Partilhar via

Ligar origens de dados a Microsoft Sentinel através de conectores de dados

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Para ligar origens de dados a Microsoft Sentinel, tem de instalar e configurar conectores de dados. Geralmente, este artigo explica como instalar conectores de dados disponíveis no hub de conteúdos do Microsoft Sentinel para ingerir e analisar dados para uma deteção de ameaças melhorada.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Pré-requisitos

Antes de começar, certifique-se de que tem o acesso adequado e que o utilizador ou alguém na sua organização instala a solução relacionada.

  • Tem de ter permissões de leitura e escrita na área de trabalho Microsoft Sentinel.
  • Instale a solução que inclui o conector de dados do Hub de Conteúdos no Microsoft Sentinel. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.

Ativar um conector de dados

Depois de o utilizador ou alguém na sua organização instalar a solução que inclui o conector de dados de que precisa, configure o conector de dados para começar a ingerir dados.

  1. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configurações Conectores> dedados. Para Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.

  2. Procure e selecione o conector. Se não vir o conector de dados pretendido, verifique novamente se a solução relevante está instalada no Hub de conteúdos.

  3. Selecione Abrir página do conector.

  4. Reveja os Pré-requisitos do conector de dados e certifique-se de que são cumpridos.

  5. Siga os passos descritos na secção Configurações do conector de dados.

    Para alguns conectores, encontre informações de configuração mais específicas na secção Recolher dados na documentação do Microsoft Sentinel.

Configurar a retenção e o arrumo de dados

Se tiver integrado no data lake Microsoft Sentinel, pode configurar a retenção de dados e o arrumo para o conector de dados. O data lake é composto por uma camada de análise , as suas áreas de trabalho atuais Microsoft Sentinel e uma camada de data lake onde pode armazenar dados até 12 anos. Para obter mais informações sobre a inclusão, veja Inclusão no Microsoft Sentinel data lake.

Quando ativa um conector, por predefinição, os dados são enviados para a camada de análise e espelhados na camada do data lake. Configure a retenção de dados em cada camada ou envie os dados apenas para a camada do data lake. A retenção e o arrumo são geridos a partir das páginas de configuração do conector ou através da página Gestão de tabelas no portal do Defender. Para obter mais informações sobre a gestão e retenção de tabelas, veja Gerir camadas de dados e retenção no Portal do Microsoft Defender.

Depois de configurar o conector, configure a retenção de dados e o arrumo através dos seguintes passos:

  1. Na página Detalhes do conector , na secção Gestão de tabelas , selecione a tabela que pretende gerir.

    Uma captura de ecrã a mostrar uma página de detalhes do conector.

  2. O painel de tabela é apresentado com as definições de retenção atuais.

  3. Para configurar a retenção, selecione Gerir tabela. Uma captura de ecrã a mostrar o painel Gerir tabela.

  4. O painel Gerir tabela é apresentado, com as definições de retenção atuais. Pode alterar as definições de retenção para a camada de análise e a camada do data lake. A predefinição é espelhar os dados para a camada do data lake com a mesma retenção que a camada de análise.

  5. Em Retenção de análise , selecione o período de retenção para o escalão de análise.

  6. Para configurar a camada do data lake, selecione um período de retenção na lista pendente Retenção total . Uma captura de ecrã a mostrar as opções de análise e do data lake tier.

  7. Para alterar a camada apenas para data lake, selecione a camada data lake e selecione um período de retenção na lista pendente Retenção . Selecionar esta opção interrompe a ingestão adicional para a camada de análise.

  8. Selecione Guardar para guardar as alterações.

Captura de ecrã a mostrar a opção apenas de retenção do data lake tier.

Depois de configurar o conector de dados, poderá demorar algum tempo até que os dados sejam ingeridos no Microsoft Sentinel. Demora entre 90 a 120 minutos para que os dados sejam ingeridos no data lake. Quando o conector de dados estiver ligado, verá um resumo dos dados no gráfico Dados recebidos e o estado de conectividade dos tipos de dados.

Captura de ecrã a mostrar uma página do conector de dados com o estado ligado e um gráfico que mostra os dados recebidos.

Ativar a Análise comportamental de utilizadores e entidades (UEBA) a partir de conectores suportados

O UEBA (User and Entity Behavior Analytics) no Microsoft Sentinel analisa registos e alertas de origens de dados ligadas para criar perfis comportamentais de linha de base das entidades da sua organização, como utilizadores, anfitriões, endereços IP e aplicações. Ao utilizar machine learning, o UEBA identifica atividades anómalos que podem indicar um recurso comprometido.

Para ativar o UEBA a partir de conectores de dados suportados no portal do Microsoft Defender:

  1. No menu de navegação do portal Microsoft Defender, selecione Microsoft Sentinel > Conectores de Dados de Configuração>.

  2. Selecione um conector de dados suportado pela UEBA que suporte UEBA. Para obter mais informações sobre os conectores de dados e tabelas suportados pela UEBA, veja Microsoft Sentinel referência UEBA.

  3. No painel do conector de dados, selecione Abrir página do conector.

  4. Na página Detalhes do conector , selecione Opções avançadas.

  5. Em Configurar UEBA, ative as tabelas que pretende ativar para UEBA.

    Captura de ecrã a mostrar a configuração do UEBA no conector de dados.

Localizar os seus dados

Depois de ativar o conector com êxito, o conector começa a transmitir dados para os esquemas de tabela relacionados com os tipos de dados que configurou.

No portal do Defender, consulte os dados na página Investigação avançada ou, no portal do Azure, consulte os dados na página Registos.
Navegue para Data Lake Explorer , consultas KQL para consultar dados no data lake. Para obter mais informações, veja KQL e o data lake Microsoft Sentinel.

Encontrar suporte para um conector de dados

Tanto a Microsoft como outras organizações criam conectores de dados Microsoft Sentinel. Localize o contacto de suporte na página do conector de dados no Microsoft Sentinel.

  1. Na página Microsoft Sentinel Conectores de dados, selecione o conector relevante.

  2. Para aceder ao suporte e manutenção do conector, utilize a ligação de contacto de suporte no campo Suportado por no painel lateral do conector.

    Captura de ecrã a mostrar o campo Suportado por para um conector de dados no Microsoft Sentinel.

Para obter mais informações, veja Suporte do conector de dados.

Conteúdos relacionados

Para obter mais informações sobre soluções e conectores de dados no Microsoft Sentinel, consulte os seguintes artigos.

  • Last updated on