Connecter Microsoft Sentinel à d’autres services Microsoft avec un connecteur de données basé sur des API
Cet article explique comment établir des connexions basées sur des API à Microsoft Sentinel. Microsoft Sentinel se base sur Azure afin de fournir une prise en charge service à service intégrée de l’ingestion de données à partir de nombreux services Azure et Microsoft 365, d’Amazon Web Services et de divers services Windows Server. Plusieurs méthodes permettent d’établir ces connexions.
Cet article présente des informations communes au groupe de connecteurs de données basés sur des API.
Notes
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
Prérequis
Vous devez disposer d’autorisations en lecture et en écriture dans l’espace de travail Log Analytics.
Vous devez disposer du rôle Administrateur de la sécurité sur le tenant de votre espace de travail Microsoft Sentinel ou les autorisations équivalentes.
Exigences spécifiques au connecteur de données :
Connecteur de données Licences, coûts et autres conditions préalables Protection de l'identifiant Microsoft Entra - Abonnement Microsoft Entra ID P2
- D’autres frais d’opérateur peuvent s’appliquerDynamics 365 - Licence de production Microsoft Dynamics 365. Non disponible pour les environnements de bac à sable.
- Au moins un utilisateur a attribué une licence Microsoft/Office 365 E1 ou supérieure.
- Journalisation d’audit activée dans Microsoft Purview. Consultez Activer ou désactiver l’audit.
- Journalisation d’audit activée dans votre environnement Microsoft Dataverse. Consultez Journalisation des activités des applications pilotées par modèle et Microsoft Dataverse.
- D’autres frais d’opérateur peuvent s’appliquer.Microsoft Defender for Cloud Apps Pour les journaux Cloud Discovery, activez Microsoft Sentinel comme SIEM dans Microsoft Defender for Cloud Apps Microsoft Defender for Endpoint Licence valide pour Microsoft Defender for Endpoint Microsoft Defender pour Office 365 Licence valide pour Office 365 ATP Plan 2 Microsoft Office 365 - Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel.
- D’autres frais d’opérateur peuvent s’appliquer.Microsoft Power BI - Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel.
- D’autres frais d’opérateur peuvent s’appliquer.Protection des informations Microsoft Purview - Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel.
- D’autres frais d’opérateur peuvent s’appliquer.Gestion des risques internes Microsoft Purview - Abonnement valide pour Microsoft 365 E5/A5/G5 ou les modules complémentaires de conformité ou IRM connexes.
- Gestion des risques internes (IRM) Microsoft Purview totalement intégré et stratégies IRM définies et générant des alertes.
- IRM Microsoft 365 configurée pour activer l’exportation d’alertes IRM vers l’API Activité de gestion Office 365 afin de recevoir les alertes via le connecteur Microsoft Sentinel.
Instructions
Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données.
Sélectionnez votre service dans la galerie de connecteurs de données, puis sélectionnez Ouvrir la page du connecteur dans le volet de visualisation.
Sélectionnez Connexion pour démarrer la diffusion en continu d’événements ou d’alertes à partir de votre service dans Microsoft Sentinel.
Si la page du connecteur contient une section intitulée Créer des incidents (recommandé) , sélectionnez Activer si vous souhaitez créer automatiquement des incidents à partir d’alertes.
Vous pouvez rechercher et interroger les données pour chaque service à l’aide des noms de table qui s’affichent dans la section du connecteur du service dans la page Référence des connecteurs de données.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :