Rechercher votre connecteur de données Microsoft Sentinel

Cet article répertorie tous les connecteurs de données prêtes à l’emploi et les liens vers les étapes de déploiement de chaque connecteur.

Importante

• Notez que Microsoft Sentinel connecteurs de données sont actuellement en préversion. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent à Azure fonctionnalités qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
• Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender. Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Mise hors service Microsoft Sentinel’Portail Azure pour une sécurité accrue.

Les connecteurs de données sont disponibles dans le cadre des offres suivantes :

• Solutions : De nombreux connecteurs de données sont déployés dans le cadre de Microsoft Sentinel solution avec du contenu associé, comme des règles d’analyse, des classeurs et des playbooks. Pour plus d’informations, consultez le catalogue de solutions Microsoft Sentinel.

• Connecteurs de communauté : d’autres connecteurs de données sont fournis par la communauté Microsoft Sentinel et se trouvent sur la Place de marché Azure. La documentation relative aux connecteurs de données de la communauté incombe au organization qui a créé le connecteur.

• Connecteurs personnalisés : si vous avez une source de données qui n’est pas répertoriée ou actuellement prise en charge, vous pouvez également créer votre propre connecteur personnalisé. Pour plus d’informations, consultez Ressources pour la création de connecteurs personnalisés Microsoft Sentinel.

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du gouvernement des États-Unis, consultez les tables Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du gouvernement des États-Unis.

Prérequis du connecteur de données

Chaque connecteur de données a son propre ensemble de prérequis. Les prérequis peuvent inclure des autorisations spécifiques sur votre Azure espace de travail, abonnement ou stratégie. Vous devrez peut-être également répondre à d’autres exigences pour la source de données partenaire à laquelle vous vous connectez.

Les prérequis pour chaque connecteur de données sont répertoriés dans cet article et sur la page correspondante du connecteur de données dans Microsoft Sentinel.

Les connecteurs de données basés sur l’agent AMA (Azure Monitor) nécessitent une connexion Internet à partir du système sur lequel l’agent est installé. Activez le port sortant 443 pour permettre une connexion entre le système sur lequel l’agent est installé et Microsoft Sentinel.

Connecteurs Syslog et CEF (Common Event Format)

La collecte de journaux à partir de nombreux appareils et appliances de sécurité est prise en charge par les connecteurs de données Syslog via AMA ou CEF (Common Event Format) via AMA dans Microsoft Sentinel. Pour transférer des données à votre espace de travail Log Analytics pour Microsoft Sentinel, suivez les étapes décrites dans Ingérer des messages syslog et CEF pour Microsoft Sentinel avec l’agent Azure Monitor. Ces étapes incluent l’installation de la solution Microsoft Sentinel pour un Appliance ou un appareil de sécurité à partir du hub de contenu dans Microsoft Sentinel. Ensuite, configurez le connecteur de données Syslog via AMA ou CEF (Common Event Format) via AMA approprié pour la solution Microsoft Sentinel que vous avez installée. Terminez la configuration en configurant l’appareil de sécurité ou le Appliance. Vous trouverez des instructions pour configurer votre appareil de sécurité ou votre Appliance dans l’un des articles suivants :

• CEF via le connecteur de données AMA : configurer un Appliance ou un appareil spécifique pour l’ingestion de données Microsoft Sentinel
• Syslog via le connecteur de données AMA : configurer un Appliance ou un appareil spécifique pour l’ingestion de données Microsoft Sentinel

Contactez le fournisseur de solutions pour plus d’informations ou pour savoir où les informations ne sont pas disponibles pour le Appliance ou l’appareil.

Journaux personnalisés via le connecteur AMA

Filtrez et ingérer les journaux au format de fichier texte à partir d’applications réseau ou de sécurité installées sur des ordinateurs Windows ou Linux à l’aide du connecteur Journaux personnalisés via AMA dans Microsoft Sentinel. Si vous souhaitez en savoir plus, consultez les articles suivants :

• Collecter les journaux à partir de fichiers texte avec l’agent Azure Monitor et ingérer pour Microsoft Sentinel
• Journaux personnalisés via le connecteur de données AMA - Configurer l’ingestion des données pour Microsoft Sentinel à partir d’applications spécifiques

connecteurs de données Sentinel

Remarque

Le tableau suivant répertorie les connecteurs de données disponibles dans le hub de contenu Microsoft Sentinel. Les connecteurs sont pris en charge par le fournisseur du produit. Pour obtenir du support, consultez le lien Pris en charge par .

Conseil

Pour obtenir la liste des tables ingérées dans Microsoft Sentinel et les connecteurs qui les ingèrent, consultez Microsoft Sentinel tables et connecteurs associés.

1Password (serverless)

Pris en charge par :1Password

Le connecteur CCF 1Password permet à l’utilisateur d’ingérer les événements 1Password Audit, Signin & ItemUsage dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OnePasswordEventLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Jeton d’API 1Password : un jeton d’API 1Password est requis. Consultez la documentation 1Password sur la création d’un jeton d’API.

Instructions d’installation :

ÉTAPE 1 : Créer un jeton d’API 1Password :

Suivez la documentation 1Password pour obtenir des conseils sur cette étape.

ÉTAPE 2 : choisissez l’URL de base appropriée :

Plusieurs serveurs 1Password peuvent héberger vos événements. Le serveur approprié dépend de votre licence et de votre région. Suivez la documentation 1Password pour choisir le serveur approprié. Entrez l’URL de base telle qu’elle apparaît dans la documentation (y compris « https:// » et sans « / » de fin).

ÉTAPE 3 : entrez votre mot de passe 1 Détails :

Entrez l’URL de base 1Password & jeton d’API ci-dessous :

• URL de base : (entrez votre URL de base)
• Jeton d’API : (Entrez votre jeton d’API)
• Activer/désactiver la connexion

---

1Password (à l’aide de Azure Functions)

Pris en charge par :1Password

La solution 1Password pour Microsoft Sentinel vous permet d’ingérer des tentatives de connexion, d’utiliser des éléments et d’auditer des événements à partir de votre compte 1Password Business à l’aide de l’API 1Password Events Reporting. Cela vous permet de surveiller et d’examiner les événements dans 1Password dans Microsoft Sentinel ainsi que les autres applications et services que votre organization utilise.

Technologies Microsoft sous-jacentes utilisées :

Cette solution dépend des technologies suivantes, dont certaines peuvent être en préversion ou entraîner des coûts d’ingestion ou d’exploitation supplémentaires :

• Azure Functions

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OnePasswordEventLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• 1 Jeton d’API d’événementspassword : un jeton d’API 1Password Events est requis. Pour plus d’informations, consultez l’API 1Password.

Note: Un compte 1Password Business est requis

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à 1Password afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires à partir de Azure. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes de configuration de l’API 1Password Events Reporting

Suivez ces instructions fournies par 1Password pour obtenir un jeton d’API de rapport d’événements. Note: Un compte 1Password Business est requis

ÉTAPE 2 - Déployer la fonctionApp à l’aide du bouton DeployToAzure pour créer la table, dcr et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur 1Password, une table personnalisée doit être créée.

Option 1 : modèle Azure Resource Manager (ARM)

Cette méthode fournit un déploiement automatisé du connecteur 1Password à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez le nom de l’espace de travail, le nom de l’espace de travail, la clé API 1Password Events et l’URI.

• L’intervalle de temps par défaut est défini sur cinq (5) minutes. Si vous souhaitez modifier l’intervalle, vous pouvez ajuster le déclencheur du minuteur de l’application de fonction en conséquence (dans le fichier function.json, après le déploiement) pour éviter le chevauchement de l’ingestion des données.
• Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.
5. Cliquez sur Acheter pour déployer.

---

AbnormalSecurity (à l’aide de Azure Function)

Pris en charge par :Anorm security

Le connecteur de données De sécurité anormale permet d’ingérer des journaux de menace et de cas dans Microsoft Sentinel à l’aide de l’API REST de sécurité anormale.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ABNORMAL_THREAT_MESSAGES_CL	Non	Non
ABNORMAL_CASES_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton de API de sécurité anormal : un jeton de API de sécurité anormal est requis. Pour plus d’informations, consultez API de sécurité anormaux. Note: Un compte de sécurité anormal est requis

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API REST d’Une sécurité anormale afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

ÉTAPE 1 : Étapes de configuration de la API de sécurité anormale

Suivez ces instructions fournies par La sécurité anormale pour configurer l’intégration de l’API REST. Note: Un compte de sécurité anormal est requis

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données De sécurité anormale, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du jeton d’autorisation d’API de sécurité anormal.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Cette méthode fournit un déploiement automatisé du connecteur Sécurité anormale à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID de l’espace de travail Microsoft Sentinel, Microsoft Sentinel clé partagée et la clé API REST de sécurité anormale.

• L’intervalle de temps par défaut est défini pour extraire les cinq (5) dernières minutes de données. Si l’intervalle de temps doit être modifié, il est recommandé de modifier le déclencheur du minuteur de l’application de fonction en conséquence (dans le fichier function.json, après le déploiement) pour empêcher l’ingestion des données qui se chevauchent.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.
5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données De sécurité anormale avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, AbnormalSecurityXX).

   e. Sélectionnez un runtime : Choisissez Python 3.8.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (facultatif) (ajoutez tous les autres paramètres requis par l’application de fonction) Définissez la uri valeur sur : <add uri value>

Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Azure Key Vault documentation de référence.

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant :https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Agent 365

Pris en charge par :Microsoft Corporation

Agent 365 connecteur de données fournit des informations plus détaillées sur l’activité de l’agent IA en intégrant les données de télémétrie de l’agent IA à partir de Agent 365, AI Foundry et Copilot dans le lac de données Microsoft Sentinel pour examiner le comportement de l’agent, l’utilisation des outils et l’exécution avec des workflows de repérage, de graphique et mcp. Les données de ce connecteur sont utilisées pour examiner le comportement, l’utilisation et l’exécution de l’agent IA dans Microsoft Sentinel. Si vous avez activé ces flux de travail, la désactivation de ce connecteur empêche ces investigations d’être effectuées.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

---

AIShield

Pris en charge par :AIShield

Le connecteur AIShield permet aux utilisateurs de se connecter aux journaux du mécanisme de défense personnalisé AIShield avec Microsoft Sentinel, ce qui permet de créer des tableaux de bord dynamiques, des classeurs, des notebooks et des alertes personnalisées pour améliorer l’investigation et contrecarrer les attaques sur les systèmes IA. Il donne aux utilisateurs plus d’informations sur la sécurité des ressources IA de leur organization et améliore leurs capacités d’exploitation de sécurité des systèmes IA. AIShield.GuArdIan analyse le contenu généré par LLM pour identifier et atténuer le contenu nuisible, en protégeant les violations légales, stratégiques, basées sur les rôles et basées sur l’utilisation

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AIShield_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Remarque : les utilisateurs doivent avoir utilisé l’offre SaaS AIShield pour effectuer une analyse des vulnérabilités et déployer des mécanismes de défense personnalisés générés avec leur ressource IA. Cliquez ici pour en savoir plus ou contactez-nous.

Instructions d’installation :

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu AIShield, qui est déployé avec la solution Microsoft Sentinel.

IMPORTANT: Avant de déployer le connecteur AIShield, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Alibaba Cloud ActionTrail (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Alibaba Cloud ActionTrail permet de récupérer des événements actiontrail stockés dans Alibaba Cloud Simple Log Service et de les stocker dans Microsoft Sentinel via l’API REST SLS. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AliCloudActionTrailLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Informations d’identification/autorisations de l’API REST SLS : AliCloudAccessKeyId et AliCloudAccessKeySecret sont nécessaires pour effectuer des appels d’API. L’instruction de stratégie RAM avec une action de atleast log:GetLogStoreLogs sur la ressource acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} est nécessaire pour accorder à un utilisateur ram les autorisations nécessaires pour appeler cette opération.

Instructions d’installation :

Configurer l’accès à l’API AliCloud SLS

Avant d’utiliser l’API, vous devez préparer votre compte d’identité et votre paire de clés d’accès pour accéder efficacement à l’API.

1. Nous vous recommandons d’utiliser un utilisateur de gestion de l’accès aux ressources (RAM) pour appeler des opérations d’API. Pour plus d’informations, consultez Créer un utilisateur RAM et autoriser l’utilisateur ram à accéder à Simple Log Service.
2. Obtenez la paire de clés d’accès pour l’utilisateur ram. Pour plus d’informations , consultez obtenir la paire de clés d’accès.

Notez les détails de la paire de clés d’accès pour l’étape suivante.

Ajouter actionTrail Logstore

Pour activer le connecteur Alibaba Cloud ActionTrail pour Microsoft Sentinel, cliquez sur ajouter ActionTrail Logstore, remplissez le formulaire avec la configuration de l’environnement Alibaba Cloud, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

Alibaba Cloud Networking Data Connector (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Alibaba Cloud Networking permet d’ingérer des données réseau Alibaba Cloud dans Microsoft Sentinel par le biais de l’API REST SLS (Simple Log Service). Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur permet d’obtenir des journaux de flux VPC, des journaux WAF et des journaux de passerelle API à partir d’Alibaba Cloud.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AlibabaCloudVPCFlowLogs	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Accès à l’API Alibaba Cloud SLS : l’accès à Alibaba Cloud Simple Log Service est requis pour l’API SLS.

Instructions d’installation :

Configurer l’accès à l’API AliCloud SLS

Avant d’utiliser l’API, vous devez préparer votre compte d’identité et votre paire de clés d’accès pour accéder efficacement à l’API.

1. Nous vous recommandons d’utiliser un utilisateur de gestion de l’accès aux ressources (RAM) pour appeler des opérations d’API. Pour plus d’informations, consultez Créer un utilisateur RAM et autoriser l’utilisateur ram à accéder à Simple Log Service.
2. Obtenez la paire de clés d’accès pour l’utilisateur ram. Pour plus d’informations , consultez obtenir la paire de clés d’accès.

Notez les détails de la paire de clés d’accès pour l’étape suivante.

• Grille des connecteurs de données (configurer dans le portail)

---

AliCloud (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données AliCloud permet de récupérer des journaux à partir d’applications cloud à l’aide de l’API cloud et de stocker des événements dans Microsoft Sentinel via l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AliCloud_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : AliCloudAccessKeyId et AliCloudAccessKey sont nécessaires pour effectuer des appels d’API.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Stockage Blob Azure afin d’extraire des journaux dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure coûts. Pour plus d’informations, consultez la page de tarification Azure Functions et Stockage Blob Azure page de tarification.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu AliCloud, qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Étapes de configuration pour l’API AliCloud

Suivez les instructions pour obtenir les informations d’identification.

1. Obtenez aliCloudAccessKeyId et AliCloudAccessKey : connectez-vous au compte, cliquez sur AccessKey Management, puis cliquez sur Afficher le secret.
2. Enregistrez les informations d’identification à utiliser dans le connecteur de données.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données AliCloud, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données AliCloud à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez workspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects et AppInsightsWorkspaceResourceID et deploy. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données AliCloud avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, AliCloudXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : WorkspaceID WorkspaceKey AliCloudAccessKey AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Amazon Web Services

Pris en charge par :Microsoft Corporation

Des instructions pour vous connecter à AWS et diffuser en continu vos journaux CloudTrail dans Microsoft Sentinel sont affichées pendant le processus d’installation. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSCloudTrail	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Amazon Web Services CloudFront (via l’infrastructure de connecteur sans code) (préversion)

Pris en charge par :Microsoft Corporation

Ce connecteur de données permet l’intégration des journaux AWS CloudFront à Microsoft Sentinel pour prendre en charge la détection avancée des menaces, l’investigation et la surveillance de la sécurité. En utilisant Amazon S3 pour le stockage des journaux et Amazon SQS pour la mise en file d’attente des messages, le connecteur ingère de manière fiable les journaux d’accès CloudFront dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSCloudFront_AccessLog_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Ingestion des journaux AWS CloudFront dans Microsoft Sentinel

Liste des ressources requises :

• Fournisseur d’identité web Open ID Connect (OIDC)
• Rôle IAM
• Compartiment Amazon S3
• Amazon SQS
• Configuration d’AWS CloudFront

1. Déploiement AWS CloudFormation Pour configurer l’accès sur AWS, deux modèles ont été générés pour configurer l’environnement AWS afin d’envoyer des journaux d’un compartiment S3 à votre espace de travail Log Analytics.

Pour chaque modèle, créez une pile dans AWS :

1. Accédez à AWS CloudFormation Stacks.
2. Choisissez l’option « Spécifier le modèle », puis « Charger un fichier de modèle » en cliquant sur « Choisir un fichier » et en sélectionnant le fichier de modèle CloudFormation approprié fourni ci-dessous. cliquez sur « Choisir un fichier », puis sélectionnez le modèle téléchargé.
3. Cliquez sur « Suivant » et sur « Créer une pile ».

• Modèle 1 : Déploiement de l’authentification OpenID connect : <valeur de variable fournie au moment de l’installation>
• Modèle 2 : Déploiement des ressources AWSCloudFront : <valeur de variable fournie au moment de l’installation>

2. Connecter de nouveaux collecteurs Pour activer AWS S3 pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

Équilibrage de charge élastique Amazon Web Services (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur d’équilibrage de charge élastique (ELB) AWS pour Microsoft Sentinel vous permet d’ingérer des journaux d’accès et des journaux de flux à partir d’AWS Application Load Balancers (ALB), network Load Balancers (NLB) et GLB (Gateway Load Balancers) dans Microsoft Sentinel. Ces journaux fournissent des informations détaillées sur les demandes traitées par vos équilibreurs de charge et les flux de trafic VPC, ce qui permet la surveillance de la sécurité, la détection des menaces et l’analyse du trafic.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSALBAccessLogsData	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• AWS IAM Role ARN et SQS Queue : un ARN de rôle AWS IAM avec un accès entre comptes et une URL de file d’attente SQS configurée pour les notifications d’événements S3 sont nécessaires. Consultez la documentation du connecteur AWS ELB pour obtenir des instructions d’installation.

Instructions d’installation :

1. Déploiement AWS CloudFormation Pour configurer l’accès sur AWS, utilisez des modèles CloudFormation pour configurer l’environnement afin d’envoyer des journaux à partir d’ALB, NLB et GLB à votre espace de travail Log Analytics.

Étapes de déploiement :

1. Accédez aux modèles de formation cloud, téléchargez les fichiers de modèle JSON.
2. Accédez à AWS CloudFormation Stacks.
3. Commencez par déployer le modèle OIDCWebIdProvider.json (ignorez si vous disposez déjà d’un fournisseur OIDC pour Microsoft Sentinel).
4. Déployez ensuite le modèle AWSS3ELB.json avec vos paramètres.
5. Notez les valeurs suivantes des sorties de pile :
   • IAMRoleArn
   • ALBSQSQueueURL
   • NLBSQSQueueURL
   • NLBFlowLogsSQSQueueURL
   • GLBFlowLogsSQSQueueURL

Configuration post-déploiement :

Une fois la pile CloudFormation déployée :

• Accédez à l’onglet Ressources dans la pile.
• Recherchez le nom du compartiment S3 créé.
• Dans le compartiment S3, créez manuellement les dossiers suivants :
  • ALBLogs
  • NLBAccessLogs
  • NLBFlowLogs
  • GLBFlowLogs

Envoi des journaux :

Après la création du dossier, configurez vos services AWS pour envoyer des journaux aux dossiers appropriés :

• Journaux d’accès ALB ->ALBLogs/
• Journaux d’accès de l’équilibrage de la charge réseau ->NLBAccessLogs/
• Journaux de flux d’équilibrage de la charge réseau ->NLBFlowLogs/
• Journaux de flux GLB ->GLBFlowLogs/

Ces journaux seront ingérés dans les tables correspondantes de votre espace de travail Log Analytics.

Mappage de table :

• Journaux d’accès ALB ->AWSALBAccessLogsData
• Journaux d’accès de l’équilibrage de la charge réseau ->AWSNLBAccessLogsData
• Journaux de flux NLB et GLB ->AWSELBFlowLogsData

Note: Dans la AWSELBFlowLogsData table, une colonne nommée LogType indique si une ligne provient des journaux de flux d’équilibrage de la charge réseau ou des journaux de flux GLB.

2. Connecter de nouveaux collecteurs Pour activer le connecteur, cliquez sur Ajouter un nouveau collecteur, entrez les informations requises, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

Amazon Web Services NetworkFirewall (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Ce connecteur de données vous permet d’ingérer les journaux AWS Network Firewall dans Microsoft Sentinel pour la détection avancée des menaces et la surveillance de la sécurité. En tirant parti d’Amazon S3 et Amazon SQS, le connecteur transfère les journaux du trafic réseau, les alertes de détection d’intrusion et les événements de pare-feu vers Microsoft Sentinel, ce qui permet une analyse en temps réel et une corrélation avec d’autres données de sécurité

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSNetworkFirewallFlow	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Ingestion des journaux AWS NetworkFirewall dans Microsoft Sentinel

Liste des ressources requises :

• Fournisseur d’identité web Open ID Connect (OIDC)
• Rôle IAM
• Compartiment Amazon S3
• Amazon SQS
• Configuration d’AWSNetworkFirewall
• Suivez ces instructions pour la configuration du connecteur de données AWS NetworkFirewall

1. Déploiement AWS CloudFormation Pour configurer l’accès sur AWS, deux modèles ont été générés pour configurer l’environnement AWS afin d’envoyer des journaux d’un compartiment S3 à votre espace de travail Log Analytics.

