos os momentos. Esta permissão é essencial para a ingestão de registos com êxito. Se a permissão for revogada ou não for concedida, a ingestão de dados falhará ou será interrompida.

Instruções de Configuração:

**Ligue-se ao Azure DevOps para começar a recolher registos de Auditoria no Microsoft Sentinel. **

1. Introduza a Aplicação que registou.
2. Na secção "Descrição geral", copie o ID da Aplicação (cliente).
3. Selecione o botão "Pontos finais" e copie o valor "OAuth 2.0 authorization endpoint (v2)" e o valor "OAuth 2.0 token endpoint (v2)".
4. Na secção "Certificados & segredos", copie o "valor segredo do cliente" e armazene-o de forma segura.
5. Forneça as informações necessárias abaixo e clique em "Ligar".

• Ponto Final de Token: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
• Ponto Final de Autorização: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
• Ponto Final da API: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)

Suportado por:Microsoft Corporation

Hubs de Eventos do Azure é uma plataforma de transmissão em fluxo de macrodados e um serviço de ingestão de eventos. Pode receber e processar milhões de eventos por segundo. Este conector permite-lhe transmitir em fluxo os Azure Hub de Eventos diagnóstico inicia sessão no Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Política: Função de proprietário atribuída para cada âmbito de atribuição de política

Instruções de Configuração:

Ligue os diagnóstico do Hub de Eventos do Azure ao Sentinel.

Este conector utiliza Azure Policy para aplicar um único Azure configuração de transmissão em fluxo de registos do Hub de Eventos a uma coleção de instâncias, definida como um âmbito. Siga as instruções abaixo para criar e aplicar uma política a todas as instâncias atuais e futuras. Tenha em atenção que pode já ter uma política ativa para este tipo de recurso.

Stream diagnóstico registos do Hub de Eventos do Azure em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Suportado por:Microsoft Corporation

Ligue-se ao Firewall do Azure. Firewall do Azure é um serviço de segurança de rede gerido e baseado na cloud que protege os seus recursos de Azure Rede Virtual. É uma firewall totalmente com monitorização de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. Para obter mais informações, veja a documentação do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Suportado por:Microsoft Corporation

Azure Key Vault é um serviço cloud para armazenar e aceder a segredos de forma segura. Um segredo é tudo aquilo a que pretende controlar rigorosamente o acesso, como chaves de API, palavras-passe, certificados ou chaves criptográficas. Este conector permite-lhe transmitir em fluxo os Azure Key Vault diagnóstico inicia sessão no Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade em todas as suas instâncias. Para obter mais informações, veja a documentação do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Suportado por:Microsoft Corporation

Serviço de Kubernetes do Azure (AKS) é um serviço de orquestração de contentores de código aberto e totalmente gerido que lhe permite implementar, dimensionar e gerir contentores do Docker e aplicações baseadas em contentores num ambiente de cluster. Este conector permite-lhe transmitir em fluxo o seu Serviço de Kubernetes do Azure (AKS) diagnóstico inicia sessão no Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade em todas as suas instâncias. Para obter mais informações, veja a documentação do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Suportado por:Microsoft Corporation

Aplicativos Lógicos do Azure é uma plataforma baseada na cloud para criar e executar fluxos de trabalho automatizados que integram as suas aplicações, dados, serviços e sistemas. Este conector permite-lhe transmitir em fluxo o seu Aplicativos Lógicos do Azure diagnóstico inicia sessão no Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Política: Função de proprietário atribuída para cada âmbito de atribuição de política

Instruções de Configuração:

Ligue o diagnóstico do Logic Apps ao Sentinel.

Este conector utiliza Azure Policy para aplicar uma única configuração de transmissão em fluxo de registos do Aplicativos Lógicos do Azure a uma coleção de instâncias, definida como um âmbito. Siga as instruções abaixo para criar e aplicar uma política a todas as instâncias atuais e futuras. Tenha em atenção que pode já ter uma política ativa para este tipo de recurso.

