Conectores de dados do Microsoft Sentinel

TOPICS:

POSTADO POR: 14 de julho de 2023

Fala pessoal tudo bem com vcs!

No post de hoje, veremos um pouco mais sobre os conectores de dados do Microsoft Sentinel e faremos a configuração do conector do Azure AD, agora nomeado como Entra ID.

Após integrarmos o Microsoft Sentinel com o workspace, use os conectores de dados para começar a ingerir os dados no Microsoft Sentinel. O Microsoft Sentinel vem com muitos conectores prontos para o uso em serviços da Microsoft, os quais são integrados em tempo real.

Por exemplo, o conector do Microsoft 365 Defender é um conector de serviço a serviço que integra dados do Office 365, Azure AD (Azure Active Directory), Microsoft Defender para Identidade e Microsoft Defender para Aplicativos de Nuvem.

Os conectores internos permitem a conexão com o ecossistema de segurança mais amplo para produtos que não são da Microsoft. Por exemplo, use SyslogFormato Comum de Evento (CEF) ou APIs REST para conectar suas fontes de dados com o Microsoft Sentinel.

A página Conectores de dados do Microsoft Sentinel mostra a lista completa de conectores e os respectivos status do seu workspace. Em breve, essa página mostrará apenas a lista de conectores de dados em uso. Para obter mais informações sobre essa alteração futura.

Então vamos lá!

Habilitar um conector de dados

1 – No Microsoft Sentinel, desça até Content hub e em Search… pesquise por, Azure Active Directory.
Obs. Sabemos das mudanças e em breve veremos como Entra ID.
O Azure Active Directory está se tornando o Microsoft Entra ID
Novo nome para o Azure Active Directory

2 – Selecione Azure Active Directory e em seguida clique em Install.

3 – Aguarde até o Status atualizar para Installed.

4 – Com o conector selecionado, clique em Manage.

5 – Para seguir com as configurações necessárias, selecione o Azure Active Directory e em seguida clique em Open connector page.

6 – Observe os pré-requisitos!

7 – Fique atento em ter as licenças necessárias para o projeto “Para exportar dados de entrada, sua organização precisa da licença Azure AD P1 ou P2”.

8 – Selecione os tipos de logs que deseja conectar e clique em Apply Changes.
Obs. Veja que os demais logs estão em Preview, em produção não devemos utilizar.

9 – Agora podemos ir trabalhando nossas regras, como, por exemplo, o Brute Force Attack against GitHub Account.

Conclusão

Neste post, aprendemos o que é um conector de dados e como habilitar em nosso ambiente.

Agora você pode explorar todos os conectores disponíveis no Microsoft Sentinel, e construir seu SIEM conforme sua necessidade.

Docs Oficiais

Conectores de dados do Microsoft Sentinel | Microsoft Learn

Encontrar seu conector de dados do Microsoft Sentinel | Microsoft Learn

Até a próxima!

Gostou do conteúdo? Compartilhe!

Seja o primeiro a comentar em "Conectores de dados do Microsoft Sentinel"

Deixe um comentário

Seu endereço de e-mail não será publicado.


*


Ficou com alguma dúvida ?