Pour chaque modèle, créez une pile dans AWS :

1. Accédez à AWS CloudFormation Stacks.
2. Choisissez l’option « Spécifier le modèle », puis « Charger un fichier de modèle » en cliquant sur « Choisir un fichier » et en sélectionnant le fichier de modèle CloudFormation approprié fourni ci-dessous. cliquez sur « Choisir un fichier », puis sélectionnez le modèle téléchargé.
3. Cliquez sur « Suivant » et sur « Créer une pile ».

• Modèle 1 : Déploiement de l’authentification OpenID connect : <valeur de variable fournie au moment de l’installation>
• Modèle 2 : Déploiement des ressources AWSNetworkFirewall : <valeur de variable fournie au moment de l’installation>

2. Connecter de nouveaux collecteurs Pour activer AWS S3 pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

Amazon Web Services S3

Pris en charge par :Microsoft Corporation

Ce connecteur vous permet d’ingérer des journaux de service AWS, collectés dans des compartiments AWS S3, pour Microsoft Sentinel. Les types de données actuellement pris en charge sont les suivants :

• AWS CloudTrail
• Journaux de flux VPC
• AWS GuardDuty
• AWSCloudWatch

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSGuardDuty	Oui	Oui
AWSVPCFlow	Oui	Oui
AWSCloudTrail	Oui	Oui
AWSCloudWatch	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Environnement : les ressources AWS suivantes doivent être définies et configurées : S3, Service de file d’attente simple (SQS), rôles et stratégies d’autorisations IAM, et les services AWS dont vous souhaitez collecter les journaux.

Instructions d’installation :

1. Configurer votre environnement AWS

Il existe deux options pour configurer votre environnement AWS afin d’envoyer des journaux d’un compartiment S3 à votre espace de travail Log Analytics :

Configuration avec le script PowerShell (recommandé)

• Exécuter le script pour configurer l’environnement : <valeur de variable fournie au moment de l’installation>
• ID externe (ID d’espace de travail) : <valeur de variable fournie au moment de l’installation>

Configuration manuelle

Suivez les instructions du lien suivant pour configurer l’environnement : Connecter AWS S3 à Microsoft Sentinel

2. Ajouter une connexion

---

Amazon Web Services S3 DNS Route53 (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Ce connecteur permet l’ingestion des journaux DNS AWS Route 53 dans Microsoft Sentinel pour améliorer la visibilité et la détection des menaces. Il prend en charge les journaux de requête du programme de résolution DNS ingérés directement à partir de compartiments AWS S3, tandis que les journaux des requêtes DNS publics et les journaux d’audit Route 53 peuvent être ingérés à l’aide des connecteurs AWS CloudWatch et CloudTrail de Microsoft Sentinel. Des instructions complètes sont fournies pour vous guider tout au long de la configuration de chaque type de journal. Tirez parti de ce connecteur pour surveiller l’activité DNS, détecter les menaces potentielles et améliorer votre posture de sécurité dans les environnements cloud.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSRoute53Resolver	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

AWS Route53

Ce connecteur permet l’ingestion des journaux DNS AWS Route 53 dans Microsoft Sentinel, offrant ainsi une visibilité améliorée de l’activité DNS et renforçant les fonctionnalités de détection des menaces. Il prend en charge l’ingestion directe des journaux des requêtes du programme de résolution DNS à partir de compartiments AWS S3, tandis que les journaux des requêtes DNS publics et les journaux d’audit Route 53 peuvent être ingérés via les connecteurs AWS CloudWatch et CloudTrail de Microsoft Sentinel. Des instructions de configuration détaillées sont fournies pour chaque type de journal. Utilisez ce connecteur pour surveiller le trafic DNS, identifier les menaces potentielles et améliorer votre posture de sécurité cloud.

Vous pouvez ingérer le type de journaux suivant à partir d’AWS Route 53 vers Microsoft Sentinel :

1. Journaux des requêtes du programme de résolution Route 53
2. Journaux des requêtes des zones hébergées publiques Route 53 (via Microsoft Sentinel connecteur CloudWatch)
3. Journaux d’audit Route 53 (via Microsoft Sentinel connecteur CloudTrail)

Ingérer les journaux des requêtes du programme de résolution Route53 dans Microsoft Sentinel

Liste des ressources requises :

• Fournisseur d’identité web Open ID Connect (OIDC)
• Rôle IAM
• Compartiment Amazon S3
• Amazon SQS
• Configuration de la journalisation des requêtes du programme de résolution Route 53
• VPC à associer à la configuration du journal des requêtes route53 Resolver

1. Déploiement AWS CloudFormation Pour configurer l’accès sur AWS, deux modèles ont été générés pour configurer l’environnement AWS afin d’envoyer des journaux d’un compartiment S3 à votre espace de travail Log Analytics.

Pour chaque modèle, créez une pile dans AWS :

1. Accédez à AWS CloudFormation Stacks.
2. Choisissez l’option « Spécifier le modèle », puis « Charger un fichier de modèle » en cliquant sur « Choisir un fichier » et en sélectionnant le fichier de modèle CloudFormation approprié fourni ci-dessous. cliquez sur « Choisir un fichier », puis sélectionnez le modèle téléchargé.
3. Cliquez sur « Suivant » et sur « Créer une pile ».

• Modèle 1 : Déploiement de l’authentification OpenID connect : <valeur de variable fournie au moment de l’installation>
• Modèle 2 : Déploiement des ressources AWS Route53 : <valeur de variable fournie au moment de l’installation>

2. Connecter de nouveaux collecteurs Pour activer Amazon Web Services S3 DNS Route53 pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

Ingérer les journaux des requêtes des zones hébergées publiques Route 53 (via Microsoft Sentinel connecteur CloudWatch)

Les journaux des requêtes de zone hébergée publique sont exportés vers le service CloudWatch dans AWS. Nous pouvons utiliser le connecteur « Amazon Web Services S3 » pour ingérer les journaux CloudWatch d’AWS vers Microsoft Sentinel.

Étape 1 : Configurer la journalisation pour les requêtes DNS publiques

1. Connectez-vous à AWS Management Console et ouvrez la console Route 53 sur AWS Route 53.
2. Accédez à Route 53 > Zones hébergées.
3. Choisissez la zone hébergée publique pour laquelle vous souhaitez configurer la journalisation des requêtes.
4. Dans le volet Détails de la zone hébergée, cliquez sur « Configurer la journalisation des requêtes ».
5. Choisissez un groupe de journaux existant ou créez-en un.
6. Sélectionnez Créer.

Étape 2 : Configurer le connecteur de données Amazon Web Services S3 pour AWS CloudWatch

Les journaux AWS CloudWatch peuvent être exportés vers un compartiment S3 à l’aide de la fonction lambda. Pour ingérer des requêtes DNS publiques de AWS CloudWatch à S3 compartiment, puis de Microsoft Sentinel, suivez les instructions fournies dans le connecteur Amazon Web Services S3.

Ingestion des journaux d’audit Route 53 (via Microsoft Sentinel connecteur CloudTrail)

Les journaux d’audit route 53, c’est-à-dire les journaux liés aux actions effectuées par l’utilisateur, le rôle ou le service AWS dans Route 53 peuvent être exportés vers un compartiment S3 via le service AWS CloudTrail. Nous pouvons utiliser le connecteur « Amazon Web Services S3 » pour ingérer les journaux CloudTrail d’AWS vers Microsoft Sentinel.

Étape 1 : Configurer la journalisation pour les journaux d’audit AWS Route 53

1. Connectez-vous à AWS Management Console et ouvrez la console CloudTrail sur AWS CloudTrail
2. Si vous n’avez pas de trace existante, cliquez sur « Créer une piste ».
3. Entrez un nom pour votre piste dans le champ Nom de la piste.
4. Sélectionnez Créer un compartiment S3 (vous pouvez également choisir d’utiliser un compartiment S3 existant).
5. Conservez les autres paramètres par défaut, puis cliquez sur Suivant.
6. Sélectionnez Type d’événement, vérifiez que Événements de gestion est sélectionné.
7. Sélectionner l’activité de l’API, « Lire » et « Écrire »
8. Cliquez sur Suivant.
9. Passez en revue les paramètres, puis cliquez sur « Créer une piste ».

Étape 2 : Configurer le connecteur de données Amazon Web Services S3 pour AWS CloudTrail

Pour ingérer les journaux d’audit et de gestion de AWS CloudTrail à Microsoft Sentinel, suivez les instructions fournies dans le connecteur Amazon Web Services S3

---

Amazon Web Services S3 WAF

Pris en charge par :Microsoft Corporation

Ce connecteur vous permet d’ingérer des journaux d’activité WAF AWS, collectés dans des compartiments AWS S3, pour Microsoft Sentinel. Les journaux WAF AWS sont des enregistrements détaillés du trafic que les listes de contrôle d’accès web analysent, qui sont essentiels pour maintenir la sécurité et les performances des applications web. Ces journaux contiennent des informations telles que l’heure à laquelle AWS WAF a reçu la demande, les spécificités de la demande et l’action effectuée par la règle à laquelle la requête correspond.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSWAF	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

1. Déploiement AWS CloudFormation Pour configurer l’accès sur AWS, deux modèles ont été générés pour configurer l’environnement AWS afin d’envoyer des journaux d’un compartiment S3 à votre espace de travail Log Analytics.

Pour chaque modèle, créez une pile dans AWS :

1. Accédez à AWS CloudFormation Stacks.
2. Choisissez l’option « Spécifier le modèle », puis « Charger un fichier de modèle » en cliquant sur « Choisir un fichier » et en sélectionnant le fichier de modèle CloudFormation approprié fourni ci-dessous. cliquez sur « Choisir un fichier », puis sélectionnez le modèle téléchargé.
3. Cliquez sur « Suivant » et sur « Créer une pile ».

• Modèle 1 : Déploiement de l’authentification OpenID connect : <valeur de variable fournie au moment de l’installation>
• Modèle 2 : Déploiement des ressources AWS WAF : <valeur de variable fournie au moment de l’installation>

2. Connecter de nouveaux collecteurs Pour activer AWS S3 pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

Anvilogic

Pris en charge par :Anvilogic

Le connecteur de données Anvilogic vous permet d’extraire des événements d’intérêt générés dans le cluster Anvilogic ADX dans votre Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Anvilogic_Alerts_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• ID client et clé secrète client d’inscription d’application Anvilogic : pour accéder à Anvilogic ADX, nous avons besoin de l’ID client et de la clé secrète client à partir de l’inscription de l’application Anvilogic

Instructions d’installation :

Connectez-vous à Anvilogic pour commencer à collecter des événements d’intérêt dans Microsoft Sentinel

Remplissez le formulaire pour ingérer des alertes anviologiques dans votre Microsoft Sentinel

• Point de terminaison de jeton : (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
• Étendue ADX anvilogic : (<avl_adx_uri>/.default)
• URI de requête ADX anvilogic : (<avl_adx_uri>/v2/rest/query)

---

ARGOS Cloud Security

Pris en charge par :ARGOS Cloud Security

L’intégration d’ARGOS Cloud Security pour Microsoft Sentinel vous permet d’avoir tous vos événements importants de sécurité cloud au même endroit. Cela vous permet de créer facilement des tableaux de bord, des alertes et de mettre en corrélation des événements sur plusieurs systèmes. Dans l’ensemble, cela améliorera la posture de sécurité de votre organization et la réponse aux incidents de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ARGOS_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

1. S’abonner à ARGOS

Vérifiez que vous possédez déjà un abonnement ARGOS. Si ce n’est pas le cas, accédez à ARGOS Cloud Security et inscrivez-vous à ARGOS.

Vous pouvez également acheter ARGOS via Azure Marketplace.

2. Configurer Sentinel intégration à partir d’ARGOS

Configurez ARGOS pour transférer toutes les nouvelles détections à votre espace de travail Sentinel en fournissant ARGOS avec votre ID d’espace de travail et votre clé primaire.

Il n’est pas nécessaire de déployer une infrastructure personnalisée.

Entrez les informations dans la page de configuration Sentinel ARGOS.

Les nouvelles détections sont automatiquement transférées.

En savoir plus sur l’intégration

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Activités des alertes Armis (à l’aide de Azure Functions)

Pris en charge par :Armis Corporation

Le connecteur Activités des alertes Armis permet d’ingérer des alertes et des activités Armis dans Microsoft Sentinel via l’API REST Armis. Pour plus d’informations, https://<YourArmisInstance>.armis.com/api/v1/docs reportez-vous à la documentation de l’API. Le connecteur permet d’obtenir des informations d’alerte et d’activité à partir de la plateforme Armis et d’identifier et de hiérarchiser les menaces dans votre environnement. Armis utilise votre infrastructure existante pour découvrir et identifier les appareils sans avoir à déployer d’agents.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Armis_Alerts_CL	Non	Non
Armis_Activities_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : la clé secrète Armis est requise. Consultez la documentation pour en savoir plus sur l’API sur le https://<YourArmisInstance>.armis.com/api/v1/doc

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Armis afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, qui est déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Log Analytics/Microsoft Sentinel Journaux, cliquez sur Fonctions et recherchez l’alias ArmisActivities/ArmisAlerts et chargez le code de la fonction. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

ÉTAPE 1 : Étapes de configuration de l’API Armis

Suivez ces instructions pour créer une clé secrète API Armis.

1. Connectez-vous à votre instance Armis
2. Accédez à Paramètres -> Gestion des API
3. Si la clé secrète n’a pas encore été créée, appuyez sur le bouton Créer pour créer la clé secrète
4. Pour accéder à la touche secrète, appuyez sur le bouton Afficher
5. La clé secrète peut désormais être copiée et utilisée pendant la configuration du connecteur Activités des alertes Armis

ÉTAPE 2 : Étapes d’inscription d’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis en tant que paramètres de configuration pour l’exécution du connecteur de données des activités des alertes Armis.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 3 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution du connecteur de données des activités des alertes Armis. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution du connecteur de données des activités des alertes Armis.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 4 : Attribuer le rôle contributeur à l’application dans Microsoft Entra ID

Suivez les étapes de cette section pour attribuer le rôle :

1. Dans le Portail Azure, accédez à Groupe de ressources et sélectionnez votre groupe de ressources.
2. Accédez à Contrôle d’accès (IAM) à partir du volet gauche.
3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
6. Cliquez sur Ajouter des membres, tapez le nom de votre application que vous avez créée et sélectionnez-la.
7. Cliquez maintenant sur Vérifier + attribuer, puis cliquez à nouveau sur Vérifier + attribuer.

Lien de référence :/azure/role-based-access-control/role-assignments-portal

ÉTAPE 5 : Créer un coffre de clés

Suivez ces instructions pour créer un coffre de clés.

1. Dans le Portail Azure, accédez à Coffres de clés. Cliquez sur Créer.
2. Sélectionnez Subsciption, Resource Group (Groupe de ressources) et indiquez le nom unique du coffre de clés.

REMARQUE : Créez un coffre de clés distinct pour chaque clé API au sein d’un espace de travail.

ÉTAPE 6 : Créer une stratégie d’accès dans KeyVault

Suivez ces instructions pour créer une stratégie d’accès dans KeyVault.

1. Accédez aux coffres de clés, sélectionnez votre coffre de clés, puis accédez à Stratégies d’accès dans le panneau latéral gauche. Cliquez sur Créer.
2. Sélectionnez toutes les clés & autorisations de secrets. Cliquez sur Suivant.
3. Dans la section principal, recherchez par nom d’application qui a été généré à l’étape 2. Cliquez sur Suivant.

REMARQUE : Vérifiez que le modèle d’autorisation dans la configuration d’accès de Key Vault est défini sur « Stratégie d’accès au coffre »

ÉTAPE 7 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Activités des alertes Armis, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiées à partir de ce qui suit) et de la ou des clés d’autorisation de l’API Armis.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Armis.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les informations ci-dessous : Nom de la fonction Id d’espace de travail Clé de l’espace de travail Clé secrète Armis URL Armis (https://< armis-instance.armis.com/api/v1/>) Nom de la table d’alerte Armis
   Gravité du nom de la table d’activité Armis (par défaut : Faible) Nom du coffre de clés de planification Armis Azure ID client Azure ID de locataire de la clé secrète client

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Activités des alertes Armis avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, ARMISXXXXX).

   e. Sélectionnez un runtime : Choisir Python 3.11

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (respectant la casse) : ID de l’espace de travail Clé secrète Armis URL Armis (https://< armis-instance.armis.com/api/v1/>) Gravité du nom de la table d’activité Armis Nom de la table d’activité Armis (par défaut : Faible) Nom du coffre de coffre-clés de la planification Armis Azure ID client Azure id de locataire de la clé secrète client logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Appareils Armis (à l’aide de Azure Functions)

Pris en charge par :Armis Corporation

Le connecteur d’appareil Armis permet d’ingérer des appareils Armis dans Microsoft Sentinel via l’API REST Armis. Pour plus d’informations, https://<YourArmisInstance>.armis.com/api/v1/docs reportez-vous à la documentation de l’API. Le connecteur permet d’obtenir des informations sur l’appareil à partir de la plateforme Armis. Armis utilise votre infrastructure existante pour découvrir et identifier les appareils sans avoir à déployer d’agents. Armis peut également s’intégrer à vos outils de gestion de la sécurité & informatiques existants pour identifier et classifier chaque appareil, géré ou non géré dans votre environnement.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Armis_Devices_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : la clé secrète Armis est requise. Consultez la documentation pour en savoir plus sur l’API sur le https://<YourArmisInstance>.armis.com/api/v1/doc

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Armis afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

REMARQUE : Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu. Suivez ces étapes pour créer l’alias de fonctions Kusto, ArmisDevice

ÉTAPE 1 : Étapes de configuration de l’API Armis

Suivez ces instructions pour créer une clé secrète API Armis.

1. Connectez-vous à votre instance Armis
2. Accédez à Paramètres -> Gestion des API
3. Si la clé secrète n’a pas encore été créée, appuyez sur le bouton Créer pour créer la clé secrète
4. Pour accéder à la touche secrète, appuyez sur le bouton Afficher
5. La clé secrète peut maintenant être copiée et utilisée pendant la configuration du connecteur d’appareil Armis

ÉTAPE 2 : Étapes d’inscription d’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution d’Armis Device Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 3 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution d’Armis Device Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution d’Armis Device Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 4 : Attribuer le rôle contributeur à l’application dans Microsoft Entra ID

Suivez les étapes de cette section pour attribuer le rôle :

1. Dans le Portail Azure, accédez à Groupe de ressources et sélectionnez votre groupe de ressources.
2. Accédez à Contrôle d’accès (IAM) à partir du volet gauche.
3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
6. Cliquez sur Ajouter des membres, tapez le nom de votre application que vous avez créée et sélectionnez-la.
7. Cliquez maintenant sur Vérifier + attribuer, puis cliquez à nouveau sur Vérifier + attribuer.

Lien de référence :/azure/role-based-access-control/role-assignments-portal

ÉTAPE 5 : Créer un coffre de clés

Suivez ces instructions pour créer un coffre de clés.

1. Dans le Portail Azure, accédez à Coffres de clés. Cliquez sur Créer.
2. Sélectionnez Subsciption, Resource Group (Groupe de ressources) et indiquez le nom unique du coffre de clés.

REMARQUE : Créez un coffre de clés distinct pour chaque clé API au sein d’un espace de travail.

ÉTAPE 6 : Créer une stratégie d’accès dans KeyVault

Suivez ces instructions pour créer une stratégie d’accès dans KeyVault.

1. Accédez aux coffres de clés, sélectionnez votre coffre de clés, puis accédez à Stratégies d’accès dans le panneau latéral gauche. Cliquez sur Créer.
2. Sélectionnez toutes les clés & autorisations de secrets. Cliquez sur Suivant.
3. Dans la section principal, recherchez par nom d’application qui a été généré à l’étape 2. Cliquez sur Suivant.

REMARQUE : Vérifiez que le modèle d’autorisation dans la configuration d’accès de Key Vault est défini sur « Stratégie d’accès au coffre »

ÉTAPE 7 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données d’appareil Armis, disposez de l’ID de l’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiées à partir de ce qui suit), ainsi que de la ou des clés d’autorisation de l’API Armis.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Armis.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les informations ci-dessous : Nom de la fonction Id de l’espace de travail Clé secrète Armis Clé secrète Armis URL (https://< armis-instance.armis.com/api/v1/>) Nom de la table de l’appareil Armis Nom du coffre de clés de planification Armis Azure ID client Azure ID de locataire de clé secrète client

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Armis Device avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, ARMISXXXXX).

   e. Sélectionnez un runtime : Choisir Python 3.11

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (respectant la casse) : ID d’espace de travail Clé secrète Armis URL Armis Clé secrète Armis (https://< armis-instance.armis.com/api/v1/>) Nom de la table d’appareil Armis Nom du coffre de coffre de coffre armis de planification Azure ID client Azure ID de locataire de la clé secrète client logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Alertes de balise Atlassian

Pris en charge par :DEFEND Ltd.