Stream diagnóstico registos do Aplicativos Lógicos do Azure em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Suportado por:Microsoft Corporation

Azure Resource Graph conector fornece informações mais detalhadas sobre Azure eventos ao complementar detalhes sobre Azure subscrições e recursos Azure.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Política: permissão de função de proprietário em subscrições Azure

Instruções de Configuração:

Ligar Azure Resource Graph ao Microsoft Sentinel

Suportado por:Microsoft Corporation

Barramento de Serviço do Azure é um mediador de mensagens empresariais totalmente gerido com filas de mensagens e tópicos de publicação-subscrição (num espaço de nomes). Este conector permite-lhe transmitir em fluxo os registos do Barramento de Serviço do Azure diagnóstico para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Política: Função de proprietário atribuída para cada âmbito de atribuição de política

Instruções de Configuração:

Ligue os registos do Barramento de Serviço do Azure diagnóstico ao Sentinel.

Este conector utiliza Azure Policy para aplicar uma única configuração de transmissão em fluxo de registos Barramento de Serviço do Azure a uma coleção de instâncias, definida como um âmbito. Siga as instruções abaixo para criar e aplicar uma política a todas as instâncias atuais e futuras. Tenha em atenção que pode já ter uma política ativa para este tipo de recurso.

Stream diagnóstico registos do seu Barramento de Serviço do Azure em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Suportado por:Microsoft Corporation

SQL do Azure é um motor de base de dados PaaS (Plataforma como Serviço) totalmente gerido que processa a maioria das funções de gestão de bases de dados, como atualização, aplicação de patches, cópias de segurança e monitorização, sem necessidade de envolvimento do utilizador. Este conector permite-lhe transmitir em fluxo os registos de diagnóstico e auditoria das bases de dados SQL do Azure para Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade em todas as suas instâncias.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Suportado por:Microsoft Corporation

Azure Conta de armazenamento é uma solução na cloud para cenários de armazenamento de dados modernos. Contém todos os objetos de dados: blobs, ficheiros, filas, tabelas e discos. Este conector permite-lhe transmitir em fluxo Azure contas de Armazenamento diagnóstico inicia sessão na área de trabalho do Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade em todas as suas instâncias e detetar atividades maliciosas na sua organização. Para obter mais informações, veja a documentação do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Política: Função de proprietário atribuída para cada âmbito de atribuição de política

Instruções de Configuração:

Ligue o diagnóstico da Conta de Armazenamento do Azure ao Sentinel.

Este conector utiliza um conjunto de Políticas de Azure para aplicar uma configuração de transmissão em fluxo de registos a uma coleção de instâncias, definida como um âmbito. Siga as instruções abaixo para criar e aplicar políticas a todas as instâncias atuais e futuras. Para tirar o máximo partido do registo de Diagnóstico da Conta de Armazenamento a partir da Conta de Armazenamento do Azure, recomendamos que ative o Registo de diagnósticos de todos os serviços na Conta de Armazenamento do Azure – Blob, Fila, Tabela e Ficheiro. Tenha em atenção que pode já ter uma política ativa para este tipo de recurso.

Stream diagnóstico registos da Conta de Armazenamento do Azure em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Stream diagnóstico registos do serviço blob de armazenamento Azure em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Stream diagnóstico registos do serviço fila de armazenamento Azure em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Stream diagnóstico registos do serviço tabela de armazenamento Azure em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Stream diagnóstico registos do serviço de Ficheiros de Armazenamento do Azure em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Suportado por:Microsoft Corporation

O Azure Stream Analytics é uma análise em tempo real e um mecanismo complexo de processamento de eventos que foi projetado para analisar e processar grandes volumes de dados de streaming rápido de várias fontes simultaneamente. Este conector permite-lhe transmitir em fluxo o seu hub do Azure Stream Analytics diagnóstico inicia sessão no Microsoft Sentinel, permitindo-lhe monitorizar continuamente a atividade.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Política: Função de proprietário atribuída para cada âmbito de atribuição de política

Instruções de Configuração:

Ligue os diagnóstico do Azure Stream Analytics ao Sentinel.

Este conector utiliza Azure Policy para aplicar uma única configuração de transmissão em fluxo de registos do Azure Stream Analytics a uma coleção de instâncias, definida como um âmbito. Siga as instruções abaixo para criar e aplicar uma política a todas as instâncias atuais e futuras. Tenha em atenção que pode já ter uma política ativa para este tipo de recurso.

Stream diagnóstico registos do seu Azure Stream Analytics em escala

**Inicie o assistente Azure Policy Atribuição e siga os passos. **

1. No separador Informações Básicas, clique no botão com os três pontos em Âmbito para selecionar a sua subscrição.
2. No separador Parâmetros, selecione a área de trabalho Microsoft Sentinel na lista pendente área de trabalho do Log Analytics e deixe marcada como "Verdadeiro" todas as categorias de registo que pretende ingerir.
3. Para aplicar a política nos recursos existentes, marque a caixa criar uma tarefa de remediação marcar no separador Remediação.

