Configurer des connecteurs de données dans Microsoft Sentinel
Après l’intégration de Microsoft Sentinel à votre espace de travail, utilisez des connecteurs de données pour commencer à ingérer vos données dans Microsoft Sentinel. Microsoft Sentinel est fourni avec de nombreux connecteurs prêts à l’emploi pour des services Microsoft, qui s’intègrent en temps réel. Par exemple, le connecteur Microsoft 365 Defender est un connecteur de service à service qui intègre des données d’Office 365, de Microsoft Entra ID, de Microsoft Defender pour Identity et de Microsoft Defender for Cloud Apps.
Les connecteurs intégrés permettent une connexion à un écosystème de sécurité plus large pour des produits non Microsoft. Par exemple, utilisez Syslog, un format CEF (Common Event Format) ou des API REST pour connecter vos sources de données à Microsoft Sentinel.
La page Connecteurs de données de Microsoft Sentinel affiche la liste complète des connecteurs et fournit leur état pour votre espace de travail. Cette page affichera bientôt uniquement la liste des connecteurs de données en cours d’utilisation.
Remarque
Pour ajouter d’autres connecteurs de données, installez la solution associée au connecteur de données à partir du Hub de contenu.
Active un connecteur de données
Dans la page Connecteurs de données, sélectionnez le connecteur actif ou personnalisé à connecter, puis Ouvrir la page du connecteur. Si vous ne voyez pas le connecteur de données souhaité, installez la solution qui y est associée à partir du Hub de contenu.
Une fois que vous remplissez toutes les conditions préalables répertoriées dans l’onglet Instructions , la page du connecteur décrit comment ingérer les données dans Microsoft Sentinel. Les données peuvent mettre un certain temps à apparaître.
Une fois connecté, vous voyez un récapitulatif des données dans le graphe Données reçues, ainsi que l’état de connectivité des types de données.
Intégration de l’API REST pour les connecteurs de données
De nombreuses technologies de sécurité fournissent un ensemble d’API permettant de récupérer les fichiers journaux, et certaines sources de données peuvent utiliser ces API pour se connecter à Microsoft Sentinel.
Les connecteurs de données qui utilisent des API s’intègrent du côté du fournisseur ou s’intègrent à l’aide d’Azure Functions, comme décrit dans les sections suivantes.
Intégration de l’API REST côté fournisseur
Une intégration d’API créée par le fournisseur se connecte aux sources de données du fournisseur et envoie les données à des tables de journal personnalisées de Microsoft Sentinel à l’aide de l’API de collecte de données Azure Monitor.
Intégration d’API REST à l’aide d’Azure Functions
Les intégrations qui utilisent Azure Functions pour se connecter à une API de fournisseur mettent tout d’abord en forme les données, puis les envoient aux tables de journal personnalisées de Microsoft Sentinel à l’aide de l’API de collecte de données Azure Monitor.
Intégration basée sur l’agent pour les connecteurs de données
Microsoft Sentinel peut utiliser le protocole Syslog pour connecter un agent à n’importe quelle source de données capable d’effectuer un streaming de journaux en temps réel. Par exemple, la plupart des sources de données locales se connectent en utilisant une intégration basée sur l’agent.
Les sections suivantes décrivent les différents types de connecteurs de données basés sur l’agent de Microsoft Sentinel. Suivez les étapes de chaque page de connecteur de données Microsoft Sentinel pour configurer les connexions à l’aide de mécanismes basés sur l’agent.
syslog
Vous pouvez diffuser en streaming des événements à partir d’appareils Linux prenant en charge Syslog vers Microsoft Sentinel à l’aide de l’agent Azure Monitor (AMA). En fonction du type d’appareil, l’agent est installé directement sur l’appareil ou sur un redirecteur de journaux Linux dédié. L’agent AMA reçoit les événements du démon Syslog sur UDP. Le démon Syslog transfère les événements à l’agent en interne, en communiquant sur UDS (Sockets de domaine Unix). L’agent AMA transmet ensuite ces événements à l’espace de travail Microsoft Sentinel.
Voici un simple flux montrant comment Microsoft Sentinel diffuse des données Syslog.
- Le démon Syslog intégré de l’appareil collecte les événements locaux des types spécifiés et les transfère localement à l’agent.
- L’agent diffuse les événements vers votre espace de travail Log Analytics.
- Une fois la configuration réussie, les données s’affichent dans la table Syslog de Log Analytics.
CEF (Common Event Format)
Le format des journaux varie, mais de nombreuses sources prennent en charge le format CEF. L’agent Microsoft Sentinel, qui est en fait l’agent Log Analytics, convertit les journaux au format CEF dans un format que Log Analytics peut ingérer.
Pour les sources de données qui émettent des données au format CEF, configurez l’agent Syslog, puis configurez le flux de données CEF. Une fois la configuration réussie, les données s’affichent dans la table CommonSecurityLog.
Journaux d’activité personnalisés
Pour certaines sources de données, vous pouvez collecter des journaux sous forme de fichiers sur des ordinateurs Windows ou Linux en utilisant l’agent de collecte de journaux personnalisés Log Analytics.
Suivez les étapes de chaque page de connecteur de données Microsoft Sentinel pour vous connecter à l’aide de l’agent personnalisé de collecte de journaux Log Analytics. Une fois la configuration réussie, les données s’affichent dans des tables personnalisées.
Intégration de service à service pour les connecteurs de données
Microsoft Sentinel utilise la fondation Azure pour assurer la prise en charge service à service prête à l’emploi pour les services Microsoft et Amazon Web Services.
Déployer des connecteurs de données dans le cadre d’une solution
Les solutions Microsoft Sentinel fournissent des packages de contenu de sécurité, notamment des connecteurs de données, des classeurs, des règles d’analyse, des playbooks et bien plus. Lorsque vous déployez une solution avec un connecteur de données, vous obtenez le connecteur de données et le contenu associé dans le même déploiement.
Prise en charge du connecteur de données
Microsoft et d’autres organisations créent des connecteurs de données Microsoft Sentinel. Chaque connecteur de données dispose de l’un des types de support suivants :
| Type de support | Description |
|---|---|
| Pris en charge par Microsoft | S’applique aux connecteurs de données pour les sources de données où Microsoft est le fournisseur et le créateur des données. Certains connecteurs de données créés par Microsoft pour des sources de données autres que Microsoft. Microsoft prend en charge et gère les connecteurs de données dans cette catégorie conformément aux Plans de Support Microsoft Azure. Les partenaires ou la communauté assurent le support des connecteurs de données créés par les tiers, autres que Microsoft. |
| Partenaire pris en charge | S’applique aux connecteurs de données créés par des tiers, autres que Microsoft. La société partenaire assure le support ou la maintenance de ces connecteurs de données. L’entreprise partenaire peut être un éditeur de logiciels indépendant, un fournisseur de services managés, un intégrateur de systèmes ou toute organisation dont les informations de contact sont fournies sur la page de Microsoft Sentinel pour ce connecteur de données. Pour tout problème lié à un connecteur de données pris en charge par un partenaire, contactez le support spécifié pour le connecteur de données. |
| Support de la communauté | S’applique aux connecteurs de données créés par Microsoft ou par les développeurs partenaires qui n’ont pas de coordonnées répertoriées pour le support et la maintenance du connecteur de données dans la page du connecteur de données spécifié dans Microsoft Sentinel. |