Atlassian Beacon est un produit cloud conçu pour la détection intelligente des menaces sur les plateformes Atlassian (Jira, Confluence et Atlassian Administration). Cela peut aider les utilisateurs à détecter, examiner et répondre aux activités des utilisateurs à risque pour la suite de produits Atlassian. La solution est un connecteur de données personnalisé de DEFEND Ltd. qui est utilisé pour visualiser les alertes ingérées à partir d’Atlassian Beacon pour Microsoft Sentinel via une application logique.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
atlassian_beacon_alerts_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

1. Microsoft Sentinel

1. Accédez à l’application logique « Atlassian Beacon Integration » nouvellement installée.

2. Accédez à « Concepteur d’application logique »

3. Développez « Lors de la réception d’une requête HTTP »

4. Copiez l’URL HTTP POST.

2. Balise Atlassian

1. Connectez-vous à Atlassian Beacon à l’aide d’un compte d’administrateur

2. Accédez à « Transfert SIEM » sous PARAMÈTRES

3. Collez l’URL copiée à partir de l’application logique dans la zone de texte

4. Cliquez sur le bouton « Enregistrer »

3. Test et validation

1. Connectez-vous à Atlassian Beacon à l’aide d’un compte d’administrateur

2. Accédez à « Transfert SIEM » sous PARAMÈTRES

3. Cliquez sur le bouton « Test » juste à côté du webhook nouvellement configuré

4. Accédez à Microsoft Sentinel

5. Accédez à l’application logique nouvellement installée

6. Rechercher l’exécution de l’application logique sous « Historique des exécutions »

7. Rechercher les journaux sous le nom de table « atlassian_beacon_alerts_CL » dans « Journaux »

8. Si la règle analytique a été activée, l’alerte test ci-dessus doit avoir créé un incident dans Microsoft Sentinel

---

Audit Atlassian Confluence (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Atlassian Confluence Audit permet d’ingérer des événements d’enregistrements d’audit Confluence dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ConfluenceAuditLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API Atlassian Confluence : l’autorisation Administrer Confluence est requise pour accéder à l’API Journaux d’audit Confluence. Consultez la documentation de l’API Confluence pour en savoir plus sur l’API d’audit.

Instructions d’installation :

Connectez-vous à l’API Atlassian Confluence pour commencer à collecter les journaux d’audit dans Microsoft Sentinel

Pour activer le connecteur Atlassian Confluence pour Microsoft Sentinel, cliquez pour ajouter un organization, remplissez le formulaire avec les informations d’identification de l’environnement Confluence, puis cliquez sur Se connecter. Procédez comme suit pour créer un jeton d’API.

• Grille des connecteurs de données (configurer dans le portail)

---

Atlassian Jira Audit (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données Atlassian Jira Audit permet d’ingérer des événements Jira Audit Records dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Jira_Audit_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : JiraAccessToken, JiraUsername est requis pour l’API REST. Pour plus d’informations, consultez API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API REST Jira afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

REMARQUE : Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu. Suivez ces étapes pour créer l’alias de fonctions Kusto, JiraAudit

ÉTAPE 1 : Étapes de configuration pour l’API Jira

Suivez les instructions pour obtenir les informations d’identification.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données d’espace de travail, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (peut être copiée à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Jira Audit à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez JiraAccessToken, JiraUsername, JiraHomeSiteName (composant nom de site court, comme exemple HOMESITENAME de https://community.atlassian.com) et déployez. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Jira Audit avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, JiraAuditXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

3. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Atlassian Jira Audit (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Atlassian Jira Audit permet d’ingérer des événements Jira Audit Records dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Jira_Audit_v2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API Atlassian Jira : l’autorisation Administrer Jira est requise pour accéder à l’API journaux d’audit Jira. Consultez la documentation de l’API Jira pour en savoir plus sur l’API d’audit.

Instructions d’installation :

Pour activer le connecteur Atlassian Jira pour Microsoft Sentinel, cliquez pour ajouter un organization, remplissez le formulaire avec les informations d’identification de l’environnement Jira, puis cliquez sur Se connecter. Procédez comme suit pour créer un jeton d’API.

• Grille des connecteurs de données (configurer dans le portail)

---

Journaux d’authentification (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Auth0 permet d’ingérer des journaux d’activité de l’API Auth0 dans Microsoft Sentinel. Le connecteur de données repose sur Microsoft Sentinel framework de connecteur sans code. Il utilise l’API Auth0 pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de les analyser à nouveau, ce qui améliore les performances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Auth0Logs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

ÉTAPE 1 : Étapes de configuration de l’API de gestion d’authentification

Suivez les instructions pour obtenir les informations d’identification.

1. Dans le tableau de bord Auth0, accédez à [Applications > Applications]
2. Sélectionnez votre application. Il doit s’agir d’une application [machine à ordinateur] configurée avec au moins les autorisations [read :logs] et [read :logs_users].
3. Copier [Domaine, ClientID, Clé secrète client]

• URL de l’API de base : (https://example.auth0.com)
• ID client : (ID client)
• Clé secrète client : (jeton d’API)
• Activer/désactiver la connexion

---

WebCTRL de logique automatisée

Pris en charge par :Microsoft Corporation

Vous pouvez diffuser en continu les journaux d’audit à partir du serveur SQL WebCTRL hébergé sur des machines Windows connectées à votre Microsoft Sentinel. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Cela donne des insights sur vos systèmes de contrôle industriel qui sont surveillés ou contrôlés par l’application WebCTRL BAS.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Event	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

1. Installez et intégrez l’agent Microsoft pour Windows.

Découvrez la configuration de l’agent et l’intégration des événements Windows.

Vous pouvez ignorer cette étape si vous avez déjà installé l’agent Microsoft pour Windows

2. Configurer la tâche Windows pour lire les données d’audit et les écrire dans des événements Windows

Installez et configurez la tâche planifiée Windows pour lire les journaux d’audit dans SQL et les écrire en tant qu’événements Windows. Ces événements Windows sont collectés par l’agent et transférés à Microsoft Sentinel.

Notez que les données de toutes les machines seront stockées dans l’espace de travail sélectionné

2.1 Copiez les fichiers d’installation vers un emplacement sur le serveur.

2.2 Mettez à jour les paramètres de script ALC-WebCTRL-AuditPull.ps1 (copiés à l’étape ci-dessus), comme le nom de la base de données cible et l’ID d’événement Windows. Pour plus d’informations, reportez-vous aux commentaires du script.

2.3 Mettez à jour les paramètres de tâche Windows dans le fichier ALC-WebCTRL-AuditPullTaskConfig.xml qui a été copié à l’étape ci-dessus en fonction des exigences. Pour plus d’informations, reportez-vous aux commentaires du fichier.

2.4 Installer des tâches Windows à l’aide des configurations mises à jour copiées dans les étapes ci-dessus

• Exécutez la commande suivante dans PowerShell à partir du répertoire où les fichiers d’installation sont copiés à l’étape 2.1 : <valeur de variable fournie au moment de l’installation>

3. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour case activée si les journaux sont reçus à l’aide du schéma d’événement.

La connexion peut prendre environ 20 minutes avant que la connexion diffuse des données vers votre espace de travail.

Si les journaux ne sont pas reçus, vérifiez les étapes ci-dessous pour tout problème d’exécution :

1. Assurez-vous que la tâche planifiée est créée et qu’elle est en cours d’exécution dans le Planificateur de tâches Windows.

2. Rechercher les erreurs d’exécution des tâches dans l’onglet Historique du Planificateur de tâches Windows pour la tâche nouvellement créée à l’étape 2.4

3. Assurez-vous que la table d’audit SQL contient de nouveaux enregistrements pendant l’exécution de la tâche Windows planifiée.

---

Connecteur de données AWS EKS (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données AWS EKS permet d’ingérer les journaux d’audit d’Amazon Elastic Kubernetes Service dans Microsoft Sentinel. Ce connecteur se concentre sur les journaux d’audit EKS (format JSON) qui contiennent des informations détaillées sur les demandes de serveur d’API, les décisions d’authentification et les activités de cluster. Le connecteur utilise AWS SQS pour recevoir des notifications lorsque de nouveaux fichiers journaux d’audit sont exportés vers S3, garantissant ainsi la surveillance de la sécurité et le suivi de la conformité en temps réel pour vos clusters Kubernetes.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSEKSLogs_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

1. Déploiement d’AWS CloudFormation

Utilisez les modèles CloudFormation fournis pour configurer l’environnement AWS pour l’envoi de journaux à partir d’AWS EKS à votre espace de travail Log Analytics.

Déployer des modèles CloudFormation dans AWS :

1. Accédez à AWS CloudFormation Stacks.
2. Cliquez sur Créer une pile, puis sélectionnez Avec de nouvelles ressources.
3. Choisissez Charger un fichier de modèle, puis cliquez sur Choisir un fichier pour charger le modèle CloudFormation approprié (modèle 1 et 2 ci-dessous) fourni.
4. Suivez les invites et cliquez sur Suivant pour terminer la création de la pile.
5. Une fois les piles créées, accédez à la section Sorties . Exécutez les scripts à l’étape 1 et 2 à partir de la section de sortie. Ils diffusent le journal de eks vers sqs.
6. Dans la même section des sorties, notez l’URL d’ARN de rôle et de file d’attente SQS qui seront utilisées dans le connecteur de connexion.

• Modèle 1 : Déploiement du fournisseur d’authentification OpenID Connect : <valeur de variable fournie au moment de l’installation>
• Modèle 2 : Déploiement des ressources AWS EKS : <valeur de variable fournie au moment de l’installation>

2. Connecter de nouveaux collecteurs

Pour activer le connecteur AWS Security Hub pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

• SentinelRoleArn : (ARN du rôle AWS IAM pour l’accès entre comptes (par exemple, arn :aws :iam ::123456789012 :role/SentinelRole))
• SentinelSQSQueueURL : (URL complète de la file d’attente AWS EKS (par exemple, https://sqs.region.amazonaws.com/account-id/queue-name))

3. Se connecter

Activez le connecteur AWS EKS.

• Activer/désactiver la connexion

---

Journaux d’accès au serveur AWS S3 (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Ce connecteur vous permet d’ingérer les journaux d’accès au serveur AWS S3 dans Microsoft Sentinel. Ces journaux contiennent des enregistrements détaillés pour les demandes adressées aux compartiments S3, notamment le type de demande, la ressource consultée, les informations du demandeur et les détails de la réponse. Ces journaux sont utiles pour analyser les modèles d’accès, déboguer les problèmes et garantir la conformité de la sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSS3ServerAccess	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Environnement : les ressources AWS suivantes doivent être définies et configurées : Compartiment S3, Service de file d’attente simple (SQS), rôles IAM et stratégies d’autorisations.

Instructions d’installation :

1. Déploiement AWS CloudFormation Pour configurer l’accès sur AWS, deux modèles ont été générés pour configurer l’environnement AWS afin d’envoyer les journaux d’accès d’un serveur AWS S3 à votre espace de travail Log Analytics.

Déployer des modèles CloudFormation dans AWS :

1. Accédez à AWS CloudFormation Stacks.
2. Cliquez sur Créer une pile, puis sélectionnez Avec de nouvelles ressources.
3. Choisissez Charger un fichier de modèle, puis cliquez sur Choisir un fichier pour charger le modèle CloudFormation approprié fourni.
4. Suivez les invites et cliquez sur Suivant pour terminer la création de la pile.
5. Une fois les piles créées, notez l’URL de file d’attente DU rôle ARN et SQS.

• Modèle 1 : Déploiement du fournisseur d’authentification OpenID Connect : <valeur de variable fournie au moment de l’installation>
• Modèle 2 : Déploiement des ressources d’accès au serveur AWS : <valeur de variable fournie au moment de l’installation>

2. Connecter de nouveaux collecteurs Pour activer aws S3 Server Access Logs Connector pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

Résultats d’AWS Security Hub (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Ce connecteur permet l’ingestion des résultats d’AWS Security Hub, qui sont collectés dans des compartiments AWS S3, dans Microsoft Sentinel. Il permet de simplifier le processus de surveillance et de gestion des alertes de sécurité en intégrant les résultats d’AWS Security Hub aux fonctionnalités avancées de détection et de réponse aux menaces de Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AWSSecurityHubFindings	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Environnement : les ressources AWS suivantes doivent être définies et configurées : AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, compartiment S3, service de file d’attente simple (SQS), rôles IAM et stratégies d’autorisations.

Instructions d’installation :

1. Déploiement AWS CloudFormation Utilisez les modèles CloudFormation fournis pour configurer l’environnement AWS pour l’envoi de journaux d’AWS Security Hub à votre espace de travail Log Analytics.

Déployer des modèles CloudFormation dans AWS :

1. Accédez à AWS CloudFormation Stacks.
2. Cliquez sur Créer une pile, puis sélectionnez Avec de nouvelles ressources.
3. Choisissez Charger un fichier de modèle, puis cliquez sur Choisir un fichier pour charger le modèle CloudFormation approprié fourni.
4. Suivez les invites et cliquez sur Suivant pour terminer la création de la pile.
5. Une fois les piles créées, notez l’URL de file d’attente DU rôle ARN et SQS.

• Modèle 1 : Déploiement du fournisseur d’authentification OpenID Connect : <valeur de variable fournie au moment de l’installation>
• Modèle 2 : Déploiement des ressources AWS Security Hub : <valeur de variable fournie au moment de l’installation>

2. Connecter de nouveaux collecteurs Pour activer le connecteur AWS Security Hub pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

activité Azure

Pris en charge par :Microsoft Corporation

Azure journal d’activité est un journal d’abonnement qui fournit des informations sur les événements au niveau de l’abonnement qui se produisent dans Azure, y compris les événements provenant de Azure Resource Manager données opérationnelles, les événements d’intégrité du service, les opérations d’écriture effectuées sur les ressources de votre abonnement et la status des activités effectuées dans Azure. Pour plus d’informations, consultez la documentation Microsoft Sentinel .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureActivity	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

compte Azure Batch

Pris en charge par :Microsoft Corporation

Azure Batch Account est une entité identifiée de manière unique au sein du service Batch. La plupart des solutions Batch utilisent stockage Azure pour stocker les fichiers de ressources et les fichiers de sortie, de sorte que chaque compte Batch est généralement associé à un compte de stockage correspondant. Ce connecteur vous permet de diffuser en continu votre compte Azure Batch diagnostics journaux dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie

Instructions d’installation :

Connectez votre compte Azure Batch diagnostics à Sentinel.

Ce connecteur utilise Azure Policy pour appliquer une seule Azure Batch configuration de streaming de journaux de compte à une collection d’instances, définie en tant qu’étendue. Suivez les instructions ci-dessous pour créer et appliquer une stratégie à toutes les instances actuelles et futures. Notez que vous disposez peut-être déjà d’une stratégie active pour ce type de ressource.

Stream diagnostics des journaux à partir de votre compte Azure Batch à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

---

Azure CloudNGFW by Palo Alto Networks

Pris en charge par :Palo Alto Networks

Cloud Next-Generation Firewall by Palo Alto Networks ( un service isv natif Azure ) est palo Alto Networks Next-Generation Firewall (NGFW) fourni en tant que service natif cloud sur Azure. Vous pouvez découvrir cloud NGFW dans la place de marché Azure et l’utiliser dans vos réseaux virtuels Azure. Avec Cloud NGFW, vous pouvez accéder aux principales fonctionnalités NGFW telles que l’ID d’application et les technologies basées sur le filtrage d’URL. Il assure la prévention et la détection des menaces par le biais de services de sécurité fournis dans le cloud et de signatures de prévention des menaces. Le connecteur vous permet de connecter facilement vos journaux CLOUD NGFW à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Cela vous donne plus d’informations sur le réseau de votre organization et améliore vos fonctionnalités d’opération de sécurité. Pour plus d’informations, consultez la documentation cloud NGFW pour Azure.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
fluentbit_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter Cloud NGFW by Palo Alto Networks à Microsoft Sentinel

Activez les paramètres de journal sur tous les NGFW cloud de Palo Alto Networks.

À l’intérieur de votre ressource CLOUD NGFW :

1. Accédez aux paramètres du journal à partir de la page d’accueil.
2. Vérifiez que la case Activer les paramètres de journal est cochée.
3. Dans la liste déroulante Paramètres du journal , choisissez l’espace de travail Log Analytics souhaité.
4. Confirmez vos sélections et configurations.
5. Cliquez sur Enregistrer pour appliquer les paramètres.

---

Recherche cognitive Azure

Pris en charge par :Microsoft Corporation

Recherche cognitive Azure est un service de recherche cloud qui fournit aux développeurs une infrastructure, des API et des outils pour créer une expérience de recherche enrichie sur du contenu privé hétérogène dans les applications web, mobiles et d’entreprise. Ce connecteur vous permet de diffuser en continu vos journaux Recherche cognitive Azure diagnostics dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie

Instructions d’installation :

Connectez vos journaux Recherche cognitive Azure diagnostics à Sentinel.

Ce connecteur utilise Azure Policy pour appliquer une seule Recherche cognitive Azure configuration de streaming de journaux à une collection d’instances, définie en tant qu’étendue. Suivez les instructions ci-dessous pour créer et appliquer une stratégie à toutes les instances actuelles et futures. Notez que vous disposez peut-être déjà d’une stratégie active pour ce type de ressource.

Stream diagnostics les journaux de votre Recherche cognitive Azure à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

---

protection DDoS Azure

Pris en charge par :Microsoft Corporation

Connectez-vous à Azure journaux DDoS Protection Standard via les journaux de diagnostic d’adresse IP publique. En plus de la protection DDoS de base dans la plateforme, Azure protection DDoS Standard fournit des fonctionnalités avancées d’atténuation DDoS contre les attaques réseau. Il est automatiquement paramétré pour protéger vos ressources Azure spécifiques. La protection est simple à activer lors de la création de nouveaux réseaux virtuels. Elle peut également être effectuée après la création et ne nécessite aucune modification de l’application ou des ressources. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

Azure journaux d’audit DevOps (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Azure Les journaux d’audit DevOps vous permet d’ingérer des événements d’audit de Azure DevOps dans Microsoft Sentinel. Ce connecteur de données est créé à l’aide de l’infrastructure de connecteur sans code Microsoft Sentinel, ce qui garantit une intégration transparente. Il tire parti de l’API Azure Journaux d’audit DevOps pour extraire des événements d’audit détaillés et prend en charge les transformations de temps d’ingestion basées sur DCR. Ces transformations permettent l’analyse des données d’audit reçues dans une table personnalisée pendant l’ingestion, ce qui améliore les performances des requêtes en éliminant la nécessité d’une analyse supplémentaire. En utilisant ce connecteur, vous pouvez améliorer la visibilité de votre environnement Azure DevOps et simplifier vos opérations de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ADOAuditLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Prérequis DevOps : vérifiez les points suivants :
  1. Inscrivez une application Entra dans Microsoft Entra Administration Center sous Inscriptions d’applications.
  2. Dans « Autorisations d’API », ajoutez autorisations à « Azure DevOps - vso.auditlog ».
  3. Dans « Certificats & secrets », générez « Clé secrète client ».
  4. Dans « Authentification », ajoutez l’URI de redirection ci-dessous dans le champ correspondant.
  5. Dans le Azure paramètres DevOps, activez le journal d’audit et définissez Afficher le journal d’audit pour l’utilisateur. Azure Audit DevOps.
  6. Vérifiez que l’utilisateur affecté à la connexion du connecteur de données dispose de l’autorisation Afficher les journaux d’audit explicitement définie sur Autoriser à tout moment. Cette autorisation est essentielle pour la réussite de l’ingestion des journaux. Si l’autorisation est révoquée ou non accordée, l’ingestion des données échoue ou est interrompue.

Instructions d’installation :

**Connectez-vous à Azure DevOps pour commencer à collecter les journaux d’audit dans Microsoft Sentinel. **

1. Entrez l’application que vous avez inscrite.
2. Dans la section « Vue d’ensemble », copiez l’ID d’application (client).
3. Sélectionnez le bouton « Points de terminaison », puis copiez la valeur « Point de terminaison d’autorisation OAuth 2.0 (v2) » et la valeur « Point de terminaison de jeton OAuth 2.0 (v2) ».
4. Dans la section « Certificats & secrets », copiez la « valeur de clé secrète client » et stockez-la en toute sécurité.
5. Fournissez les informations requises ci-dessous, puis cliquez sur « Se connecter ».

• Point de terminaison de jeton : ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
• Point de terminaison d’autorisation : ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
• Point de terminaison d’API : (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)

---

Azure Event Hub

Pris en charge par :Microsoft Corporation

Azure Event Hubs est une plateforme de streaming Big Data et un service d’ingestion d’événements. Il peut recevoir et traiter des millions d’événements par seconde. Ce connecteur vous permet de diffuser en continu vos journaux Azure Event Hub diagnostics dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie

Instructions d’installation :

Connectez vos journaux d’diagnostics Event Hub Azure à Sentinel.

Ce connecteur utilise Azure Policy pour appliquer une seule Azure configuration de streaming de journaux Event Hub à une collection d’instances, définie comme une étendue. Suivez les instructions ci-dessous pour créer et appliquer une stratégie à toutes les instances actuelles et futures. Notez que vous disposez peut-être déjà d’une stratégie active pour ce type de ressource.

Stream diagnostics journaux à partir de votre Azure Event Hub à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

---

Pare-feu Azure

Pris en charge par :Microsoft Corporation

Connectez-vous à Pare-feu Azure. Pare-feu Azure est un service de sécurité réseau cloud managé qui protège vos ressources Azure Réseau virtuel. Il s’agit d’un pare-feu en tant que service avec état avec une haute disponibilité intégrée et une scalabilité cloud illimitée. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non
AZFWApplicationRule	Oui	Oui
AZFWFlowTrace	Oui	Oui
AZFWFatFlow	Oui	Oui
AZFWNatRule	Oui	Oui
AZFWDnsQuery	Oui	Oui
AZFWIdpsSignature	Oui	Oui
AZFWInternalFqdnResolutionFailure	Oui	Oui
AZFWNetworkRule	Oui	Oui
AZFWThreatIntel	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Azure Key Vault

Pris en charge par :Microsoft Corporation

Azure Key Vault est un service cloud pour le stockage et l’accès sécurisés aux secrets. Un secret est tout ce que vous souhaitez contrôler étroitement l’accès, comme les clés API, les mots de passe, les certificats ou les clés de chiffrement. Ce connecteur vous permet de diffuser en continu vos journaux Azure Key Vault diagnostics dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité dans toutes vos instances. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

Azure Kubernetes Service (AKS)

Pris en charge par :Microsoft Corporation

Azure Kubernetes Service (AKS) est un service d’orchestration de conteneurs open source entièrement managé qui vous permet de déployer, de mettre à l’échelle et de gérer des conteneurs Docker et des applications basées sur des conteneurs dans un environnement de cluster. Ce connecteur vous permet de diffuser en continu vos journaux d’diagnostics Azure Kubernetes Service (AKS) dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité dans toutes vos instances. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

Azure Logic Apps

Pris en charge par :Microsoft Corporation

Azure Logic Apps est une plateforme cloud permettant de créer et d’exécuter des workflows automatisés qui intègrent vos applications, données, services et systèmes. Ce connecteur vous permet de diffuser en continu vos journaux Azure Logic Apps diagnostics dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie

Instructions d’installation :

Connectez vos journaux d’diagnostics Logic Apps à Sentinel.

Ce connecteur utilise Azure Policy pour appliquer une seule Azure configuration de streaming de journaux Logic Apps à une collection d’instances, définie en tant qu’étendue. Suivez les instructions ci-dessous pour créer et appliquer une stratégie à toutes les instances actuelles et futures. Notez que vous disposez peut-être déjà d’une stratégie active pour ce type de ressource.

Stream diagnostics les journaux de votre Azure Logic Apps à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

---

Azure Resource Graph

Pris en charge par :Microsoft Corporation

Azure Resource Graph connecteur fournit des informations plus détaillées sur les événements Azure en ajoutant des détails sur les abonnements Azure et les ressources Azure.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Stratégie : autorisation de rôle propriétaire sur les abonnements Azure

Instructions d’installation :

Connecter Azure Resource Graph à Microsoft Sentinel

---

Azure Service Bus

Pris en charge par :Microsoft Corporation

Azure Service Bus est un répartiteur de messages d’entreprise entièrement managé avec des files d’attente de messages et des rubriques de publication/abonnement (dans un espace de noms). Ce connecteur vous permet de diffuser en continu vos journaux Azure Service Bus diagnostics dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie

Instructions d’installation :

Connectez vos journaux Azure Service Bus diagnostics à Sentinel.

Ce connecteur utilise Azure Policy pour appliquer une configuration de streaming de journaux d’activité unique Azure Service Bus à une collection d’instances, définie en tant qu’étendue. Suivez les instructions ci-dessous pour créer et appliquer une stratégie à toutes les instances actuelles et futures. Notez que vous disposez peut-être déjà d’une stratégie active pour ce type de ressource.

Stream diagnostics les journaux de votre Azure Service Bus à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

---

bases de données Azure SQL

Pris en charge par :Microsoft Corporation

Azure SQL est un moteur de base de données PaaS (Platform-as-a-Service) complètement managé qui gère la plupart des fonctions de gestion de base de données, telles que la mise à niveau, la mise à jour corrective, les sauvegardes et la surveillance, sans intervention de l’utilisateur. Ce connecteur vous permet de diffuser en continu vos journaux d’audit et de diagnostic Azure SQL bases de données dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité dans toutes vos instances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

compte de stockage Azure

Pris en charge par :Microsoft Corporation

Azure compte de stockage est une solution cloud pour les scénarios de stockage de données modernes. Il contient tous vos objets de données : objets blob, fichiers, files d’attente, tables et disques. Ce connecteur vous permet de diffuser en continu Azure comptes de stockage diagnostics journaux dans votre espace de travail Microsoft Sentinel, ce qui vous permet de surveiller en permanence l’activité dans toutes vos instances et de détecter les activités malveillantes dans votre organization. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureMetrics	Non	Non
StorageBlobLogs	Oui	Oui
StorageQueueLogs	Oui	Oui
StorageTableLogs	Oui	Oui
StorageFileLogs	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie

Instructions d’installation :

Connectez votre compte de stockage Azure diagnostics à Sentinel.

Ce connecteur utilise un ensemble de stratégies de Azure pour appliquer une configuration de streaming de journaux à une collection d’instances, définie comme une étendue. Suivez les instructions ci-dessous pour créer et appliquer des stratégies à toutes les instances actuelles et futures. Pour tirer le meilleur parti de la journalisation des diagnostics du compte de stockage à partir du compte de stockage Azure, nous vous recommandons d’activer la journalisation des diagnostics à partir de tous les services du compte de stockage Azure ( Blob, File d’attente, Table et Fichier). Notez que vous disposez peut-être déjà d’une stratégie active pour ce type de ressource.

Stream diagnostics des journaux à partir de votre compte de stockage Azure à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

Stream diagnostics les journaux à partir de votre service Blob stockage Azure à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

Stream diagnostics des journaux à partir de votre service file d’attente de stockage Azure à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

Stream diagnostics les journaux à partir de votre service table de stockage Azure à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

Stream diagnostics des journaux à partir de votre service de fichiers de stockage Azure à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

---

Azure Stream Analytics

Pris en charge par :Microsoft Corporation

Azure Stream Analytics est un moteur d'analyse en temps réel et de traitement d'événements complexes conçu pour analyser et traiter de gros volumes de données rapides en continu provenant de plusieurs sources simultanément. Ce connecteur vous permet de diffuser en continu votre hub Azure Stream Analytics diagnostics journaux dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie

Instructions d’installation :

Connectez vos journaux diagnostics Azure Stream Analytics à Sentinel.

Ce connecteur utilise Azure Policy pour appliquer une seule configuration de streaming de journaux Azure Stream Analytics à une collection d’instances, définie comme une étendue. Suivez les instructions ci-dessous pour créer et appliquer une stratégie à toutes les instances actuelles et futures. Notez que vous disposez peut-être déjà d’une stratégie active pour ce type de ressource.

Stream diagnostics les journaux de votre Azure Stream Analytics à grande échelle

**Lancez l’Assistant Affectation Azure Policy et suivez les étapes. **

1. Sous l’onglet Informations de base, cliquez sur le bouton avec les trois points sous Étendue pour sélectionner votre abonnement.
2. Sous l’onglet Paramètres, choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics, puis laissez marqué « True » toutes les catégories de journaux que vous souhaitez ingérer.
3. Pour appliquer la stratégie sur vos ressources existantes, marquez la zone Créer une tâche de correction case activée dans l’onglet Correction.

---

Azure Web Application Firewall (WAF)

Pris en charge par :Microsoft Corporation

Connectez-vous au Azure Web Application Firewall (WAF) pour Application Gateway, Front Door ou CDN. Ce WAF protège vos applications contre les vulnérabilités web courantes telles que l’injection de code SQL et les scripts intersites, et vous permet de personnaliser les règles pour réduire les faux positifs. Des instructions pour diffuser en continu vos journaux de pare-feu d’applications web Microsoft dans Microsoft Sentinel sont affichées pendant le processus d’installation. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

BETTER Mobile Threat Defense (MTD)

Pris en charge par :Better Mobile Security Inc.

Better MTD Connector permet aux entreprises de connecter leurs instances Better MTD à Microsoft Sentinel, d’afficher leurs données dans des tableaux de bord, de créer des alertes personnalisées, de les utiliser pour déclencher des playbooks et d’étendre les fonctionnalités de chasse aux menaces. Cela donne aux utilisateurs plus d’informations sur les appareils mobiles de leur organization et la possibilité d’analyser rapidement la posture de sécurité mobile actuelle, ce qui améliore leurs fonctionnalités SecOps globales.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
BetterMTDIncidentLog_CL	Non	Non
BetterMTDDeviceLog_CL	Non	Non
BetterMTDNetflowLog_CL	Non	Non
BetterMTDAppLog_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

1. Dans Better MTD Console, cliquez sur Intégration dans la barre latérale.
2. Sélectionnez l’onglet Autres .
3. Cliquez sur le bouton AJOUTER UN COMPTE, puis sélectionnez Microsoft Sentinel parmi les intégrations disponibles.
4. Créez l’intégration :

• définir ACCOUNT NAME sur un nom descriptif qui identifie l’intégration, puis cliquez sur Suivant
• Entrez votre WORKSPACE ID et PRIMARY KEY , dans les champs ci-dessous, cliquez sur Enregistrer
• Cliquez sur Terminé.

5. Configuration de la stratégie de menace (quels incidents doivent être signalés) Microsoft Sentinel:

• Dans La console Better MTD, cliquez sur Stratégies dans la barre latérale.
• Cliquez sur le bouton Modifier de la stratégie que vous utilisez.
• Pour chaque type d’incident que vous souhaitez journaliser, accédez au champ Envoyer aux intégrations et sélectionnez Sentinel

6. Pour plus d’informations, consultez notre documentation.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

BeyondTrust PM Cloud

Pris en charge par :BeyondTrust

Le connecteur de données BeyondTrust Privilege Management Cloud permet d’ingérer des journaux d’audit d’activité et des journaux d’événements client à partir de BeyondTrust PM Cloud dans Microsoft Sentinel.

Ce connecteur utilise Azure Functions pour extraire des données de l’API Cloud BeyondTrust PM et les ingérer dans des tables Log Analytics personnalisées.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
BeyondTrustPM_ActivityAudits_CL	Oui	Oui
BeyondTrustPM_ClientEvents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification de l’API cloud BeyondTrust PM : l’ID client OAuth et la clé secrète client BeyondTrust PM Cloud sont requis. Le compte d’API nécessite les autorisations suivantes : Audit - Lecture seule et Création de rapports - Lecture seule

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Cloud BeyondTrust PM afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

NOTE: Ce connecteur utilise le flux d’informations d’identification du client OAuth 2.0 pour s’authentifier auprès de l’API cloud BeyondTrust PM.

ÉTAPE 1 : Obtenir les informations d’identification de l’API Cloud BeyondTrust PM

Créez un compte d’API dans votre instance cloud BeyondTrust PM avec les informations d’identification de l’API OAuth (ID client et clé secrète client). Le compte d’API nécessite les autorisations suivantes :

• Audit - Lecture seule
• Création de rapports - Lecture seule

ÉTAPE 2 : Déployer le connecteur et la fonction Azure associée

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Cloud BeyondTrust PM à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   portal.azure.com

2. Sélectionnez l’abonnement, le groupe de ressources (doit contenir votre espace de travail Log Analytics) et l’emplacement par défaut.

3. Entrez les paramètres requis :

   • Nom de l’espace de travail : nom de votre espace de travail Log Analytics (par exemple, beyondtrust-pmcloud)
   • BeyondTrust PM Cloud Base URL : URL de votre locataire (par exemple, https://yourcompany.beyondtrustcloud.com)
   • BeyondTrust Client ID : ID client OAuth de l’étape 1
   • Clé secrète client BeyondTrust : clé secrète client OAuth de l’étape 1
   • Intervalle d’interrogation des audits d’activité : fréquence de collecte des audits d’activité (par défaut : 15 minutes)
   • Intervalle d’interrogation des événements client : fréquence de collecte des événements client (par défaut : 5 minutes)
   • Niveau de journalisation : niveau de journalisation pour la résolution des problèmes (par défaut : Informations)
   • Période des données historiques : date de collecte des données lors de la première exécution (par défaut : 1 jour)

4. Passez en revue les paramètres avancés (référence SKU du plan d’hébergement, type de compte de stockage) et ajustez-les si nécessaire.

5. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

6. Cliquez sur Acheter pour déployer.

7. Le déploiement crée toutes les ressources nécessaires : application de fonction, compte de stockage, point de terminaison de collecte de données, règles de collecte de données et tables Log Analytics personnalisées.

8. Les données doivent commencer à circuler dans les 15 à 30 minutes suivant le déploiement.

---

Connecteur DSPM BigID

Pris en charge par :BigID

Le connecteur de données BigID DSPM permet d’ingérer des cas bigID DSPM avec des objets affectés et des informations de source de données dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
BigIDDSPMCatalog_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API BigID DSPM : l’accès à l’API BigID DSPM via un jeton BigID est requis.

Instructions d’installation :

Connectez-vous à l’API BigID DSPM pour commencer à collecter les cas de DSPM BigID et les objets affectés dans Microsoft Sentinel

Indiquez votre nom de domaine BigID comme « customer.bigid.cloud » et votre jeton BigID. Générez un jeton dans la console BigID via Paramètres -> Gestion des accès -> Utilisateurs -> Sélectionner un utilisateur et générer un jeton.

• Nom de domaine complet BigID : (Nom de domaine complet BigID)
• Jeton BigID : (Jeton BigID)
• Activer/désactiver la connexion

---

Bitglass (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données Bitglass permet de récupérer les journaux des événements de sécurité des services Bitglass et d’autres événements dans Microsoft Sentinel via l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
BitglassLogs_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : BitglassToken et BitglassServiceURL sont nécessaires pour effectuer des appels d’API.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Stockage Blob Azure afin d’extraire des journaux dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure coûts. Pour plus d’informations, consultez la page de tarification Azure Functions et Stockage Blob Azure page de tarification.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu Bitglass, qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Étapes de configuration pour l’API de récupération des journaux Bitglass

Suivez les instructions pour obtenir les informations d’identification.

1. Contactez le support Bitglass et obtenez les ntations BitglassToken et BitglassServiceURL ].
2. Enregistrez les informations d’identification à utiliser dans le connecteur de données.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Bitglass, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Bitglass à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez BitglassToken, BitglassServiceURL et déployez. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Bitglass avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, BitglassXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Journaux des événements Bitwarden

Pris en charge par :Bitwarden Inc

Ce connecteur fournit des informations sur l’activité de votre organization Bitwarden, comme l’activité de l’utilisateur (connexion, changement de mot de passe, 2fa, etc.), l’activité de chiffrement (créée, mise à jour, supprimée, partagée, etc.), l’activité de collecte, l’activité organization, etc.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
BitwardenEventLogs	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Id client bitwarden et clé secrète client : votre clé API se trouve dans la console d’administration bitwarden organization. Pour plus d’informations , consultez la documentation Bitwarden .

Instructions d’installation :

Connecter les journaux des événements bitwarden à Microsoft Sentinel

Votre clé API se trouve dans la console d’administration bitwarden organization. Pour plus d’informations , consultez la documentation Bitwarden . Les serveurs Bitwarden auto-hébergés peuvent avoir besoin de reconfigurer l’URL de leur installation.

• URL de l’identité bitwarden : (https://identity.bitwarden.com)
• URL de l’API Bitwarden : (https://api.bitwarden.com)

---

blacklens.io

Pris en charge par :blacklens.io Support

Le connecteur de données blacklens.io vous permet d’ingérer des alertes de gestion des surfaces d’attaque de blacklens.io dans Microsoft Sentinel à l’aide d’une application logique webhook et de l’API d’ingestion des journaux Azure Monitor.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
blacklens_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Abonnement Azure : les autorisations Contributeur ou Propriétaire sur le groupe de ressources sont nécessaires pour déployer l’infrastructure d’ingestion de données (point de terminaison de collecte de données, règle de collecte de données, table personnalisée et application logique).
• compte blacklens.io : un compte blacklens.io avec des fonctionnalités d’intégration de webhook est requis.

Instructions d’installation :

Étape 1 : Déployer l’infrastructure d’ingestion de données

Cette étape déploie les ressources Azure requises : un point de terminaison de collecte de données, une règle de collecte de données, une table Log Analytics personnalisée (blacklens_CL) et une application logique déclenchée par webhook.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   portal.azure.com

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement où réside votre espace de travail Microsoft Sentinel.

3. Entrez le nom de l’espace de travail de votre espace de travail Log Analytics.

4. Cliquez sur Vérifier + créer, puis sur Créer.

Étape 2 : Copier l’URL du webhook

1. Une fois le déploiement réussi, cliquez sur l’onglet Sorties de la page de déploiement.
2. Copiez la valeur webhookUrl .

Vous pouvez également accéder à Vue d’ensemble de Logic Apps >la-blacklens-alert-log-ingestion> et copier l’URL du flux de travail.

Étape 3 : Configurer blacklens.io

1. Connectez-vous au portail blacklens.io.
2. Accédez aux paramètres d’intégration du webhook.
3. Collez l’URL du webhook copiée à l’étape 2.
4. Enregistrez la configuration.
5. Liez l’intégration du webhook à au moins une stratégie de notification afin que les alertes soient envoyées au webhook.

Après quelques minutes, un incident de test doit apparaître dans Microsoft Sentinel.

---

Box (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données Box permet d’ingérer des événements d’entreprise Box dans Microsoft Sentinel à l’aide de l’API REST Box. Pour plus d’informations, reportez-vous à la documentation box .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
BoxEvents_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification de l’API Box : le fichier JSON de configuration Box est requis pour l’authentification JWT de l’API REST Box. Pour plus d’informations, consultez Authentification JWT.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API REST Box afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur dépend d’un analyseur basé sur kusto Function pour fonctionner comme prévu BoxEvents qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Configuration de la collection d’événements Box

Consultez la documentation pour configurer l’authentification JWT et obtenir un fichier JSON avec des informations d’identification.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Box, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du fichier de configuration JSON Box, facilement disponibles.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Box à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez azureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Box avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Événements Box (CCF)

Pris en charge par :Microsoft Corporation

Le connecteur de données Box permet d’ingérer des événements d’entreprise Box dans Microsoft Sentinel à l’aide de l’API REST Box. Pour plus d’informations, reportez-vous à la documentation box .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
BoxEventsV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Informations d’identification de l’API Box : l’API Box nécessite un ID client d’application Box et une clé secrète client pour s’authentifier. Pour plus d’informations, consultez Octroi d’informations d’identification du client
• Id d’entreprise Box : l’ID Box Enterprise est requis pour établir la connexion. Consultez la documentation pour trouver l’ID d’entreprise

Instructions d’installation :

NOTE: Ce connecteur utilise Connecor Platform (CCF) sans code pour se connecter à l’API REST Box afin d’extraire les journaux dans Microsoft Sentinel.

NOTE: Ce connecteur dépend d’un analyseur basé sur kusto Function pour fonctionner comme prévu BoxEvents qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Créer une application personnalisée Box

Consultez la documentation pour configurer l’authentification des informations d’identification du client

ÉTAPE 2 : Récupérer les valeurs d’ID client et de clé secrète client

Vous devrez peut-être configurer 2FA pour récupérer le secret.

ÉTAPE 3 : Saisir l’ID d’entreprise Box à partir de Box Administration Console

Consultez la documentation pour trouver l’ID d’entreprise

Connectez-vous à Box pour commencer à collecter les journaux des événements sur Microsoft Sentinel

Fournissez les valeurs requises ci-dessous :

• Id d’entreprise Box : (123456)

---

connecteur CNAPP Check Point CloudGuard pour Microsoft Sentinel

Pris en charge par :Check Point

Le connecteur de données CloudGuard permet l’ingestion d’événements de sécurité à partir de l’API CloudGuard dans Microsoft Sentinel ™, à l’aide de l’infrastructure de connecteur sans code de Microsoft Sentinel. Le connecteur prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité entrantes dans des colonnes personnalisées. Ce processus de pré-analyse élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances des requêtes de données.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CloudGuard_SecurityEvents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Clé API CloudGuard : reportez-vous aux instructions fournies ici pour générer une clé API.

Instructions d’installation :

Connecter des événements de sécurité CloudGuard à Microsoft Sentinel

Pour activer le connecteur CloudGuard pour Microsoft Sentinel, entrez les informations requises ci-dessous, puis sélectionnez Se connecter.