Suportado por:Microsoft Corporation

Ligue-se ao Azure Firewall de Aplicativo Web (WAF) para Gateway de Aplicativo, Front Door ou CDN. Esta WAF protege as suas aplicações de vulnerabilidades Web comuns, como injeção de SQL e scripting entre sites, e permite-lhe personalizar regras para reduzir falsos positivos. As instruções para transmitir em fluxo os registos da firewall de aplicações Web da Microsoft para Microsoft Sentinel são apresentadas durante o processo de instalação. Para obter mais informações, veja a documentação do Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Suportado por:Better Mobile Security Inc.

O Better MTD Connector permite que as Empresas liguem as instâncias do Better MTD ao Microsoft Sentinel, vejam os respetivos dados em Dashboards, criem alertas personalizados, utilizem-no para acionar manuais de procedimentos e expandem as capacidades de investigação de ameaças. Isto dá aos utilizadores mais informações sobre os dispositivos móveis da sua organização e a capacidade de analisar rapidamente a atual postura de segurança móvel, o que melhora as capacidades gerais do SecOps.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Instruções de Configuração:

1. Na Melhor Consola mtd, clique em Integração na barra lateral.
2. Selecione o separador Outros .
3. Clique no botão ADICIONAR CONTA e selecione Microsoft Sentinel nas integrações disponíveis.
4. Criar a Integração:

• defina ACCOUNT NAME para um nome descritivo que identifique a integração e, em seguida, clique em Seguinte
• Introduza o e WORKSPACE IDPRIMARY KEY a partir dos campos abaixo, clique em Guardar
• Clique em Concluído

5. Configuração da Política de Ameaças (a que Incidentes devem ser comunicados Microsoft Sentinel):

• Na Consola MTD Melhor, clique em Políticas na barra lateral
• Clique no botão Editar da Política que está a utilizar.
• Para cada Tipo de incidente com sessão iniciada, aceda ao campo Enviar para Integrações e selecione Sentinel

6. Para obter informações adicionais, veja a nossa Documentação.

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Suportado por:BeyondTrust

O conector de dados beyondTrust Privilege Management Cloud fornece a capacidade de ingerir registos de auditoria de atividades e registos de eventos de cliente da Cloud pm BeyondTrust para Microsoft Sentinel.

Este conector utiliza Azure Functions para extrair dados da API da Cloud do PM BeyondTrust e ingeri-lo em tabelas personalizadas do Log Analytics.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• BeyondTrust PM Cloud API credentials: BeyondTrust PM Cloud OAuth Client ID and Client Secret are required . A conta de API requer as seguintes permissões: Auditoria – Só de Leitura e Relatórios – Só de Leitura

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar à API da Cloud do PM BeyondTrust para solicitar registos para Microsoft Sentinel. Isto pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

NOTA: Este conector utiliza o fluxo de credenciais de cliente OAuth 2.0 para autenticar com a API de Cloud do PM BeyondTrust.

PASSO 1 – Obter credenciais da API da Cloud para PM BeyondTrust

Crie uma Conta de API na sua instância da Cloud do PM BeyondTrust com credenciais da API OAuth (ID de Cliente e Segredo do Cliente). A conta da API requer as seguintes permissões:

• Auditoria - Só de Leitura
• Relatórios - Só de Leitura

PASSO 2 – Implementar o conector e a Função Azure associada

Utilize este método para a implementação automatizada do conector de dados beyondTrust PM Cloud com um Modelo do ARM.

1. Clique no botão Implementar para Azure abaixo.

   portal.azure.com

2. Selecione a Subscrição preferencial, Grupo de Recursos (tem de conter a área de trabalho do Log Analytics) e Localização.

