Una de las típicas
preguntas que me hacen en las charlas en las que hablo de Azure Sentinel es: ¿Qué
orígenes de datos acepta Azure Sentinel?
La pregunta es fácil,
bueno, es fácil y difícil. Como todo en la vida, podemos complicarlo tanto como
deseemos.
La respuesta fácil es “Un
montón de orígenes, y cada día más”, pero si queremos profundizar un poco más,
la cosa se va poniendo más complicada.
Azure Sentinel dispone de
varios conectores para soluciones de Microsoft, y estos conectores están
disponibles de manera nativa, no solo brindando esa conectividad, si no también
dándola de manera on-line (en tiempo real).
Algunos ejemplos de esto
son:
- Microsoft Threat Protection.
- Microsoft 365.
- Office 365.
- Azure AD.
- Azure ATP.
- Microsoft Cloud App Security.
- Firewalls de Windows.
- Y muchos más.
Por supuesto, soporta
Syslog y REST.
Además, podemos trabajar con
soluciones externas de dos maneras:
- Mediante API.
- Mediante agente.
Las soluciones externas
mediante API incluyen aquellos que acceden mediante origen de datos conectado. Es
la solución con la que conectan los aplicance de seguridad como Barracuda, F5, Citrix
Analytics.
Las soluciones externas
mediante agente permiten conectar al resto orígenes de datos mediante el
protocolo de Syslog, pero con el añadido de poner un agente al sistema.
Para conectar un
dispositivo externo a Sentinel, el agente debe implementarse en una VM o física
dedicada para admitir la comunicación entre el dispositivo y Azure Sentinel,
además, podemos automatizar la provisión del agente.
Seguiremos hablando de esto en otros artículos.
Un saludo
No hay comentarios:
Publicar un comentario