• ID de clé API : (api_key)
• Secret de clé API : (api_secret)
• URL du point de terminaison CloudGuard : (par exemple https://api.dome9.com, )
• Filtre : (Coller le filtre à partir de CloudGuard)
• Activer/désactiver la connexion

---

Check Point Cyberint Alerts Connector (via l’infrastructure de connecteur sans code)

Pris en charge par :Cyberint

Cyberint, une société Check Point, fournit une intégration Microsoft Sentinel pour simplifier les alertes critiques et intégrer des informations enrichies sur les menaces de la solution Infinity External Risk Management dans Microsoft Sentinel. Cela simplifie le processus de suivi de l’status des tickets avec des mises à jour de synchronisation automatiques entre les systèmes. À l’aide de cette nouvelle intégration pour Microsoft Sentinel, les clients Cyberint et Microsoft Sentinel existants peuvent facilement extraire des journaux en fonction des résultats de Cyberint dans Microsoft Sentinel plateforme.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
argsentdc_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Check Point clé API Cyberint, URL Argos et nom du client : la clé API du connecteur, l’URL Argos et le nom du client sont requises

Instructions d’installation :

Connecter les alertes cyberint de point de contrôle à Microsoft Sentinel

Pour activer le connecteur, fournissez les informations requises ci-dessous, puis cliquez sur Se connecter.

URL Argos — URL de l’API Cyberint pour votre locataire (par exemplehttps://your_tenant.cyberint.io, ) Jeton d’API — Jeton d’accès à l’API Cyberint Nom du client — Nom de la société (client) associée à vos environnements Cyberint instance — Liste d’environnements séparés par des virgules à extraire. S’ils sont vides, tous les environnements sont récupérés.\n\nGravité : liste séparée par des virgules des gravités à extraire (faible, moyen, élevé, very_high). S’il est vide, toutes les gravités sont récupérées.\n\nIntervalle d’interrogation — Fréquence d’interrogation des nouvelles alertes, en minutes (par défaut : 5)\n\nInclure les pièces jointes CSV au format JSON — Indique s’il faut inclure des pièces jointes CSV en tant que contenu JSON dans les alertes (valeur par défaut : false)

• URL Argos : (https://your_tenant.cyberint.io)
• Jeton d’API : (Jeton d’accès à l’API Cyberint)
• Nom du client : (nom de la société (client) associé à votre instance Cyberint)
• Environnements : (liste séparée par des virgules (par exemple, production, préproduction))
• Gravité : (liste séparée par des virgules (par exemple, faible, moyen, élevé, very_high))
• Intervalle d’interrogation (minutes) : (Fréquence d’interrogation en minutes)
• Inclure des pièces jointes CSV au format JSON : (vrai ou faux)
• Activer/désactiver la connexion

---

connecteur Check Point Cyberint IOC

Pris en charge par :Cyberint

Cyberint, une société Check Point, fournit une intégration Microsoft Sentinel pour ingérer des indicateurs de compromission (IOC) de la solution Infinity External Risk Management dans Microsoft Sentinel. Ce connecteur extrait automatiquement le flux IOC quotidien, y compris les adresses IP, les domaines, les URL et les hachages de fichiers malveillants, enrichi avec le contexte de menace, tel que la gravité, la confiance et l’activité détectée.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
iocsent_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Check Point clé API Cyberint, URL Argos et nom du client : la clé API du connecteur, l’URL Argos et le nom du client sont requises

Instructions d’installation :

Connecter Check Point flux CIO Cyberint à Microsoft Sentinel

Pour activer le connecteur, fournissez les informations requises ci-dessous, puis cliquez sur Se connecter.

URL Argos — URL de l’API Cyberint pour votre locataire (par exemplehttps://your_tenant.cyberint.io, ) Jeton d’API — Jeton d’accès à l’API Cyberint Nom du client — Nom de la société (client) associée à votre cyberint instance

• URL Argos : (https://your-company.cyberint.io)
• Jeton d’API : (jeton d’API)
• Nom du client : (nom de la société (client) associé à votre instance Cyberint)
• Activer/désactiver la connexion

---

Cisco ASA/FTD via AMA

Pris en charge par :Microsoft Corporation

Le connecteur de pare-feu Cisco ASA vous permet de connecter facilement vos journaux Cisco ASA à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Cela vous donne plus d’informations sur le réseau de votre organization et améliore vos fonctionnalités d’opération de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommonSecurityLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Pour collecter des données à partir de machines virtuelles non Azure, Azure Arc doit être installé et activé. En savoir plus

Instructions d’installation :

Activer la règle de collecte de données

Les journaux des événements Cisco ASA/FTD sont collectés uniquement à partir d’agents Linux.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Exécutez la commande suivante pour installer et appliquer le collecteur Cisco ASA/FTD :

• Valeur : <valeur de variable fournie au moment de l’installation>

---

Cisco Cloud Security (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

La solution Cisco Cloud Security pour Microsoft Sentinel vous permet d’ingérer les journauxCisco Secure Access et Cisco Umbrella stockés dans Amazon S3 dans Microsoft Sentinel à l’aide de l’API REST Amazon S3. Pour plus d’informations, reportez-vous à la documentation sur la gestion des journaux cisco Cloud Security .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Cisco_Umbrella_dns_CL	Oui	Oui
Cisco_Umbrella_proxy_CL	Oui	Oui
Cisco_Umbrella_ip_CL	Oui	Oui
Cisco_Umbrella_cloudfirewall_CL	Oui	Oui
Cisco_Umbrella_firewall_CL	Oui	Oui
Cisco_Umbrella_dlp_CL	Non	Non
Cisco_Umbrella_ravpnlogs_CL	Non	Non
Cisco_Umbrella_audit_CL	Non	Non
Cisco_Umbrella_ztna_CL	Non	Non
Cisco_Umbrella_intrusion_CL	Non	Non
Cisco_Umbrella_ztaflow_CL	Non	Non
Cisco_Umbrella_fileevent_CL	Non	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST Amazon S3 : L’ID de la clé d’accès AWS, la clé d’accès au secret AWS, le nom du compartiment AWS S3 sont requis pour l’API REST Amazon S3.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API REST Amazon S3 afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

NOTE: Ce connecteur a été mis à jour pour prendre en charge le schéma de journal Cisco Cloud Security version 14.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Functions.

REMARQUE : ce connecteur utilise un analyseur basé sur une fonction Kusto pour normaliser les champs. Procédez comme suit pour créer l’alias de fonction Kusto Cisco_Umbrella.

ÉTAPE 1 : Configuration de la collection de journaux Cisco Cloud Security

Consultez la documentation et suivez les instructions pour configurer la journalisation et obtenir des informations d’identification.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et le Azure Functions associé

IMPORTANT: Avant de déployer le connecteur de données Cisco Cloud Security, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que des informations d’identification d’autorisation de l’API REST Amazon S3.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Cisco Cloud Security à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID de l’espace de travail, la clé de l’espace de travail , S3Bucket, AWSAccessKeyId, AWSSecretAccessKey Remarque : pour le S3Bucket, utilisez la valeur que Cisco appelle chemin des données du compartiment S3 et ajoutez un / (barre oblique) à la fin de la valeur

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Cisco Cloud Security avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour le développement Azure Functions.

1. Téléchargez le fichier d’application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : WorkspaceID WorkspaceKeyKey S3Bucket AWSAccessKey AWSSecretAccessKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

3. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Cisco Cloud Security (à l’aide d’un plan Premium élastique) (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données Cisco Umbrella permet d’ingérer des événements Cisco Umbrella stockés dans Amazon S3 dans Microsoft Sentinel à l’aide de l’API REST Amazon S3. Pour plus d’informations, reportez-vous à la documentation sur la gestion des journaux Cisco Umbrella .

NOTE: Ce connecteur de données utilise le plan Premium Azure Functions pour activer des fonctionnalités d’ingestion sécurisées et entraîne des coûts supplémentaires. Vous trouverez plus de détails sur les tarifs ici.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Cisco_Umbrella_dns_CL	Oui	Oui
Cisco_Umbrella_proxy_CL	Oui	Oui
Cisco_Umbrella_ip_CL	Oui	Oui
Cisco_Umbrella_cloudfirewall_CL	Oui	Oui
Cisco_Umbrella_firewall_CL	Oui	Oui
Cisco_Umbrella_dlp_CL	Non	Non
Cisco_Umbrella_ravpnlogs_CL	Non	Non
Cisco_Umbrella_audit_CL	Non	Non
Cisco_Umbrella_ztna_CL	Non	Non
Cisco_Umbrella_intrusion_CL	Non	Non
Cisco_Umbrella_ztaflow_CL	Non	Non
Cisco_Umbrella_fileevent_CL	Non	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST Amazon S3 : L’ID de la clé d’accès AWS, la clé d’accès au secret AWS, le nom du compartiment AWS S3 sont requis pour l’API REST Amazon S3.
• autorisations Réseau virtuel (pour l’accès privé) : pour l’accès au compte de stockage privé, les autorisations Contributeur réseau sont requises sur le Réseau virtuel et le sous-réseau. Le sous-réseau doit être délégué à Microsoft.Web/serverFarms pour l’intégration au réseau virtuel Function App.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API REST Amazon S3 afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

NOTE: Ce connecteur a été mis à jour pour prendre en charge le schéma de journal cisco umbrella version 14.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Functions.

REMARQUE : ce connecteur utilise un analyseur basé sur une fonction Kusto pour normaliser les champs. Procédez comme suit pour créer l’alias de fonction Kusto Cisco_Umbrella.

ÉTAPE 1 : Prérequis réseau pour l’accès privé

IMPORTANT: Lors du déploiement avec un accès au compte de stockage privé, vérifiez que les conditions préalables réseau suivantes sont remplies :

• Réseau virtuel : un Réseau virtuel existant (VNet) doit être disponible
• Sous-réseau : un sous-réseau dédié au sein du réseau virtuel doit être délégué à Microsoft.Web/serverFarms pour l’intégration au réseau virtuel Function App
• Délégation de sous-réseau : configurez la délégation de sous-réseau à l’aide du portail Azure, du modèle ARM ou de l’interface CLI Azure :
  • Portail Azure : Accédez à Réseaux virtuels → Sélectionnez votre réseau virtuel → Sous-réseaux → Sélectionner un sous-réseau → Déléguer le sous-réseau au service → Choisissez Microsoft.Web/serverFarms
  • Azure CLI :az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
• Points de terminaison privés : le déploiement crée des points de terminaison privés pour les services de compte de stockage (blob, fichier, file d’attente, table) au sein du même sous-réseau

ÉTAPE 2 : Configuration de la collection de journaux Cisco Umbrella

Consultez la documentation et suivez les instructions pour configurer la journalisation et obtenir des informations d’identification.

ÉTAPE 3 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et le Azure Functions associé

IMPORTANT: Avant de déployer le connecteur de données Cisco Umbrella, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que des informations d’identification d’autorisation de l’API REST Amazon S3.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Cisco Umbrella à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’espace de travail, la clé de l’espace de travail, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey

4. Pour le déploiement de l’accès privé : entrez également existingVnetName, existingVnetResourceGroupName et existingSubnetName (vérifiez que le sous-réseau est délégué à Microsoft.Web/serverFarms). Remarque : Pour le S3Bucket, utilisez la valeur que Cisco fait référence en tant que chemin des données du compartiment S3 et ajoutez une barre oblique / (barre oblique) à la fin de la valeur

5. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

6. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Cisco Umbrella avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour le développement Azure Functions.

1. Téléchargez le fichier d’application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : WorkspaceID WorkspaceKeyKey S3Bucket AWSAccessKey AWSSecretAccessKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

3. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Cisco Duo Security (à l’aide de Azure Functions)

Pris en charge par :Cisco Systems

Le connecteur de données Cisco Duo Security permet d’ingérer des journaux d’authentification, desjournaux d’administration, des journaux de téléphonie, des journaux d’inscription hors connexion et des événements De surveillance de confiance dans Microsoft Sentinel à l’aide de l’API Administration Cisco Duo. Pour plus d’informations, reportez-vous à la documentation de l’API .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CiscoDuo_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification de l’API Cisco Duo : Informations d’identification de l’API Cisco Duo avec l’autorisation Un journal de lecture d’octroi est requis pour l’API Cisco Duo. Consultez la documentation pour en savoir plus sur la création d’informations d’identification de l’API Cisco Duo.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Cisco Duo afin d’extraire des journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu CiscoDuo, qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Obtention des informations d’identification de l’API Cisco Duo Administration

1. Suivez les instructions pour obtenir la clé d’intégration, la clé secrète et le nom d’hôte de l’API. Utilisez Accorder l’autorisation de journal de lecture à la 4e étape des instructions.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données, disposez de l’ID de l’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que de Stockage Blob Azure chaîne de connexion et du nom du conteneur.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez la clé d’intégration Cisco Duo, la clé secrète Cisco Duo, le nom d’hôte de l’API Cisco Duo, les types de journaux Cisco Duo, l’ID d’espace de travail Microsoft Sentinel Microsoft Sentinel clé partagée

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (Facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Cisco ETD (à l’aide de Azure Functions)

Pris en charge par :N/A

Le connecteur extrait les données de l’API ETD pour l’analyse des menaces

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CiscoETD_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Email API de défense contre les menaces, clé API, ID client et secret : vérifiez que vous disposez de la clé API, de l’ID client et de la clé secrète.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API ETD afin d’extraire ses journaux dans Microsoft Sentinel.

Suivez les étapes de déploiement pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données ETD, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Cisco ETD à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région par défaut.

3. Entrez workspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Region

4. Cliquez sur Créer pour déployer.

---

Cisco Meraki (à l’aide de l’API REST)

Pris en charge par :Microsoft Corporation

Le connecteur Cisco Meraki vous permet de connecter facilement vos événements cisco Meraki organization (événements de sécurité, modifications de configuration et demandes d’API) à Microsoft Sentinel. Le connecteur de données utilise l’API REST Cisco Meraki pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données reçues et ingèrent dans ASIM et des tables personnalisées dans votre espace de travail Log Analytics. Ce connecteur de données bénéficie de fonctionnalités telles que le filtrage au moment de l’ingestion basé sur DCR et la normalisation des données.

Schéma ASIM pris en charge :

1. Session réseau
2. Web Session
3. Événement d’audit

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ASimNetworkSessionLogs	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Clé API REST Cisco Meraki : activez l’accès à l’API dans Cisco Meraki et générez la clé API. Pour plus d’informations, consultez la documentation officielle de Cisco Meraki.
• Cisco Meraki Organization ID : obtenez votre ID de organization Cisco Meraki pour récupérer les événements de sécurité. Suivez les étapes de la documentation pour obtenir l’ID d’organisation à l’aide de la clé API Meraki obtenue à l’étape précédente.

Instructions d’installation :

Connecter des événements Cisco Meraki à Microsoft Sentinel

Actuellement, ce connecteur permet d’ingérer des événements à partir du point de terminaison de l’API REST Cisco Meraki suivant :

1. Obtenir les événements de sécurité de l’appliance d’organisation Ce connecteur analyse les événements d’alerte IDS dans la table ASimNetworkSessionLogs et les événements analysés dans la table ASimWebSessionLogs.
2. Obtenir les demandes d’API d’organisation Ce connecteur analyse les événements dans la table ASimWebSessionLogs.
3. Obtenir les modifications de configuration de l’organisation Ce connecteur analyse les événements dans la table ASimAuditEventLogs.

• ID de l’organisation : (OrganizationId)
• Clé API : (ApiKey)
• Activer/désactiver la connexion

---

Cisco Secure Endpoint (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Cisco Secure Endpoint (anciennement AMP pour points de terminaison) permet d’ingérer les journaux d’audit et les événements Cisco Secure Endpoint dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CiscoSecureEndpointAuditLogsV2_CL	Oui	Oui
CiscoSecureEndpointEventsV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Informations d’identification/régions de l’API Cisco Secure Endpoint : pour créer des informations d’identification d’API et comprendre les régions, suivez le lien de document fourni ici. Cliquez ici.

Instructions d’installation :

Connecter Cisco Secure Endpoint à Microsoft Sentinel

Pour ingérer des données de Cisco Secure Endpoint vers Microsoft Sentinel, vous devez cliquer sur le bouton Ajouter un compte ci-dessous, puis afficher une fenêtre contextuelle pour renseigner les détails tels que Email, Organisation, ID client, Clé API et Région, fournir les informations requises, puis cliquer sur Se connecter. Vous pouvez voir les organisations/e-mails connectés dans la grille ci-dessous.

• Grille des connecteurs de données (configurer dans le portail)

---

Cisco Software Defined WAN

Pris en charge par :Cisco Systems

Le connecteur de données Cisco SD-WAN (Software Defined WAN) permet d’ingérer des données Cisco SD-WAN Syslog et Netflow dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Syslog	Oui	Oui
CiscoSDWANNetflow_CL	Non	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Pour ingérer des données Cisco SD-WAN Syslog et Netflow dans Microsoft Sentinel suivez les étapes ci-dessous.

1. Étapes pour ingérer des données Syslog dans Microsoft Sentinel

Azure Monitor Agent sera utilisé pour collecter les données syslog dans Microsoft Sentinel. Pour cela, vous devez d’abord créer un serveur Azure Arc pour la machine virtuelle à partir de laquelle les données syslog seront envoyées.

1.1 Étapes pour ajouter Azure Arc Server

1. Dans Portail Azure, accédez à Serveurs - Azure Arc, puis cliquez sur Ajouter.
2. Sélectionnez Générer un script sous la section Ajouter un serveur unique. Un utilisateur peut également générer des scripts pour plusieurs serveurs.
3. Passez en revue les informations de la page Prérequis, puis sélectionnez Suivant.
4. Dans la page Détails de la ressource, indiquez l’abonnement et le groupe de ressources de la méthode Microsoft Sentinel, Région, Système d’exploitation et Connectivité. Sélectionnez ensuite Suivant.
5. Dans la page Étiquettes, passez en revue les balises d’emplacement physique par défaut suggérées et entrez une valeur, ou spécifiez une ou plusieurs étiquettes personnalisées pour prendre en charge vos normes. Sélectionnez ensuite Suivant.
6. Sélectionnez Télécharger pour enregistrer le fichier de script.
7. Maintenant que vous avez généré le script, l’étape suivante consiste à l’exécuter sur le serveur que vous souhaitez intégrer à Azure Arc.
8. Si vous avez Azure machine virtuelle, suivez les étapes mentionnées dans le lien avant d’exécuter le script.
9. Exécutez le script à l’aide de la commande suivante : ./<ScriptName>.sh
10. Après avoir installé l’agent et configuré pour qu’il se connecte à Azure serveurs avec Arc, accédez à la Portail Azure pour vérifier que le serveur s’est correctement connecté. Affichez votre machine dans le Portail Azure. Lien de référence :/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 Étapes pour créer une règle de collecte de données (DCR)

1. Dans Azure portail, recherchez Monitor. Sous Paramètres, sélectionnez Règles de collecte de données, puis Sélectionnez Créer.
2. Dans le panneau Informations de base, entrez le nom de la règle, l’abonnement, le groupe de ressources, la région et le type de plateforme.
3. Sélectionnez Suivant : Ressources.
4. Sélectionnez Ajouter des ressources. Utilisez les filtres pour rechercher la machine virtuelle que vous utiliserez pour collecter les journaux.
5. Sélectionnez la machine virtuelle. Sélectionnez Appliquer.
6. Sélectionnez Suivant : Collecter et remettre.
7. Sélectionnez Ajouter une source de données. Pour Type de source de données, sélectionnez Linux syslog.
8. Pour Niveau de journal minimal, laissez les valeurs par défaut LOG_DEBUG.
9. Sélectionnez Suivant : Destination.
10. Sélectionnez Ajouter une destination et ajouter type de destination, Abonnement et Compte ou espace de noms.
11. Sélectionnez Ajouter une source de données. Sélectionnez Suivant : Vérifier + créer.
12. Sélectionnez Créer. Attendez 20 minutes. Dans Microsoft Sentinel ou Azure Monitor, vérifiez que l’agent Azure Monitor s’exécute sur votre machine virtuelle. Lien de référence :/azure/sentinel/forward-syslog-monitor-agent

2. Étapes pour ingérer des données Netflow dans Microsoft Sentinel

Pour ingérer des données Netflow dans Microsoft Sentinel, Filebeat et Logstash doivent être installés et configurés sur la machine virtuelle. Après la configuration, la machine virtuelle sera en mesure de recevoir des données netflow sur le port configuré et ces données seront ingérées dans l’espace de travail de Microsoft Sentinel.

2.1 Installer filebeat et logstash

1. Pour l’installation de filebeat et logstash à l’aide d’apt, reportez-vous à ce document :
2. Filebeat : https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
3. Logstash : https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
4. Pour l’installation de filebeat et logstash pour RedHat Linux (yum), les étapes sont les suivantes :
5. Filebeat : https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
6. Logstash : https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Configurer Filebeat pour envoyer des événements à Logstash

1. Modifier le fichier filebeat.yml : vi /etc/filebeat/filebeat.yml
2. Commentez la section Sortie elasticsearch.
3. Supprimer les marques de commentaire de la section Sortie de Logstash (supprimez les marques de commentaire uniquement sur ces deux lignes)- hôtes output.logstash : ["localhost :5044"]
4. Dans la section Sortie logstash, si vous souhaitez envoyer les données autres que le port par défaut, c’est-à-dire le port 5044, remplacez le numéro de port dans le champ hosts. (Remarque : Ce port doit être ajouté dans le fichier conf, lors de la configuration de logstash.)
5. Dans la section « filebeat.inputs », commentez la configuration existante et ajoutez la configuration suivante : - tapez : netflow max_message_size : hôte 10 Ko : « 0.0.0.0:2055 » protocoles : [ v5, v9, ipfix ] expiration_timeout : 30m queue_size : 8192 custom_definitions :

• /etc/filebeat/custom.yml detect_sequence_reset : true enabled : true enabled : true

6. Dans la section Entrées Filebeat, si vous souhaitez recevoir les données autres que le port par défaut, c’est-à-dire le port 2055, remplacez le numéro de port dans le champ hôte.
7. Ajoutez le fichier custom.yml fourni dans le répertoire /etc/filebeat/.
8. Ouvrez le port d’entrée et de sortie filebeat dans le pare-feu.
9. Exécuter la commande : firewall-cmd --zone=public --permanent --add-port=2055/udp
10. Exécuter la commande : firewall-cmd --zone=public --permanent --add-port=5044/udp

Remarque : si un port personnalisé est ajouté pour l’entrée/sortie filebeat, ouvrez ce port dans le pare-feu.