3. Introduza os parâmetros necessários:

   • Nome da Área de Trabalho: nome da área de trabalho do Log Analytics (por exemplo, beyondtrust-pmcloud)
   • BEYONDTrust PM Cloud Base URL: O URL do inquilino (por exemplo, https://yourcompany.beyondtrustcloud.com)
   • BeyondTrust Client ID: OAuth Client ID from Step 1 (ID de Cliente BeyondTrust: OAuth Client ID from Step 1)
   • BeyondTrust Client Secret: OAuth Client Secret from Step 1 (Segredo do Cliente BeyondTrust: Segredo do Cliente OAuth do Passo 1)
   • Intervalo de Consulta das Auditorias de Atividade: com que frequência recolher Auditorias de Atividade (predefinição: 15 minutos)
   • Intervalo de Consulta de Eventos de Cliente: com que frequência recolher Eventos de Cliente (predefinição: 5 minutos)
   • Nível de Registo: nível de registo para resolução de problemas (predefinição: Informações)
   • Período de Dados Histórico: até onde voltar para recolher dados na primeira execução (predefinição: 1 dia)

4. Reveja as definições avançadas (SKU do Plano de Alojamento, Tipo de Conta de Armazenamento) e ajuste se necessário.

5. Marque a caixa de verificação etiquetada Concordo com os termos e condições indicados acima.

6. Clique em Comprar para implementar.

7. A implementação cria todos os recursos necessários: Aplicação de Funções, Conta de Armazenamento, Ponto Final de Recolha de Dados, Regras de Recolha de Dados e tabelas personalizadas do Log Analytics.

8. Os dados devem começar a fluir dentro de 15 a 30 minutos após a implementação.

Suportado por:BigID

O conector de dados bigID DSPM fornece a capacidade de ingerir casos de DSPM BigID com objetos afetados e informações de origem de dados em Microsoft Sentinel.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Acesso à API bigID DSPM: é necessário o acesso à API de DSPM BigID através de um Token BigID.

Instruções de Configuração:

Ligue-se à API de DSPM BigID para começar a recolher casos de DSPM BigID e Objetos afetados no Microsoft Sentinel

Indique o seu nome de domínio BigID, como "customer.bigid.cloud" e o token BigID. Gerar um token na consola BigID através de Definições –> Gestão de Acesso –> Utilizadores –> Selecione Utilizador e gere um token.

• BigID FQDN: (BigID FQDN)
• Token BigID: (Token BigID)
• Ativar/Desativar Ligação

Suportado por:Microsoft Corporation

O conector de dados Bitglass fornece a capacidade de obter registos de eventos de segurança dos serviços Bitglass e mais eventos para Microsoft Sentinel através da API REST. O conector permite a obtenção de eventos para avaliar potenciais riscos de segurança, monitorizar a colaboração e diagnosticar e resolver problemas de configuração.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• Credenciais/permissões da API REST: BitglassToken e BitglassServiceURL são necessários para fazer chamadas à API.

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar à API de Armazenamento de Blobs do Azure para solicitar registos para Microsoft Sentinel. Isto pode resultar em custos adicionais para a ingestão de dados e para armazenar dados em custos de Armazenamento de Blobs do Azure. Consulte a página de preços do Azure Functions e Armazenamento de Blobs do Azure página de preços para obter detalhes.

(Passo Opcional) Armazene de forma segura a área de trabalho e as chaves ou tokens de autorização da API em Azure Key Vault. Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar Azure Key Vault com uma Aplicação de Funções Azure.

NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar conforme esperado, que é implementado com o Microsoft Sentinel Solution.

PASSO 1 – Passos de configuração para a API de Obtenção de Registo bitglass

Siga as instruções para obter as credenciais.

1. Contacte o suporte do Bitglass e obtenha a ntation BitglassToken e BitglassServiceURL ].
2. Guarde as credenciais para utilizar no conector de dados.

PASSO 2 – escolha UMA das duas opções de implementação seguintes para implementar o conector e a Função Azure associada

IMPORTANTE: Antes de implementar o conector de dados Bitglass, tenha o ID da Área de Trabalho e a Chave Primária da Área de Trabalho (pode ser copiado do seguinte).

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Opção 1 - Modelo de Azure Resource Manager (ARM)

Utilize este método para a implementação automatizada do conector de dados Bitglass com um Modelo do ARM.

1. Clique no botão Implementar para Azure abaixo.

   aka.ms

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferenciais.

NOTA: No mesmo grupo de recursos, não pode misturar o Windows e Linux aplicações na mesma região. Selecione o grupo de recursos existente sem aplicações do Windows ou crie um novo grupo de recursos. 3. Introduza BitglassToken, BitglassServiceURL e implemente. 4. Marque a caixa de verificação identificada como Concordo com os termos e condições acima indicados. 5. Clique em Comprar para implementar.

