Connecteur Journaux d’événements de sécurité des contrôleurs de domaine Microsoft Active-Directory pour Microsoft Sentinel
[Option 3 et 4] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu tout ou partie des Journaux d’événements de sécurité de contrôleurs de domaine à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer les enquêtes.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | SecurityEvent |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Communauté |
Exemples de requête
Tous les journaux d’audit
SecurityEvent
| sort by TimeGenerated
Prérequis
Si vous souhaitez intégrer avec les Journaux d’événements de sécurité des contrôleurs de domaine Microsoft Active-Directory, veillez à avoir ce qui suit :
- ****: Azure Log Analytics est déconseillé. Pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus
- Documentation détaillée : >REMARQUE : vous trouverez une documentation détaillée sur la Procédure d’installation et l’utilisation ici
Instructions d’installation du fournisseur
Remarque
Cette solution est basée sur des options. Cela vous permet de choisir les données qui seront ingérées, car certaines options peuvent générer un volume très élevé de données. Selon ce que vous souhaitez collecter et suivre dans vos classeurs, règles d’analyse et fonctionnalités de repérage, vous choisirez les options que vous déploierez. Toutes les options sont indépendantes les unes des autres. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »
Ce connecteur de données constitue les options 3 et 4 du Wiki.
- Télécharger et installer les agents nécessaires pour collecter les journaux pour Microsoft Sentinel
Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.
Journaux de sécurité des contrôleurs de domaine
Sélectionnez la façon de diffuser en continu les journaux de sécurité des contrôleurs de domaine. Si vous souhaitez implémenter l’Option 3, vous devez simplement sélectionner le contrôleur de domaine (DC) sur le même site que les serveurs Exchange. Si vous souhaitez implémenter l’Option 4, vous pouvez sélectionner tous les contrôleurs de domaine de votre forêt.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.