2.3 Configurer Logstash pour envoyer des événements à Microsoft Sentinel

1. Installez le plug-in Log Analytics Azure :
2. Exécuter la commande : sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
3. Stockez la clé de l’espace de travail Log Analytics dans le magasin de clés Logstash. La clé de l’espace de travail se trouve dans Azure portail sous Espace de travail > Log analytics Sélectionner un espace de travail > Sous Paramètres, sélectionnez > Instructions de l’agent Log Analytics.
4. Copiez la clé primaire et exécutez les commandes suivantes :
5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
7. Créez le fichier de configuration /etc/logstash/cisco-netflow-to-sentinel.conf : input { beats { port =><port_number> #(Entrez le numéro de port de sortie qui a été configuré lors de la configuration filebeat, c’est-à-dire. fichier filebeat.yml .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => « <workspace_id> » workspace_key => « ${LogAnalyticsKey} » custom_log_table_name => « CiscoSDWANNetflow » } }

Remarque : Si la table n’est pas présente dans Microsoft Sentinel, elle crée une table dans Sentinel.

2.4 Exécuter Filebeat :

1. Ouvrez un terminal et exécutez la commande : systemctl start filebeat
2. Cette commande commence à exécuter filebeat en arrière-plan. Pour voir les journaux d’activité arrêter le filebeat (systemctl stop filebeat), exécutez la commande suivante : filebeat run -e

2.5 Exécuter Logstash :

1. Dans un autre terminal, exécutez la commande : /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
2. Cette commande démarre l’exécution de logstash en arrière-plan. Pour afficher les journaux d’activité de logstash, arrêtez le processus ci-dessus et exécutez la commande suivante : /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

---

Claroty xDome

Pris en charge par :xDome Customer Support

Claroty xDome offre des fonctionnalités complètes de gestion des alertes et de la sécurité pour les environnements de réseau médical et industriel. Il est conçu pour mapper plusieurs types de sources, identifier les données collectées et les intégrer dans Microsoft Sentinel modèles de données. Cela se traduit par la possibilité de surveiller toutes les menaces potentielles dans vos environnements médicaux et industriels dans un emplacement unique, ce qui conduit à une surveillance de la sécurité plus efficace et à une posture de sécurité plus forte.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommonSecurityLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

1. Linux configuration de l’agent Syslog

Installez et configurez l’agent Linux pour collecter vos messages Syslog CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer un ordinateur Linux

Sélectionnez ou créez un ordinateur Linux que Microsoft Sentinel utiliserez comme proxy entre votre solution de sécurité et Microsoft Sentinel cette machine peut se trouver sur votre environnement local, Azure ou d’autres clouds.

1.2 Installer le collecteur CEF sur l’ordinateur Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages à votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python --version.

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.

• Exécutez la commande suivante pour installer et appliquer le collecteur CEF :< valeur de variable fournie au moment de l’installation>

2. Transférer les journaux CEF (Common Event Format) à l’agent Syslog

Configurez l’intégration de Claroty xDome - Microsoft Sentinel pour collecter vos messages Syslog CEF (Common Event Format) et les transférer à Microsoft Sentinel.

3. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour case activée si les journaux sont reçus à l’aide du schéma CommonSecurityLog.

La connexion peut prendre environ 20 minutes avant que la connexion diffuse des données vers votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python --version

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur

• Exécutez la commande suivante pour valider votre connectivité : : <valeur de variable fournie au moment de l’installation>

**4. Sécuriser votre machine **

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organization

Pour en savoir plus >

---

Cloudflare (préversion) (à l’aide de Azure Functions)

Pris en charge par :Cloudflare

Le connecteur de données Cloudflare permet d’ingérer des journaux Intune dans Microsoft Sentinel à l’aide du logpush et du Stockage Blob Azure Cloudflare. Pour plus d’informations, reportez-vous à la documentation de Cloudflare .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Cloudflare_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Stockage Blob Azure chaîne de connexion et nom du conteneur : Stockage Blob Azure chaîne de connexion et nom du conteneur vers lequel les journaux sont envoyés par Cloudflare Logpush. Pour plus d’informations, consultez Création d’Stockage Blob Azure conteneur.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Stockage Blob Azure afin d’extraire des journaux dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure coûts. Pour plus d’informations, consultez la page de tarification Azure Functions et Stockage Blob Azure page de tarification.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu Cloudflare, qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Configuration du logpush de Cloudflare

Consultez la documentation pour configurer Cloudflare Logpush sur Microsoft Azure

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Intune, disposez de l’ID de l’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que de Stockage Blob Azure chaîne de connexion et du nom du conteneur.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Intune à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez le nom du conteneur Stockage Blob Azure, Stockage Blob Azure chaîne de connexion, Microsoft Sentinel l’ID de l’espace de travail, Microsoft Sentinel clé partagée

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Intune avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, CloudflareXX).

   e. Sélectionnez un runtime : Choisissez Python 3.8.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Cloudflare (à l’aide d’un conteneur d’objets blob) (via l’infrastructure de connecteur sans code)

Pris en charge par :Cloudflare

Le connecteur de données Cloudflare permet d’ingérer des journaux Intune dans Microsoft Sentinel à l’aide du logpush et de l’Stockage Blob Azure de Cloudflare. Pour plus d’informations, reportez-vous à la documentation de Cloudflare.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CloudflareV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Créer un compte de stockage et un conteneur : avant de configurer logpush dans Cloudflare, commencez par créer un compte de stockage et un conteneur dans Microsoft Azure. Utilisez ce guide pour en savoir plus sur le conteneur et l’objet blob. Suivez les étapes décrites dans la documentation pour créer un compte de stockage Azure.
• Générer une URL SAS d’objet blob : les autorisations Créer et Écrire sont requises. Reportez-vous à la documentation pour en savoir plus sur le jeton SAS d’objet blob et l’URL.
• Collecte des journaux d’activité à partir de Cloudflare vers votre conteneur d’objets blob : suivez les étapes décrites dans la documentation relative à la collecte des journaux d’activité de Cloudflare vers votre conteneur d’objets blob.

Instructions d’installation :

Connecter les journaux Cloudflare à Microsoft Sentinel

Pour activer les journaux Cloudflare pour Microsoft Sentinel, fournissez les informations requises ci-dessous, puis cliquez sur Se connecter.

• URL du conteneur d’objets blob à partir de laquelle vous souhaitez collecter des données :
• Nom du groupe de ressources du compte de stockage du conteneur d’objets blob :
• Emplacement du compte de stockage du conteneur d’objets blob :
• ID d’abonnement au compte de stockage du conteneur d’objets blob :
• Nom de la rubrique Event Grid du compte de stockage du conteneur d’objets blob s’il existe. sinon, restez vide.:
• Activer/désactiver la connexion

---

Cognni

Pris en charge par :Cognni

Le connecteur Cognni offre une intégration rapide et simple à Microsoft Sentinel. Vous pouvez utiliser Cognni pour mapper de manière autonome vos informations importantes précédemment non classifiées et détecter les incidents associés. Cela vous permet de reconnaître les risques liés à vos informations importantes, de comprendre la gravité des incidents et d’examiner les détails que vous devez corriger, assez rapidement pour faire la différence.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CognniIncidents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Se connecter à Cognni

1. Accédez à la page d’intégrations Cognni
2. Cliquez sur « Se connecter » dans la zone « Microsoft Sentinel »
3. Copiez et collez « workspaceId » et « sharedKey » (ci-dessous) dans les champs associés sur l’écran d’intégrations de Cognni
4. Cliquez sur le botton « Se connecter » pour terminer la configuration.
   Bientôt, tous vos incidents détectés par Cognni seront transférés ici (dans Microsoft Sentinel)

Vous n’êtes pas un utilisateur de Cognni ? Rejoignez-nous

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé partagée : <valeur de variable fournie au moment de l’installation>

---

Cohesity (à l’aide de Azure Functions)

Pris en charge par :Cohesity

Les applications de fonction Cohesity permettent d’ingérer des alertes de ransomware Cohesity Datahawk dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Cohesity_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Stockage Blob Azure chaîne de connexion et nom du conteneur : Stockage Blob Azure chaîne de connexion et nom du conteneur

Instructions d’installation :

NOTE: Ce connecteur utilise des Azure Functions qui se connectent au Stockage Blob Azure et au coffre de clés. Cela peut entraîner des coûts supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions, Stockage Blob Azure page de tarification et Azure page de tarification de KeyVault.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Obtenir une clé API Cohesity DataHawk (voir l’instruction de résolution des problèmes 1)

ÉTAPE 2 : Inscrire Azure application (lien) et enregistrer l’ID d’application (client), l’ID d’annuaire (locataire) et la valeur secrète (instructions). Accordez-lui l’autorisation de stockage Azure (user_impersonation). Attribuez également le rôle « Contributeur Microsoft Sentinel » à l’application dans l’abonnement approprié.

ÉTAPE 3 : Déployer le connecteur et le Azure Functions associé.

modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Cohesity à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les paramètres que vous avez créés aux étapes précédentes

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

---

CommvaultSecurityIQ

Pris en charge par :Commvault

Cette fonction Azure permet aux utilisateurs commvault d’ingérer des alertes/événements dans leur Microsoft Sentinel instance. Avec les règles analytiques, Microsoft Sentinel pouvez créer automatiquement des incidents Microsoft Sentinel à partir d’événements et de journaux entrants.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommvaultAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• URL du point de terminaison de l’environnement Commvault : veillez à suivre la documentation et à définir la valeur de secret dans KeyVault
• Jeton QSDK Commvault : veillez à suivre la documentation et à définir la valeur de secret dans KeyVault

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une instance Commvault afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : étapes de configuration du jeton QSDK Commvalut

Suivez ces instructions pour créer un jeton d’API.

ÉTAPE 2 : Déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données CommvaultSecurityIQ, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que de l’URL du point de terminaison Commvault et du jeton QSDK, qui sont disponibles.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Commvault Security IQ.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région par défaut.

3. Entrez l’ID de l’espace de travail, la clé d’espace de travail « et/ou Autres champs obligatoires », puis cliquez sur Suivant.

4. Cliquez sur Créer pour déployer.

---

Connecteur d’envoi (push) ADR contrast

Pris en charge par :Contrast Security

Le connecteur Contrast Security permet d’ingérer des événements d’attaque et des incidents à partir de la détection et de la réponse d’application Contrast (ADR) dans Microsoft Sentinel. Ce connecteur reçoit des données via le mécanisme d’envoi de webhook à l’aide de l’authentification OAuth.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ContrastADRAttackEvents_CL	Non	Non
ContrastADRIncidents_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID (si vous utilisez une application créée automatiquement). Nécessite généralement le rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation de créer et de configurer Azure ressources (DCE, DCR, Tables) et d’attribuer des rôles RBAC. Nécessite généralement les rôles Contributeur et Administrateur de l’accès utilisateur.
• Contrast ADR Webhook Access : accès à la plateforme ADR Contrast pour configurer le webhook avec les paramètres d’authentification OAuth.

Instructions d’installation :

1. Déployer des ressources de connecteur

Déployez les ressources Azure requises pour l’ingestion des données ADR Contrast.

Choisir votre option de déploiement

Sélectionnez l’une des options de déploiement suivantes en fonction de la configuration requise :

---

Option A : Créer automatiquement Microsoft Entra application (recommandé)

Cliquez sur Déployer le connecteur CCF ADR Contrast pour créer automatiquement :

• Point de terminaison de collecte de données (DCE)
• Règle de collecte de données (DCR) avec flux pour les événements et incidents d’attaque
• Tables Log Analytics (ContrastADRAttackEvents_CL et ContrastADRIncidents_CL)
• Microsoft Entra Application avec des informations d’identification OAuth
• Attribution de rôle (Éditeur de métriques de surveillance) sur la DCR

Après le déploiement : Toutes les valeurs de configuration (ID de locataire, ID client, clé secrète client, URI DCE, ID immuable DCR) seront renseignées automatiquement ci-dessous pour faciliter le copier-coller dans la plateforme Contrast.

---

Option B : Utiliser une application Microsoft Entra préexistante (BYOA)

En cliquant sur Déployer le connecteur CCF ADR Contrast , vous créez :

• Point de terminaison de collecte de données (DCE)
• Règle de collecte de données (DCR) avec flux pour les événements et incidents d’attaque
• Tables Log Analytics (ContrastADRAttackEvents_CL et ContrastADRIncidents_CL)
• application Microsoft Entra (vous pouvez l’ignorer)

Quand utiliser : si vous avez une application Entra existante que vous souhaitez réutiliser pour des raisons de sécurité ou de conformité. Étapes supplémentaires requises :

1. Après le déploiement, attribuez manuellement au principal de service de l’application Entra existant le rôle Éditeur de métriques de surveillance sur la DCR créée
2. Utilisez l’ID client et la clé secrète client de votre application Entra (ignorez ceux générés automatiquement ci-dessous)
3. Utilisez l’URI DCE et l’ID immuable DCR ci-dessous dans votre configuration de webhook Contrast

---

Cliquez sur Déployer pour commencer :

2. Configurer le webhook ADR Contrast

Copiez les valeurs suivantes pour configurer l’intégration Microsoft Sentinel dans la plateforme ADR Contrast.

Pour l’option A (application Entra créée automatiquement) : utilisez toutes les valeurs renseignées automatiquement ci-dessous. Pour l’option B (application Entra préexistante) : Utilisez l’URI DCE, l’ID immuable DCR et les noms Stream ci-dessous, mais utilisez votre propre ID de locataire, id client et clé secrète client de l’application Entra.

---

Valeurs de configuration Azure :

• ID de locataire : <valeur de variable fournie au moment de l’installation>
• ID d’application (client) : <valeur de variable fournie au moment de l’installation>
• Clé secrète client : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données (DCE) : <valeur de variable fournie au moment de l’installation>
• ID immuable de règle de collecte de données (DCR) : <valeur de variable fournie au moment de l’installation>
• Nom des événements d’attaque Stream : <valeur de variable fournie au moment de l’installation>
• Nom du Stream des incidents : <valeur de variable fournie au moment de l’installation>

---

Configurer dans la plateforme ADR contrast

1. Connectez-vous à votre plateforme ADR Contrast
2. Accédez à Administration > Integrations > Microsoft Sentinel
3. Copiez et collez toutes les valeurs de configuration ci-dessus :
   • ID client
   • ID d’application (client)
   • Clé secrète client
   • URI du point de terminaison de collecte de données (DCE)
   • ID immuable de règle de collecte de données (DCR)
   • Nom du Stream des événements d’attaque
   • Nom du Stream des incidents
4. Cliquez sur Enregistrer pour terminer l’intégration.

La plateforme Contrast configure automatiquement l’authentification OAuth et les points de terminaison de données à l’aide de ces valeurs.

3. Vérifier l’ingestion des données

Vérifiez que les données circulent de l’ADR contrastée vers Microsoft Sentinel.

Étapes de vérification

1. Déclencher un événement d’attaque de test dans l’ADR de contraste
2. Attendez 5 à 10 minutes que les données apparaissent dans Microsoft Sentinel
3. Exécutez la requête suivante pour vérifier les événements d’attaque :

ContrastADRAttackEvents_CL
| take 10

4. Vérifier les données des incidents :

ContrastADRIncidents_CL
| take 10

5. Vérifiez la connectivité :

ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)

Si les données s’affichent et que IsConnected retourne la valeur true, votre connecteur est configuré correctement .

---

Corelight Connector Exporter

Pris en charge par :Corelight

Le connecteur de données Corelight permet aux répondants aux incidents et aux chasseurs de menaces qui utilisent Microsoft Sentinel de travailler plus rapidement et plus efficacement. Le connecteur de données permet l’ingestion d’événements à partir de Zeek et Suricata via Corelight Sensors dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Corelight	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu Corelight, qui est déployé avec la solution Microsoft Sentinel.

1. Obtenir les fichiers

Contactez votre TAM, SE ou info@corelight.com pour obtenir les fichiers nécessaires à l’intégration Microsoft Sentinel.

2. Relire les exemples de données.

Relisez les exemples de données pour créer les tables nécessaires dans votre espace de travail Log Analytics.

• Envoyer des exemples de données (nécessaires une seule fois par espace de travail Log Analytics) : <valeur de variable fournie au moment de l’installation>

3. Installez l’exportateur personnalisé.

Installez l’exportateur personnalisé ou le conteneur logstash.

4. Configurez corelight Sensor pour envoyer des journaux à l’agent Azure Log Analytics.

À l’aide des valeurs suivantes, configurez votre capteur Corelight pour utiliser l’exportateur Microsoft Sentinel. Vous pouvez également configurer le conteneur logstash avec ces valeurs et configurer votre capteur pour envoyer JSON via TCP à ce conteneur sur le port approprié.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé de l’espace de travail principal : <valeur de variable fournie au moment de l’installation>

---

Cortex XDR - Incidents

Pris en charge par :DEFEND Ltd.

Connecteur de données personnalisé de DEFEND pour utiliser l’API Cortex pour ingérer les incidents de la plateforme Cortex XDR dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CortexXDR_Incidents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Informations d’identification de l’API Cortex : Le jeton d’API Cortex est requis pour l’API REST. Pour plus d’informations, consultez API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

Instructions d’installation :

Activer l’API Cortex XDR

Connectez Cortex XDR à Microsoft Sentinel via l’API Cortex pour traiter les incidents Cortex.

---

Cribl

Pris en charge par :Cribl

Le connecteur Cribl vous permet de connecter facilement vos journaux Cribl (Cribl Édition Entreprise - Autonome) à Microsoft Sentinel. Cela vous donne plus d’informations sur la sécurité dans les pipelines de données de votre organization.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CriblInternal_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Instructions d’installation et d’installation pour cribl Stream pour Microsoft Sentinel

Utilisez la documentation de ce référentiel Github et configurez Cribl Stream à l’aide de

https://docs.cribl.io/stream/usecase-azure-workspace/

---

Connecteur de données de l’API CrowdStrike (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données CrowdStrike permet d’ingérer des journaux de l’API CrowdStrike dans Microsoft Sentinel. Ce connecteur permet d’ingérer les alertes, lesdétections, les hôtes, les cas et les vulnérabilités CrowdStrike dans Microsoft Sentinel. Ce connecteur repose sur l’infrastructure de connecteur sans code Microsoft Sentinel et utilise l’API CrowdStrike pour extraire les journaux. Il prend en charge les transformations de temps d’ingestion basées sur DCR afin que les requêtes puissent s’exécuter plus efficacement. Pour plus d’informations, reportez-vous à la documentation de l’API CrowdStrike .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CrowdStrikeAlerts	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Crowdstrike OAuth2 API Client et étendues : alertes, intégrations d’API, journaux d’application, cas, règles de corrélation, détections, hôtes, ressources, incidents, Files mis en quarantaine, vulnérabilités sont nécessaires pour l’API REST. Pour plus d’informations, consultez API.

Instructions d’installation :

Connecter CrowdStrike à Microsoft Sentinel

Remarque : Remarque importante : l’API Incidents est entièrement désactivée. Utilisez le nouveau type de données Cases à la place.

Pour collecter des données à partir de CrowdStrike, vous devez fournir les ressources suivantes

1. URL de l’API de base : pour collecter des données à partir de CrowdStrike, vous avez besoin de l’URL de l’API de base.

2. ID client : pour collecter des données à partir de CrowdStrike, vous aurez besoin de l’ID client.

3. Clé secrète client : pour collecter des données à partir de CrowdStrike, vous aurez besoin de la clé secrète client.

Pour obtenir des instructions détaillées sur la récupération de l’URL de l’API de base, de l’ID client et de la clé secrète client, consultez le didacticiel sur le connecteur.

• Grille des connecteurs de données (configurer dans le portail)

Interrogation des détections (après une connexion réussie)

Une fois les journaux d’activité ingérés, la table CrowdStrikeDetections contient des enregistrements d’alerte individuels regroupés par aggregate_id. Pour afficher le véritable comportement au niveau de la détection, utilisez la requête KQL suivante pour agréger les alertes par leur groupe de détection :

CrowdStrikeDetections
| summarize
  AlertCount = count(),
  FirstSeen = min(CreatedTimestamp),
  LastSeen = max(CreatedTimestamp),
  MaxSeverity = max(Severity)
by AggregateId

---

CrowdStrike Falcon Adversary Intelligence (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur CrowdStrike Falcon Indicators of Compromise récupère les indicateurs de compromission à partir de l’API Falcon Intel et les charge Microsoft Sentinel Threat Intel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelIndicators	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• ID client et clé secrète client de l’API CrowdStrike : CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Les informations d’identification CrowdStrike doivent avoir une étendue de lecture Indicateurs (Falcon Intelligence).