Opção 2 – Implementação Manual de Azure Functions

Utilize as seguintes instruções passo a passo para implementar manualmente o conector de dados Bitglass com Azure Functions (Implementação através de Visual Studio Code).

1. Implementar uma Aplicação de Funções

NOTA: Terá de preparar o código VS para Azure desenvolvimento de funções.

1. Transfira o ficheiro Azure Function App. Extraia o arquivo para o seu computador de desenvolvimento local.

2. Inicie o VS Code. Selecione Ficheiro no menu principal e selecione Abrir Pasta.

3. Selecione a pasta de nível superior a partir dos ficheiros extraídos.

4. Selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione o botão Implementar na aplicação de funções. Se ainda não tiver sessão iniciada, selecione o ícone de Azure na Barra de atividade e, em seguida, na área Azure: Funções, selecione Iniciar sessão para Azure Se já tiver sessão iniciada, avance para o passo seguinte.

5. Indique as seguintes informações nos pedidos:

   a. Selecionar pasta: Escolha uma pasta a partir da área de trabalho ou navegue para uma que contenha a sua aplicação de funções.

   b. Selecione Subscrição: Escolha a subscrição a utilizar.

   c. Selecione Criar nova Aplicação de Funções no Azure (não escolha a opção Avançadas)

   d. Introduza um nome globalmente exclusivo para a aplicação de funções: Escreva um nome válido num caminho de URL. O nome que escrever é validado para se certificar de que é exclusivo no Azure Functions. (por exemplo, BitglassXXXXX).

   e. Selecione um runtime: Selecione Python 3.11.

   f. Selecione uma localização para novos recursos. Para um melhor desempenho e custos mais baixos, escolha a mesma região onde Microsoft Sentinel se encontra.

6. A implementação será iniciada. É apresentada uma notificação após a criação da aplicação de funções e a aplicação do pacote de implementação.

7. Aceda ao Portal Azure para obter a configuração da Aplicação de Funções.

8. Configurar a Aplicação de Funções

9. Na Aplicação de Funções, selecione o Nome da Aplicação de Funções e selecione Configuração.

10. No separador Definições da aplicação, selecione Nova definição da aplicação.

11. Adicione cada uma das seguintes definições de aplicação individualmente, com os respetivos valores de cadeia (sensíveis às maiúsculas e minúsculas): BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Utilize logAnalyticsUri para substituir o ponto final da API de análise de registos para a cloud dedicada. Por exemplo, para a cloud pública, deixe o valor vazio; para Azure ambiente de cloud GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

4. Assim que todas as definições da aplicação tiverem sido introduzidas, clique em Guardar.

Suportado por:Bitwarden Inc

Este conector fornece informações sobre a atividade da sua organização Bitwarden, como a atividade do utilizador (com sessão iniciada, palavra-passe alterada, 2fa, etc.), atividade de cifras (criada, atualizada, eliminada, partilhada, etc.), atividade de coleção, atividade da organização e muito mais.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Bitwarden ID de Cliente e Segredo do Cliente: a chave de API pode ser encontrada na consola de administração da organização Bitwarden. Veja a documentação do Bitwarden para obter mais informações.

Instruções de Configuração:

Ligar Registos de Eventos Bitwarden ao Microsoft Sentinel

A chave de API pode ser encontrada na consola de administração da organização Bitwarden. Veja a documentação do Bitwarden para obter mais informações. Os servidores Bitwarden autoalojados poderão ter de reconfigurar o URL da instalação.

• Url de Identidade de Bitwarden: (https://identity.bitwarden.com)
• Url da API Bitwarden: (https://api.bitwarden.com)

Suportado por:blacklens.io Suporte

O conector de dados blacklens.io permite-lhe ingerir alertas de Gestão de Superfície de Ataque de blacklens.io para Microsoft Sentinel através de uma Aplicação Lógica baseada em webhook e da API de Ingestão de Registos do Azure Monitor.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Azure Subscrição: são necessárias permissões de Contribuidor ou Proprietário no grupo de recursos para implementar a infraestrutura de ingestão de dados (Ponto Final de Recolha de Dados, Regra de Recolha de Dados, tabela personalizada e Aplicação Lógica).
• Conta blacklens.io: é necessária uma conta blacklens.io com capacidades de integração de webhook.

