Una de las típicas preguntas que me hacen en las charlas en las que hablo de Azure Sentinel es: ¿Qué orígenes de datos acepta Azure Sentinel?
La pregunta es fácil, bueno, es fácil y difícil. Como todo en la vida, podemos complicarlo tanto como deseemos.
La respuesta fácil es “Un montón de orígenes, y cada día más”, pero si queremos profundizar un poco más, la cosa se va poniendo más complicada.
Azure Sentinel dispone de varios conectores para soluciones de Microsoft, y estos conectores están disponibles de manera nativa, no solo brindando esa conectividad, si no también dándola de manera on-line (en tiempo real).
Algunos ejemplos de esto son:
- Microsoft Threat Protection.
- Microsoft 365.
- Office 365.
- Azure AD.
- Azure ATP.
- Microsoft Cloud App Security.
- Firewalls de Windows.
- Y muchos más.
Por supuesto, soporta Syslog y REST.
Además, podemos trabajar con soluciones externas de dos maneras:
- Mediante API.
- Mediante agente.
Las soluciones externas mediante API incluyen aquellos que acceden mediante origen de datos conectado. Es la solución con la que conectan los aplicance de seguridad como Barracuda, F5, Citrix Analytics.
Las soluciones externas mediante agente permiten conectar al resto orígenes de datos mediante el protocolo de Syslog, pero con el añadido de poner un agente al sistema.
Para conectar un dispositivo externo a Sentinel, el agente debe implementarse en una VM o física dedicada para admitir la comunicación entre el dispositivo y Azure Sentinel, además, podemos automatizar la provisión del agente.
Seguiremos hablando de esto en otros artículos.
Un saludo