Instructions d’installation :

ÉTAPE 1 : Générer les informations d’identification de l’API CrowdStrike.

Vérifiez que l’étendue « Indicateurs (Falcon Intelligence) » a « read » sélectionnée

ÉTAPE 2 : Inscrire une application Entra avec une clé secrète client.

Fournissez au principal de l’application Entra l’attribution de rôle « Contributeur Microsoft Sentinel » sur l’espace de travail Log Analytics correspondant. Comment attribuer des rôles sur Azure.

ÉTAPE 3 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur CrowdStrike Falcon Indicator of Compromise, disposez de l’ID d’espace de travail (peut être copié à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur CrowdStrike Falcon Adversary Intelligence à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Fournissez les paramètres suivants : CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur CrowdStrike Falcon Adversary Intelligence avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, CrowdStrikeFalconIOCXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.12.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID

12. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

CrowdStrike Falcon Data Replicator (AWS S3) (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur Crowdstrike Falcon Data Replicator (S3) offre la possibilité d’ingérer des données d’événement FDR pour Microsoft Sentinel à partir du compartiment AWS S3 où les journaux FDR ont été diffusés en continu. Le connecteur permet d’obtenir des événements à partir des agents Falcon, ce qui permet d’examiner les risques de sécurité potentiels, d’analyser l’utilisation de la collaboration par votre équipe, de diagnostiquer les problèmes de configuration et bien plus encore.

REMARQUE :

1. La licence FDR CrowdStrike doit être disponible & activée.

2. Le connecteur nécessite qu’un rôle IAM soit configuré sur AWS pour autoriser l’accès au compartiment AWS S3 et peut ne pas convenir aux environnements qui tirent parti de CrowdStrike - compartiments managés.

3. Pour les environnements qui tirent parti des compartiments gérés par CrowdStrike, configurez le connecteur CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CrowdStrike_Additional_Events_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Configuration requise : Pour utiliser la fonctionnalité Falcon Data Replicator, les éléments suivants sont requis :

1. Abonnement : 1.1. Falcon Data Replicator. 1.2. Falcon Insight XDR.

2. Rôles : 2.1. Falcon Administrateur.

3. Configurer vos environnements CrowdStrike & AWS Pour configurer l’accès sur AWS, utilisez les deux modèles suivants fournis pour configurer l’environnement AWS. Cela permet d’envoyer des journaux à partir d’un compartiment S3 à votre espace de travail Log Analytics.

Pour chaque modèle, créez une pile dans AWS :

1. Accédez à AWS CloudFormation Stacks.
2. Choisissez l’option « Spécifier le modèle », puis « Charger un fichier de modèle » en cliquant sur « Choisir un fichier » et en sélectionnant le fichier de modèle CloudFormation approprié fourni ci-dessous. cliquez sur « Choisir un fichier », puis sélectionnez le modèle téléchargé.
3. Cliquez sur « Suivant » et sur « Créer une pile ».

Assurez-vous que votre compartiment sera créé dans la même région AWS que votre CID Falcon où le flux FDR est approvisionné. | Région CrowdStrike | Région AWS | |-----------------|-----------| | US-1 | us-west-1 | | US-2 | us-west-2 | | EU-1 | eu-central-1

• Modèle 1 : Déploiement de l’authentification OpenID connect : <valeur de variable fournie au moment de l’installation>
• Modèle 2 : Déploiement de ressources AWS CrowdStrike : <valeur variable fournie au moment> de l’installation Utilisation de votre propre compartiment S3 Pour utiliser votre propre compartiment S3, vous pouvez consulter le guide suivant Utiliser votre propre compartiment S3 ou suivre les étapes suivantes :

1. Créer un cas de support avec le nom suivant : Utilisation du compartiment Auto-S3 pour FDR
2. Ajoutez les informations suivantes : 2.1. Cid Falcon où votre flux FDR est approvisionné 2.2. Indiquez les types d’événements que vous souhaitez fournir dans ce nouveau flux FDR. 2.3. Indiquez les types d’événements que vous souhaitez fournir dans ce nouveau flux FDR. 2.4. N’utilisez aucune partition.

Type d’événement	Préfixe S3
Événements principaux	Données/
Événements secondaires	fdrv2/

2. Connecter de nouveaux collecteurs Pour activer AWS S3 pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (à l’aide de Azure Function) (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Ce connecteur permet l’ingestion de données FDR dans Microsoft Sentinel à l’aide de Azure Functions pour prendre en charge l’évaluation des risques de sécurité potentiels, l’analyse des activités de collaboration, l’identification des problèmes de configuration et d’autres insights opérationnels.

REMARQUE :

1. La licence FDR CrowdStrike doit être disponible & activée.

2. Le connecteur utilise une authentification basée sur clé & secret et convient aux compartiments gérés Par CrowdStrike.

3. Pour les environnements qui utilisent un compartiment AWS S3 entièrement détenu, Microsoft recommande d’utiliser le connecteur CrowdStrike Falcon Data Replicator (AWS S3).

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CrowdStrikeReplicatorV2	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL sont requises. Pour plus d’informations, consultez extraction de données. Pour commencer, contactez le support CrowdStrike. À votre demande, ils créent un compartiment Amazon Web Services (AWS) S3 géré par CrowdStrike à des fins de stockage à court terme, ainsi qu’un compte SQS (service de file d’attente simple) pour surveiller les modifications apportées au compartiment S3.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à AWS SQS/S3 afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés d’autorisation d’API ou les jetons dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Conditions préalables

1. Configurer FDR dans CrowdStrike : vous devez contacter l’équipe du support technique CrowdStrike pour activer CrowdStrike FDR.
   • Une fois que crowdStrike FDR est activé, à partir de la console CrowdStrike, accédez à Support --> API Clients et clés.
   • Vous devez créer des informations d’identification pour copier l’ID de clé d’accès AWS, la clé d’accès au secret AWS, l’URL de file d’attente SQS et la région AWS.
2. Inscrire une application AAD : pour que DCR ingère des données dans Log Analytics, vous devez utiliser l’application AAD.
   • Suivez les instructions ici (étapes 1 à 5) pour obtenir l’ID de locataire AAD, l’ID client AAD et la clé secrète client AAD.
   • Pour l’ID du principal AAD de cette application, accédez à l’application AAD via le portail AAD et capturez l’ID d’objet à partir de la page de vue d’ensemble de l’application.

Options de déploiement

Choisissez UNE parmi les deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Crowdstrike Falcon Data Replicator V2 à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Fournissez les informations requises telles que Microsoft Sentinel’espace de travail, les informations d’identification CrowdStrike AWS, les détails de l’application Azure AD et les configurations d’ingestion

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. Il est recommandé de créer un groupe de ressources pour le déploiement de l’application de fonction et des ressources associées. 3. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 4. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur Crowdstrike Falcon Data Replicator avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer DCE, DCR et tables personnalisées pour l’ingestion des données

2. Déployer le DCE, les DCR et les tables personnalisées nécessaires à l’aide du modèle ARM de ressource de collecte de données

3. Une fois le déploiement réussi de DCE et de DCR, obtenez les informations ci-dessous et conservez-les à portée de main (requises pendant Azure Functions déploiement de l’application).

   • Ingestion des journaux DCE : suivez les instructions disponibles dans Créer un point de terminaison de collecte de données (étape 3).
   • ID immuables d’un ou de plusieurs DCR (le cas échéant) : suivez les instructions disponibles dans Collecter des informations auprès de la DCR (Stpe 2).

4. Déployer une application de fonction

5. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

6. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.

7. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

8. Configurer l’application de fonction

9. Accédez au portail Azure pour la configuration de l’application de fonction.

10. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

11. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

12. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW //True si des données brutes sont requises USER_SELECTION_REQUIRE_SECONDARY //True si des données secondaires sont requises MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 pour la consommation et 150 pour premium MAX_SCRIPT_EXEC_TIME_MINUTES // ajoutez la valeur de 10 ici AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK fichier // est présent sur github. Ajoutez si le fichier est accessible à l’aide d’Internet REQUIRED_FIELDS_SCHEMA_LINK //File est présent sur github. Ajoutez si le fichier est accessible à l’aide de la planification Internet //Ajoutez la valeur « 0 */1 * * * * » pour vous assurer que la fonction s’exécute toutes les minutes.

13. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

CTERA Syslog

Pris en charge par :CTERA

Le connecteur de données CTERA pour Microsoft Sentinel offre des fonctionnalités de surveillance et de détection des menaces pour votre solution CTERA. Il inclut un classeur visualisant la somme de toutes les opérations par type, suppressions et opérations d’accès refusé. Il fournit également des règles analytiques qui détectent les incidents de ransomware et vous alertent lorsqu’un utilisateur est bloqué en raison d’une activité suspecte de ransomware. En outre, il vous aide à identifier les modèles critiques tels que les événements refusés d’accès en masse, les suppressions massives et les modifications d’autorisations en masse, ce qui permet une gestion et une réponse proactives aux menaces.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Syslog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Étape 1 : Connecter la plateforme CTERA à Syslog

Configurer votre connexion syslog au portail CTERA et Edge-Filer connecteur Syslog

Étape 2 : Installer Azure Monitor Agent (AMA) sur le serveur Syslog

Installez l’agent Azure Monitor (AMA) sur votre serveur syslog pour activer la collecte de données.

---

CTM360 CyberBlindSpot (serverless)

Pris en charge par :Cyber Threat Management 360

Le connecteur CTM360 Cyber Blind Spot (CBS) fournit une intégration à la plateforme CBS de CTM360 pour ingérer des données de sécurité sur 6 types de modules : incidents, journaux de programmes malveillants, informations d’identification violées, cartes compromises, violation de domaine et violation de sous-domaine. Ce connecteur utilise l’infrastructure CCF (Codeless Connector Framework) pour la collecte de données serverless.

Types de données :

• CBSLog_AzureV2_CL
• CBS_MalwareLogs_AzureV2_CL
• CBS_BreachedCredentials_AzureV2_CL
• CBS_CompromisedCards_AzureV2_CL
• CBS_DomainInfringement_AzureV2_CL
• CBS_SubdomainInfringement_AzureV2_CL

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CBSLog_AzureV2_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Clé API CBS CTM360 : une clé API CTM360 Cyber Blind Spot valide est nécessaire pour se connecter au point de terminaison de l’API CBS.

Instructions d’installation :

Connecter l’angle mort cyber CTM360 à Microsoft Sentinel

Ce connecteur utilise l’infrastructure de connecteur sans code (CCF) pour ingérer des données de cbS CTM360 dans Microsoft Sentinel. Les données sont collectées toutes les 5 minutes sur 6 types de modules différents.

Remarque : Ce connecteur crée 6 tables distinctes pour différents types de modules CBS : Incidents, Journaux des programmes malveillants, Informations d’identification violées, Cartes compromises, Violation de domaine et Violation de sous-domaine.

Étape 1 : Obtenir les clés API CTM360

Pour configurer cette intégration, vous avez besoin d’une clé API CBS. Vous pouvez obtenir ces clés à l’aide des liens suivants :

Clé API CBS trouvée à partir de ce lien : https://platform.ctm360.com/start/integrations après la journalisation avec votre compte

Étape 2 : Configurer la connexion

Entrez votre clé API CBS CTM360 et connectez-vous pour démarrer l’ingestion des données.

• Clé API CBS CTM360 : (Entrez votre clé API CBS CTM360)
• Activer/désactiver la connexion

Étape 3 : Vérifier l’ingestion des données

Après la connexion, les données doivent commencer à circuler dans les 5 à 10 minutes. Utilisez les exemples de requêtes ci-dessus pour vérifier l’ingestion des données pour chaque type de module.

Remarque : Remarque : l’ingestion initiale des données peut prendre jusqu’à 30 minutes. Le connecteur interroge toutes les 5 minutes avec une fenêtre propagée de 5 minutes.

---

CTM360 HackerView (serverless)

Pris en charge par :Cyber Threat Management 360

Le connecteur HackerView CTM360 vous permet d’ingérer les problèmes de sécurité et les vulnérabilités de votre plateforme de gestion de surface d’attaque externe HackerView dans Microsoft Sentinel. Ce connecteur serverless utilise l’API REST pour extraire automatiquement les données de problème à des fins d’analyse et de corrélation avec d’autres événements de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
HackerViewLog_AzureV2_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Clé API HackerView : une clé API HackerView valide avec des autorisations pour accéder aux données des problèmes est requise.

Instructions d’installation :

Connecter CTM360 HackerView à Microsoft Sentinel

Ce connecteur utilise l’API REST HackerView pour ingérer automatiquement les problèmes de sécurité dans Microsoft Sentinel.

Remarque : Il s’agit d’un connecteur serverless qui utilise le CCF (Codeless Connector Framework) de Azure. Aucun déploiement de fonction Azure n’est requis.

Étape 1 : Obtenir les clés API CTM360

Pour configurer cette intégration, vous avez besoin de la clé API HackerView. Vous pouvez obtenir ces clés à l’aide des liens suivants :

Clé API HackerView trouvée à partir de ce lien : https://platform.ctm360.com/start/integrations après la journalisation avec votre compte

Étape 2 : Configurer le connecteur

Entrez votre clé API HackerView, puis cliquez sur Se connecter pour commencer l’ingestion des données.

• Clé API : (Entrez votre clé API HackerView)
• Activer/désactiver la connexion

Étape 3 : Vérifier l’ingestion des données

Après la connexion, les données doivent commencer à circuler dans les 5 à 10 minutes. Exécutez la requête suivante pour vérifier :

Remarque : HackerViewLog_AzureV2_CL | prendre 10

---

Journaux personnalisés via AMA

Pris en charge par :Microsoft Corporation

De nombreuses applications consignent des informations dans des fichiers texte ou JSON au lieu des services de journalisation standard, tels que les journaux des événements Windows, Syslog ou CEF. Le connecteur de données Journaux personnalisés vous permet de collecter des événements à partir de fichiers sur les ordinateurs Windows et Linux et de les diffuser vers des tables de journaux personnalisées que vous avez créées. Lors de la diffusion en continu des données, vous pouvez analyser et transformer le contenu à l’aide de la DCR. Après avoir collecté les données, vous pouvez appliquer des règles analytiques, la chasse, la recherche, le renseignement sur les menaces, les enrichissements et bien plus encore.

REMARQUE : utilisez ce connecteur pour les appareils suivants : Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, serveur Apache HTTP, Apache Tomcat, plateforme d’applications Jboss Enterprise, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic Server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP and AI vectra stream.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
JBossEvent_CL	Non	Non
JuniperIDP_CL	Oui	Oui
ApacheHTTPServer_CL	Oui	Oui
Tomcat_CL	Oui	Oui
meraki_CL	Oui	Oui
VectraStream_CL	Non	Non
MarkLogicAudit_CL	Non	Non
MongoDBAudit_CL	Oui	Oui
NGINX_CL	Oui	Oui
OracleWebLogicServer_CL	Oui	Oui
PostgreSQL_CL	Oui	Oui
SquidProxy_CL	Oui	Oui
Ubiquiti_CL	Oui	Oui
vcenter_CL	Oui	Oui
ZPA_CL	Oui	Oui
SecurityBridgeLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations : pour collecter des données à partir de machines virtuelles non Azure, Azure Arc doit être installé et activé. En savoir plus

Instructions d’installation :

Activer la règle de collecte de données

Les journaux personnalisés sont collectés à partir des agents Windows et Linux.

• Install Agent : <valeur de variable fournie au moment de l’installation>

---

CyberArk Audit

Pris en charge par :CyberArk Support

Le connecteur de données CyberArk Audit permet à Microsoft Sentinel d’ingérer les journaux des événements de sécurité et d’autres événements à partir du service CyberArk Audit via l’API REST. Cette intégration vous permet de détecter les risques de sécurité potentiels, de surveiller l’activité des utilisateurs, d’analyser les modèles de collaboration, de résoudre les problèmes de configuration et d’obtenir des insights plus approfondis sur votre environnement.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyberArk_AuditEvents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Plateforme de service d’audit CyberArk : accès pour effectuer les configurations requises dans la plateforme d’audit CyberArk

Instructions d’installation :

Connectez-vous à l’API CyberArk Audit pour commencer à collecter les journaux des événements dans Microsoft Sentinel

Suivez les étapes ci-dessous pour intégrer Microsoft Sentinel à CyberArk Audit et activer la surveillance centralisée des activités du système et des utilisateurs dans Microsoft Sentinel. Vous pouvez également vous reporter à la documentation de CyberArk Audit et suivre jusqu’à l’étape 5.

Étape 1 : Créer une intégration SIEM

1. Sur le portail CyberArk, accédez à Administration.
2. Sélectionnez My environment>>IntegrationsExport to SIEM.
3. Dans la page Intégrations SIEM, sélectionnez Create>Create SIEM integration
4. Dans la Create a SIEM integration page, sélectionnez le Identity Administration lien pour créer un serveur OAuth web dans Identity Administration. Étape 2 : Créer une application web serveur OAuth2 dans l’administration des identités
5. Sur Identity Administration la page, dans le menu de gauche, sélectionnez Apps & Widgets>Web Apps
6. Sélectionnez et créez Add Web Apps un type d’application OAuth2 server web à partir de l’onglet Custom .
7. Entrez CyberArkAuditforMicrosoftSentinel les ApplicationID champs et Name .
8. Dans l’onglet Tokens , vérifiez que la valeur du Token Type champ est jwtR256 et que seule la Client Creds méthode d’autorisation est sélectionnée.
9. Cliquez Add dans l’onglet Scope et entrez isp.audit.events:read.
10. Dans l’onglet Advanced , copiez et collez le script suivant, puis cliquez sur Enregistrer.

		setClaim('tenant_id', TenantData.Get("CybrTenantID"));
		setClaim('aud', 'cyberark.isp.audit');

7. Cliquez sur Save. Étape 3 : Créer un utilisateur de service dans l’administration des identités
8. Accédez à , Core Services>Userssélectionnez Add User.
9. Dans la Account section , entrez et Display nameLogin name en tant que MicrosoftSentinel. Ajoutez un nouveau mot de passe ou générez le mot de passe automatiquement.
10. Sélectionnez OAuth confidential client.
11. Dans l’onglet Application Settings , cliquez sur Add.
12. Sélectionnez l’application CyberArkAuditforMicrosoftSentinel . Il s’agit du nom que vous avez créé dans le service web. Étape 4 : Accorder des autorisations d’application web à l’utilisateur du service
13. Accédez à l’application CyberArkAuditforMicrosoftSentinel web que vous avez créée.
14. Dans l’onglet Permissions , cliquez Add pour rechercher votre utilisateur MicrosoftSentinel , puis cliquez sur Add.
15. Définissez les autorisations suivantes pour l’utilisateur :
    • Accorder
    • View
    • Exécuter
    • Déployer automatiquement Étape 5 : Définir la description de l’intégration
16. Accédez à Administration.
17. Sélectionnez My environment>>IntegrationsExport to SIEM.
18. Sélectionnez Create>Create SIEM integration.
19. Entrez le nom et Microsoft Sentinel Integration ajoutez éventuellement une description.
20. Cliquez sur Apply. Étape 6 : Connecter CyberArk Audit Service à Microsoft Sentinel Data Connector

Note: Copiez tous les détails que vous avez capturés dans les étapes précédentes et connectez-vous au service CyberArk Audit.

• Nom de l’application du serveur OAuth2 : (par exemple, AuditforMicrosoftSentinel)
• Clé API d’audit : (La clé API peut être récupérée à partir du service d’audit)
• Point de terminaison d’identité : (par exemple, kln9281.id.cyberark.cloud)
• URL de base de l’API d’audit : (par exemple, org-test.audit.cyberark.cloud)
• Action de filtre de requête d’audit (facultatif) : (par exemple, {"op » :"include »,"params » :["cloud.core.login »,"cloud.core.mfasummary"]})
• Code d’application du filtre de requête d’audit (facultatif) : (par exemple, {"op » :"include »,"params » :["IDP »,"CMS"]})
• Type d’audit du filtre de requête d’audit (facultatif) : (par exemple, {"op » :"include »,"params » :["Failure"]})

---

CyberArkAudit (à l’aide de Azure Functions)

Pris en charge par :CyberArk Support

Le connecteur de données CyberArk Audit permet de récupérer les journaux des événements de sécurité du service CyberArk Audit et d’autres événements dans Microsoft Sentinel via l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyberArk_AuditEvents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Auditez les détails des connexions de l’API REST et les informations d’identification : OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint et AuditApiBaseUrl sont nécessaires pour effectuer des appels d’API.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Stockage Blob Azure afin d’extraire des journaux dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure coûts. Pour plus d’informations, consultez la page de tarification Azure Functions et Stockage Blob Azure page de tarification.

NOTE: Les clés d’autorisation d’API ou les jetons sont stockés en toute sécurité dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé.