Instruções de Configuração:

Passo 1 – Implementar a infraestrutura de ingestão de dados

Este passo implementa os recursos de Azure necessários: um Ponto Final de Recolha de Dados, uma Regra de Recolha de Dados, uma tabela personalizada do Log Analytics (blacklens_CL) e uma Aplicação Lógica acionada por webhook.

1. Clique no botão Implementar para Azure abaixo.

   portal.azure.com

2. Selecione a Subscrição, o Grupo de Recursos e a Localização onde reside a área de trabalho Microsoft Sentinel.

3. Introduza o Nome da Área de Trabalho da área de trabalho do Log Analytics.

4. Clique em Rever + criar e, em seguida, em Criar.

Passo 2 – Copiar o URL do webhook

1. Após a implementação ser concluída com êxito, clique no separador Saídas na página de implementação.
2. Copie o valor webhookUrl .

Em alternativa, navegue para Descrição Geral do Logic Apps >la-blacklens-alert-log-ingestion> e copie o URL do Fluxo de Trabalho.

Passo 3 – Configurar blacklens.io

1. Inicie sessão no portal blacklens.io.
2. Navegue para as definições de integração do webhook.
3. Cole o URL do webhook copiado no Passo 2.
4. Guarde a configuração.
5. Ligue a integração do webhook a, pelo menos, uma política de notificação para que os alertas sejam enviados para o webhook.

Após alguns minutos, deverá aparecer um incidente de teste no Microsoft Sentinel.

Suportado por:Microsoft Corporation

O conector de dados do Box fornece a capacidade de ingerir os eventos do Box Enterprise no Microsoft Sentinel através da API REST do Box. Veja a documentação do Box para obter mais informações.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados: Não suportado atualmente

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• Credenciais da API do Box: o ficheiro JSON de configuração de caixa é necessário para a autenticação JWT da API REST do Box. Para obter mais informações, veja Autenticação JWT.

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar à API REST do Box para solicitar registos para Microsoft Sentinel. Isto pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Passo Opcional) Armazene de forma segura a área de trabalho e as chaves ou tokens de autorização da API em Azure Key Vault. Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar Azure Key Vault com uma Aplicação de Funções Azure.

NOTA: Este conector depende de um analisador baseado na Função Kusto para funcionar conforme esperado boxEvents, que é implementado com a Solução Microsoft Sentinel.

PASSO 1 – Configuração da coleção de eventos do Box

Veja a documentação para configurar a autenticação JWT e obter o ficheiro JSON com credenciais.

PASSO 2 – escolha UMA das duas opções de implementação seguintes para implementar o conector e a Função Azure associada

IMPORTANTE: Antes de implementar o conector de dados do Box, tenha o ID da Área de Trabalho e a Chave Primária da Área de Trabalho (podem ser copiados do seguinte), bem como o ficheiro de configuração JSON do Box, prontamente disponíveis.

• ID da área de trabalho: <valor variável fornecido no momento da instalação>
• Chave Primária: <valor variável fornecido no momento da instalação>

Opção 1 - Modelo de Azure Resource Manager (ARM)

Utilize este método para a implementação automatizada do conector de dados do Box com um Arm Tempate.

1. Clique no botão Implementar para Azure abaixo.

   aka.ms

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferenciais.

3. Introduza AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON

4. Marque a caixa de verificação etiquetada Concordo com os termos e condições indicados acima.

5. Clique em Comprar para implementar.

Opção 2 – Implementação Manual de Azure Functions

Utilize as seguintes instruções passo a passo para implementar manualmente o conector de dados do Box com Azure Functions (Implementação através de Visual Studio Code).

Passo 1 – Implementar uma Aplicação de Funções

1. Transfira o ficheiro Azure Function App. Extraia o arquivo para o seu computador de desenvolvimento local.
2. Siga as instruções de implementação manual da aplicação de funções para implementar a aplicação Azure Functions com o VSCode.
3. Após a implementação com êxito da aplicação de funções, siga os passos seguintes para a configurar.

Passo 2 – Configurar a Aplicação de Funções

1. Aceda ao Portal Azure para obter a configuração da Aplicação de Funções.
2. Na Aplicação de Funções, selecione o Nome da Aplicação de Funções e selecione Configuração.
3. No separador Definições da aplicação, selecione + Nova definição da aplicação.
4. Adicione cada uma das seguintes definições de aplicação individualmente, com os respetivos valores de cadeia (sensíveis a maiúsculas e minúsculas): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (opcional)

• Utilize logAnalyticsUri para substituir o ponto final da API de análise de registos para a cloud dedicada. Por exemplo, para a cloud pública, deixe o valor vazio; para Azure ambiente de cloud GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

5. Assim que todas as definições da aplicação tiverem sido introduzidas, clique em Guardar.

Suportado por:Microsoft Corporation

O conector de dados do Box fornece a capacidade de ingerir os eventos do Box Enterprise no Microsoft Sentinel através da API REST do Box. Veja a documentação do Box para obter mais informações.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Credenciais da API do Box: a API do Box requer um ID de cliente do Box App e um segredo do cliente para autenticar. Para obter mais informações, veja Concessão de Credenciais de Cliente
• Box Enterprise ID: o ID do Box Enterprise é necessário para efetuar a ligação. Veja a documentação para encontrar o ID empresarial

Instruções de Configuração:

NOTA: Este conector utiliza a Plataforma Connecor Sem Código (CCF) para ligar à API REST do Box para solicitar registos para Microsoft Sentinel.

NOTA: Este conector depende de um analisador baseado na Função Kusto para funcionar conforme esperado boxEvents, que é implementado com a Solução Microsoft Sentinel.

PASSO 1 – Criar Aplicação Personalizada de Caixa

Veja a documentação para configurar a autenticação de credenciais de cliente

PASSO 2 – Obter os valores de ID de Cliente e Segredo do Cliente

Poderá ter de configurar a 2FA para obter o segredo.

PASSO 3 – Obter o ID do Box Enterprise na Consola do Box Administração

Veja a documentação para encontrar o ID empresarial

Ligar ao Box para começar a recolher registos de eventos para Microsoft Sentinel

Indique os valores necessários abaixo:

• ID do Box Enterprise: (123456)

Suportado por:Check Point

O conector de dados do CloudGuard permite a ingestão de eventos de segurança da API do CloudGuard para Microsoft Sentinel ™, através da Arquitetura de Conector Sem Código do Microsoft Sentinel. O conector suporta transformações de tempo de ingestão baseadas em DCR que analisam os dados de eventos de segurança recebidos em colunas personalizadas. Este processo de pré-análise elimina a necessidade de análise do tempo de consulta, o que resulta num melhor desempenho das consultas de dados.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Chave de API do CloudGuard: veja as instruções fornecidas aqui para gerar uma chave de API.

Instruções de Configuração:

Ligar Eventos de Segurança do CloudGuard ao Microsoft Sentinel

Para ativar o conector CloudGuard para Microsoft Sentinel, introduza as informações necessárias abaixo e selecione Ligar.

• ID da Chave de API: (api_key)
• Segredo da Chave de API: (api_secret)
• URL do Ponto Final do CloudGuard: (por exemplo, https://api.dome9.com)
• Filtro: (Colar filtro do CloudGuard)
• Ativar/Desativar Ligação

Suportado por:Cyberint

A Cyberint, uma empresa Check Point, fornece uma integração Microsoft Sentinel para simplificar alertas críticos e trazer informações sobre ameaças melhoradas da solução Infinity External Risk Management para Microsoft Sentinel. Isto simplifica o processo de controlo do status de pedidos de suporte com atualizações de sincronização automáticas em todos os sistemas. Com esta nova integração para Microsoft Sentinel, os clientes cyberint e Microsoft Sentinel existentes podem facilmente extrair registos com base nas descobertas da Cyberint para Microsoft Sentinel plataforma.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Check Point a Chave de API Cyberint, o URL do Argos e o Nome do Cliente: a chave de API do conector, o URL do Argos e o Nome do Cliente são necessários

Instruções de Configuração:

Ligar Alertas Cyberint do Checkpoint ao Microsoft Sentinel

Para ativar o conector, forneça as informações necessárias abaixo e clique em Ligar.

URL do Argos — URL da API Cyberint para o seu inquilino (por exemplo https://your_tenant.cyberint.io, ) Token de API — Nome do Cliente do token de acesso à API Cyberint — Nome da empresa (cliente) associado aos Ambientes da instância do Cyberint — Lista separada por vírgulas de ambientes a obter. Se estiverem vazios, todos os ambientes serão obtidos.\n\nGravidade — lista separada por vírgulas de gravidade a obter (baixa, média, alta very_high). Se estiverem vazias, todas as gravidades são obtidas.\n\nIntervalo de Consulta — Com que frequência pretende consultar novos alertas, em minutos (predefinição: 5)\n\nIncluir Anexos CSV como JSON — Se pretende incluir anexos CSV como conteúdo JSON em alertas (predefinição: falso)

• URL do Argos: (https://your_tenant.cyberint.io)
• Token de API: (token de acesso à API Cyberint)
• Nome do Cliente: (Nome da empresa (cliente) associado à sua instância do Cyberint)
• Ambientes: (lista separada por vírgulas (por exemplo, Produção,Teste))
• Gravidade: (lista separada por vírgulas (por exemplo, baixa,média,alta,very_high))
• Intervalo de Consulta (Minutos): (Frequência de consulta em minutos)
• Incluir Anexos CSV como JSON: (verdadeiro ou falso)
• Ativar/Desativar Ligação

Suportado por:Cyberint

A Cyberint, uma empresa Check Point, fornece uma integração Microsoft Sentinel para ingerir Indicadores de Comprometimento (IOCs) da solução Infinity External Risk Management para Microsoft Sentinel. Este conector solicita automaticamente o feed diário do COI , incluindo IPs maliciosos, domínios, URLs e hashes de ficheiros, enriquecido com contextos de ameaças, como gravidade, confiança e atividade detetada.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Check Point a Chave de API Cyberint, o URL do Argos e o Nome do Cliente: a chave de API do conector, o URL do Argos e o Nome do Cliente são necessários

Instruções de Configuração:

Ligar Check Point Feed Cyberint IOC ao Microsoft Sentinel

Para ativar o conector, forneça as informações necessárias abaixo e clique em Ligar.

URL do Argos — URL da API Cyberint para o seu inquilino (por exemplo, https://your_tenant.cyberint.io) Token de API — Nome do Cliente do token de acesso à API Cyberint — Nome da empresa (cliente) associado à instância do Cyberint

• URL do Argos: (https://your-company.cyberint.io)
• Token de API: (Token de API)
• Nome do Cliente: (Nome da empresa (cliente) associado à sua instância do Cyberint)
• Ativar/Desativar Ligação

Suportado por:Microsoft Corporation

O conector de firewall do Cisco ASA permite-lhe ligar facilmente os registos do Cisco ASA ao Microsoft Sentinel, ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Para recolher dados de VMs não Azure, têm de ter Azure Arc instalado e ativado. Saiba Mais

Instruções de Configuração:

Ativar regra de recolha de dados

Os registos de eventos cisco ASA/FTD são recolhidos apenas de agentes Linux.

• Install Agent: variable value provided at install time (Agente de Instalação: <valor variável fornecido no momento da instalação)>

Execute o seguinte comando para instalar e aplicar o recoletor Cisco ASA/FTD:

• Valor: <valor variável fornecido no momento da instalação>

Suportado por:Microsoft Corporation

A solução Cisco Cloud Security para Microsoft Sentinel permite-lhe ingerir os registosCisco Secure Access e Cisco Umbrella armazenados no Amazon S3 em Microsoft Sentinel com a API REST do Amazon S3. Veja a documentação de gestão de registos do Cisco Cloud Security para obter mais informações.

Tabelas do Log Analytics:

Suporte de regras de recolha de dados:DcR de transformação da área de trabalho

Pré-requisitos:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e escrita para Azure Functions para criar uma Aplicação de Funções. Para obter mais informações, consulte Azure Functions.
• Credenciais/permissões da API REST do Amazon S3: ID da Chave de Acesso do AWS, Chave de Acesso Secreta do AWS, Nome do Registo do AWS S3 são necessários para a API REST do Amazon S3.

Instruções de Configuração:

NOTA: Este conector utiliza Azure Functions para ligar à API REST do Amazon S3 para solicitar registos para Microsoft Sentinel. Isto pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

NOTA: Este conector foi atualizado para suportar a versão 14 do esquema de registo do Cisco Cloud Security.

(Passo Opcional) Armazene de forma segura a área de trabalho e as chaves ou tokens de autorização da API em Azure Key Vault. Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar Azure Key Vault com uma Aplicação Azure Functions.

NOTA: este conector utiliza um analisador baseado numa Função Kusto para normalizar campos. Siga estes passos para criar o alias da função Kusto Cisco_Umbrella.