ÉTAPE 1 : Étapes de configuration de l’intégration SIEM d’audit CyberArk

Suivez les instructions pour obtenir les informations d’identification et les détails de connexion.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données CyberArk Audit, disposez du nom de l’espace de travail et de l’emplacement de l’espace de travail (peuvent être copiés à partir de ce qui suit).

• Nom de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Emplacement de l’espace de travail : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données CyberArk Audit à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez cyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL et déployez. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données CyberArk Audit avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, CyberArkXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.10.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Alertes actionnables Cybersixgill (à l’aide de Azure Functions)

Pris en charge par :Cybersixgill

Les alertes actionnables fournissent des alertes personnalisées basées sur les ressources configurées

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyberSixgill_Alerts_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : Client_ID et Client_Secret sont nécessaires pour effectuer des appels d’API.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Cybersixgill afin d’extraire des alertes dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure coûts. Pour plus d’informations, consultez la page de tarification Azure Functions et Stockage Blob Azure page de tarification.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Alertes actionnables Cybersixgill à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID de l’espace de travail, la clé d’espace de travail, l’ID client, la clé secrète client, TimeInterval et deploy.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Alertes actionnables Cybersixgill avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, CybersixgillAlertsXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : ClientID ClientSecret Polling WorkspaceID LogKeyAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant :https://<CustomerId>.ods.opinsights.azure.us

3. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Alertes Cyble Vision

Pris en charge par :Prise en chargede Cyble

Le connecteur de données CCF des alertes Cyble Vision permet l’ingestion des alertes de menace de Cyble Vision dans Microsoft Sentinel à l’aide du connecteur sans code. Il collecte les données d’alerte via l’API, les normalise et les stocke dans une table personnalisée pour une détection, une corrélation et une réponse avancées.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CybleVisionAlerts_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Jeton d’API Cyble Vision : un jeton d’API de Cyble Vision Platform est requis.

Instructions d’installation :

Étape 1 : Génération d’un jeton d’API à partir de Cyble Platform

Accédez à Cyble Platform et connectez-vous à l’aide de vos informations d’identification Cyble Vision.

Une fois connecté, accédez au panneau de gauche et faites défiler jusqu’à Utilitaires. Cliquez sur API d’accès. En haut à droite de la page, cliquez sur l’icône + (Ajouter) pour générer une nouvelle clé API. Fournissez un alias (nom convivial pour votre clé), puis cliquez sur Générer. Copiez le jeton d’API généré et stockez-le en toute sécurité.

ÉTAPE 2 : Configurer le connecteur de données

Revenez à Microsoft Sentinel et ouvrez la page de configuration du connecteur de données Alertes Cyble Vision. Collez votre jeton d’API Cyble dans le champ Jeton d’API sous « Détails de l’API ».

• Jeton d’API : (Entrez votre jeton d’API)
• Intervalle de requête (en minutes) : (Entrez la durée en minutes (par exemple, 10))
• Activer/désactiver la connexion

---

Cyborg Security HUNTER Hunt Packages

Pris en charge par :Cyborg Security

Cyborg Security est l’un des principaux fournisseurs de solutions avancées de repérage des menaces, avec pour mission d’offrir aux organisations des technologies de pointe et des outils de collaboration pour détecter et répondre de manière proactive aux cybermenaces. L’offre phare de Cyborg Security, HUNTER Platform, combine des analyses puissantes, du contenu de chasse aux menaces organisé et des fonctionnalités complètes de gestion de la chasse pour créer un écosystème dynamique pour des opérations de chasse aux menaces efficaces.

Suivez les étapes pour accéder à la communauté de Cyborg Security et configurer les fonctionnalités « Ouvrir dans l’outil » dans la plateforme HUNTER.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityEvent	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Remarque : utilisez le lien suivant pour trouver votre ID Azure Tentant Comment trouver votre ID de locataire Active Directory Azure

• ResourceGroupName & WorkspaceName : <valeur de variable fournie au moment de l’installation>
• WorkspaceID : <valeur de variable fournie au moment de l’installation>

1. Inscrivez-vous au compte de la communauté HUNTER de Cyborg Security

Cyborg Security offre aux memebers communautaires l’accès à un sous-ensemble des collections de menaces émergentes et des packages de chasse.

Créez un compte commuinity gratuit pour accéder aux packages de chasse de Cyborg Security : Inscrivez-vous maintenant !

2. Configurer la fonctionnalité Ouvrir dans l’outil

1. Accédez à la section Environnement de la plateforme HUNTER.

2. Renseignez l’URI racine de votre environnement dans la section intitulée Microsoft Sentinel. Remplacez les <éléments> en gras par les ID et les noms de votre abonnement, groupes de ressources et espaces de travail.

   https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/

3. Cliquez sur Save (Enregistrer).

3. Exécuter un chasseur de chasse dans Microsoft Sentinel

Identifiez un package de chasse Cyborg Security HUNTER à déployer et utilisez le bouton Ouvrir dans l’outil pour ouvrir rapidement Microsoft Sentinel et mettre en scène le contenu de chasse.

---

Connecteur de données Cyera DSPM Microsoft Sentinel

Pris en charge par :Cyera Inc

Le connecteur de données Cyera DSPM vous permet de vous connecter au locataire DSPM de votre Cyera et d’ingérer des classifications, des ressources, des problèmes et des ressources/définitions d’identité dans Microsoft Sentinel. Le connecteur de données repose sur l’infrastructure de connecteur sans code de Microsoft Sentinel et utilise l’API de Cyera pour extraire les données de télémétrie DSPM de Cyera une fois reçues peuvent être corrélées avec des événements de sécurité créant des colonnes personnalisées afin que les requêtes n’aient pas besoin de les analyser à nouveau, ce qui améliore les performances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyeraClassifications_CL	Non	Non
CyeraAssets_CL	Non	Non
CyeraAssets_MS_CL	Non	Non
CyeraIssues_CL	Non	Non
CyeraIdentities_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Authentification DSPM Cyera

Connectez-vous à votre client Cyera DSPM via des jetons d’accès personnels

• ID client du jeton d’accès personnel Cyera : (client_id)
• Clé secrète du jeton d’accès personnel Cyera : (secret_key)
• Activer/désactiver la connexion

---

Surface d’attaque CYFIRMA

Pris en charge par :CYFIRMA

S/O

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyfirmaASCertificatesAlerts_CL	Oui	Oui
CyfirmaASConfigurationAlerts_CL	Oui	Oui
CyfirmaASDomainIPReputationAlerts_CL	Oui	Oui
CyfirmaASOpenPortsAlerts_CL	Oui	Oui
CyfirmaASCloudWeaknessAlerts_CL	Oui	Oui
CyfirmaASDomainIPVulnerabilityAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Surface d’attaque CYFIRMA

Connectez-vous à la surface d’attaque CYFIRMA pour ingérer des alertes dans Microsoft Sentinel. Ce connecteur utilise l’API DeCYFIR/DeTCT pour récupérer les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR, en analysant les données de sécurité dans des tables personnalisées pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances et l’efficacité.

• URL de l’API CYFIRMA : (https://decyfir.cyfirma.com)
• Clé API CYFIRMA : (Clé API CYFIRMA)
• Delta de l’API : (API Delta)
• Activer/désactiver la connexion

---

CYFIRMA Brand Intelligence

Pris en charge par :CYFIRMA

S/O

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyfirmaBIDomainITAssetAlerts_CL	Oui	Oui
CyfirmaBIExecutivePeopleAlerts_CL	Oui	Oui
CyfirmaBIProductSolutionAlerts_CL	Oui	Oui
CyfirmaBISocialHandlersAlerts_CL	Oui	Oui
CyfirmaBIMaliciousMobileAppsAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

CYFIRMA Brand Intelligence

Connectez-vous à CYFIRMA Brand Intelligence pour ingérer des données d’alertes dans Microsoft Sentinel. Ce connecteur utilise l’API Alertes DeCYFIR/DeTCT pour récupérer les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR, en analysant les données de sécurité dans des tables personnalisées pendant l’ingestion. Cela améliore les performances et l’efficacité en éliminant la nécessité d’une analyse au moment de la requête.

• URL de l’API CYFIRMA : (https://decyfir.cyfirma.com)
• Clé API CYFIRMA : (Clé API CYFIRMA)
• Delta de l’API : (API Delta)
• Activer/désactiver la connexion

---

Comptes compromis CYFIRMA

Pris en charge par :CYFIRMA

Le connecteur de données CYFIRMA Compromised Accounts permet une ingestion transparente des journaux à partir de l’API DeCYFIR/DeTCT dans Microsoft Sentinel. Basé sur l’infrastructure de connecteur sans code Microsoft Sentinel, elle tire parti de l’API DeCYFIR/DeTCT pour récupérer les journaux. En outre, il prend en charge les transformations de temps d’ingestion basées sur DCR, qui analysent les données de sécurité dans une table personnalisée pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances et l’efficacité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyfirmaCompromisedAccounts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Comptes compromis CYFIRMA

Le connecteur de données des comptes compromis CYFIRMA permet une ingestion de journaux transparente à partir de l’API DeCYFIR/DeTCT dans Microsoft Sentinel. Basé sur l’infrastructure de connecteur sans code Microsoft Sentinel, elle tire parti de l’API DeCYFIR/DeTCT pour récupérer les journaux. En outre, il prend en charge les transformations de temps d’ingestion basées sur DCR, qui analysent les données de sécurité dans une table personnalisée pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances et l’efficacité.

• URL de l’API CYFIRMA : (https://decyfir.cyfirma.com)
• Clé API CYFIRMA : (Clé API CYFIRMA)
• Delta de l’API : (API Delta)
• Activer/désactiver la connexion

---

CYFIRMA Cyber Intelligence

Pris en charge par :CYFIRMA

Le connecteur de données CYFIRMA Cyber Intelligence permet une ingestion transparente des journaux à partir de l’API DeCYFIR dans Microsoft Sentinel. Basé sur l’infrastructure de connecteur sans code Microsoft Sentinel, elle tire parti de l’API Alertes DeCYFIR pour récupérer les journaux. En outre, il prend en charge les transformations de temps d’ingestion basées sur DCR, qui analysent les données de sécurité dans une table personnalisée pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances et l’efficacité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyfirmaIndicators_CL	Oui	Oui
CyfirmaThreatActors_CL	Oui	Oui
CyfirmaCampaigns_CL	Oui	Oui
CyfirmaMalware_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

CYFIRMA Cyber Intelligence

Ce connecteur fournit les journaux Indicateurs, Acteurs de menaces, Programmes malveillants et Campagnes de CYFIRMA Cyber Intelligence. Le connecteur utilise l’API DeCYFIR pour récupérer les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR, en analysant les données de sécurité dans une table personnalisée pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances et l’efficacité.

• URL de l’API CYFIRMA : (https://decyfir.cyfirma.com)
• Clé API CYFIRMA : (Clé API CYFIRMA)
• Extraire tous les IoC ou IoC personnalisés : (Tous les IoC ou IoC personnalisés)
• Delta de l’API : (API Delta)
• Actions recommandées : (l’action recommandée peut être n’importe laquelle de :All/Monitor/Block)
• Acteur de menace associé : (Est-ce qu’un acteur de menace associé à l’IoC)
• Activer/désactiver la connexion

---

CYFIRMA Digital Risk

Pris en charge par :CYFIRMA

Le connecteur de données CYFIRMA Digital Risk Alerts permet une ingestion transparente des journaux à partir de l’API DeCYFIR/DeTCT dans Microsoft Sentinel. Basé sur l’infrastructure de connecteur sans code Microsoft Sentinel, elle tire parti de l’API Alertes DeCYFIR pour récupérer les journaux. En outre, il prend en charge les transformations de temps d’ingestion basées sur DCR, qui analysent les données de sécurité dans une table personnalisée pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances et l’efficacité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyfirmaDBWMPhishingAlerts_CL	Oui	Oui
CyfirmaDBWMRansomwareAlerts_CL	Oui	Oui
CyfirmaDBWMDarkWebAlerts_CL	Oui	Oui
CyfirmaSPESourceCodeAlerts_CL	Oui	Oui
CyfirmaSPEConfidentialFilesAlerts_CL	Oui	Oui
CyfirmaSPEPIIAndCIIAlerts_CL	Oui	Oui
CyfirmaSPESocialThreatAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

CYFIRMA Digital Risk

Connectez-vous à CYFIRMA Digital Risk Alerts pour ingérer des journaux dans Microsoft Sentinel. Ce connecteur utilise l’API DeCYFIR/DeTCT pour récupérer les alertes et prend en charge les transformations de temps d’ingestion basées sur DCR pour une analyse efficace des journaux.

• URL de l’API CYFIRMA : (https://decyfir.cyfirma.com)
• Clé API CYFIRMA : (Clé API CYFIRMA)
• Delta de l’API : (API Delta)
• Activer/désactiver la connexion

---

CYFIRMA Vulnerabilities Intelligence

Pris en charge par :CYFIRMA

Le connecteur de données CYFIRMA Vulnerabilities Intelligence permet une ingestion transparente des journaux à partir de l’API DeCYFIR dans Microsoft Sentinel. Basé sur l’infrastructure de connecteur sans code Microsoft Sentinel, elle tire parti de l’API CYFIRMA pour récupérer les journaux. En outre, il prend en charge les transformations de temps d’ingestion basées sur DCR, qui analysent les données de sécurité dans une table personnalisée pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances et l’efficacité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyfirmaVulnerabilities_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

CYFIRMA Vulnerabilities Intelligence

Ce connecteur fournit les journaux des vulnérabilités de CYFIRMA Vulnerabilities Intelligence. Le connecteur utilise l’API DeCYFIR pour récupérer les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR, en analysant les données de sécurité dans une table personnalisée pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances et l’efficacité.

• URL de l’API CYFIRMA : (https://decyfir.cyfirma.com)
• Clé API CYFIRMA : (Clé API CYFIRMA)
• Delta de l’API : (API Delta)
• Vulnérabilités associées au fournisseur :
• Vulnérabilités associées au produit :
• Produit présentant des vulnérabilités Version-Associated :
• Activer/désactiver la connexion

---

Événements de sécurité Cynerio

Pris en charge par :Cynerio

Le connecteur Cynerio vous permet de connecter facilement vos événements de sécurité Cynerio à Microsoft Sentinel pour afficher les événements IDS. Cela vous donne plus d’informations sur la posture de sécurité réseau de votre organization et améliore vos fonctionnalités d’opération de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CynerioEvent_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Configurer et connecter Cynerio

Cynerio peut intégrer et exporter des événements directement vers Microsoft Sentinel via Azure Server. Procédez comme suit pour établir l’intégration :

1. Dans la console Cynerio, accédez à l’onglet Paramètres > Intégrations (par défaut), puis cliquez sur le bouton +Ajouter une intégration en haut à droite.

2. Faites défiler jusqu’à la section SIEM .

3. Dans le Microsoft Sentinel carte, cliquez sur le bouton Se connecter.

4. La fenêtre Détails de l’intégration s’ouvre. Utilisez les paramètres ci-dessous pour remplir le formulaire et configurer la connexion.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Cyren Threat Intelligence

Pris en charge par :Data443 Risk Mitigation, Inc.

Ingérer les indicateurs de réputation IP et d’URL des programmes malveillants de Cyren à l’aide du Common Connector Framework (CCF).

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Cyren_Indicators_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Jetons Cyren JWT : jetons JWT stockés dans Azure Key Vault ou fournis au moment du déploiement.

Instructions d’installation :

Connecter Cyren Threat Intelligence

Pour activer le connecteur Cyren Threat Intelligence, fournissez vos jetons JWT ci-dessous, puis cliquez sur Se connecter.

Note: Vous pouvez utiliser le flux ou les deux en fonction de votre abonnement. Laissez le champ de jeton vide pour tout flux que vous n’avez pas acheté. Seuls les connecteurs pour les jetons fournis seront déployés.

Pour renforcer la sécurité, vous pouvez activer l’intégration Key Vault pour stocker et récupérer les jetons JWT.

• Jeton JWT de réputation IP (facultatif) : (Laissez vide si vous n’avez pas acheté)
• Jeton JWT URL du programme malveillant (facultatif) : (Laissez vide si vous n’avez pas acheté)
• Activer/désactiver la connexion

---

Incidents SOAR intelligents D3

Pris en charge par :D3 Security

Le connecteur de données D3 Smart SOAR extrait les incidents de D3 Smart SOAR dans Microsoft Sentinel à l’aide du point de terminaison de commande de l’API REST D3.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
D3SOARIncidents_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Connecter D3 Smart SOAR à Microsoft Sentinel

Prérequis : Dans D3 Smart SOAR, accédez à Gestion de l’organisation → Sites, sélectionnez le site que vous connectez et définissez son fuseau horaire sur (UTC+00:00) Temps universel coordonné. Cela garantit que les horodatages des incidents sont correctement alignés sur Microsoft Sentinel.

Entrez les détails de votre connexion D3 Smart SOAR ci-dessous. Les incidents sont interrogés toutes les 5 minutes et écrits dans la table D3SOARIncidents_CL. URL du serveur : URL de base de votre déploiement D3 Smart SOAR, jusqu’au chemin du site inclus. N’incluez pas le chemin d’accès de l’API. Nom d’utilisateur : nom d’utilisateur de votre compte D3 Smart SOAR (identique à votre connexion au portail). Site : nom du site D3 Smart SOAR auquel votre compte appartient (par exemple Security Operations). D3 JWT : jeton web JSON émis par D3 Smart SOAR pour l’authentification d’API.

• URL du serveur : (https://poc.bemimo.com/ce_site/VSOC)
• Nom d’utilisateur : (administrateur)
• Site : (Opérations de sécurité)
• D3 JWT : (ey...)
• Activer/désactiver la connexion

---

Connecteur Darktrace pour Microsoft Sentinel API REST

Pris en charge par :Darktrace

Le connecteur d’API REST Darktrace envoie (push) les événements en temps réel de Darktrace vers Microsoft Sentinel et est conçu pour être utilisé avec la solution Darktrace pour Sentinel. Le connecteur écrit les journaux dans une table de journaux personnalisée intitulée « darktrace_model_alerts_CL » ; Les violations de modèle, les incidents d’analyste IA, les alertes système et les alertes Email peuvent être ingérées . Des filtres supplémentaires peuvent être configurés dans la page Configuration du système Darktrace. Les données sont envoyées à Sentinel à partir des maîtres Darktrace.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
darktrace_model_alerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Conditions préalables de Darktrace : pour utiliser ce connecteur de données, un master Darktrace exécutant v5.2+ est nécessaire. Les données sont envoyées à l’API de collecteur de données HTTP Azure Monitor sur des HTTPs à partir des maîtres Darktrace. Par conséquent, une connectivité sortante de l’master Darktrace vers Microsoft Sentinel’API REST est requise.
• Filtrer les données Darktrace : pendant la configuration, il est possible de configurer un filtrage supplémentaire sur la page Configuration du système Darktrace pour limiter la quantité ou les types de données envoyées.
• Essayez la solution Darktrace Sentinel : vous pouvez tirer le meilleur parti de ce connecteur en installant la solution Darktrace pour Microsoft Sentinel. Cela fournit des classeurs pour visualiser les données d’alerte et les règles d’analyse afin de créer automatiquement des alertes et des incidents à partir de violations de modèle Darktrace et d’incidents d’analyste IA.

Instructions d’installation :

1. Vous trouverez des instructions d’installation détaillées sur le portail client Darktrace : https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
2. Notez l’ID de l’espace de travail et la clé primaire. Vous devez entrer ces détails dans votre page Configuration du système Darktrace.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Darktrace Configuration

1. Effectuez les étapes suivantes dans la page Configuration du système Darktrace :
2. Accédez à la page Configuration du système (menu > principal Administration > configuration du système)
3. Accédez à La configuration des modules et cliquez sur le carte de configuration « Microsoft Sentinel »
4. Sélectionnez « HTTPS (JSON) » et appuyez sur « Nouveau »
5. Renseignez les informations requises et sélectionnez les filtres appropriés
6. Cliquez sur « Vérifier les paramètres d’alerte » pour tenter l’authentification et envoyer une alerte de test
7. Exécuter un exemple de requête « Rechercher des alertes de test » pour vérifier que l’alerte de test a été reçue

---

DataBahn

Pris en charge par :Databahn

Le connecteur Data Téléroute offre la possibilité d’envoyer des données de télémétrie de plateforme en temps réel de votre environnement DataBahn directement à Microsoft Sentinel à l’aide du modèle Push CCF (Codeless Connector Framework). Ce connecteur ingère les journaux d’audit, les alertes opérationnelles et l’inventaire des appareils dans des tables Log Analytics personnalisées à des fins d’analyse, d’alerte et de visualisation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
databahn_audit_logs_CL	Non	Non
databahn_alerts_CL	Non	Non
databahn_device_inventory_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur.

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Ce connecteur permet à votre plateforme Data Bahn d’envoyer (push) les journaux d’audit, les alertes et l’inventaire des appareils directement à Microsoft Sentinel via l’API d’ingestion Azure Monitor.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création de tables Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Configurer votre plateforme Data Bahn

Utilisez les paramètres suivants pour configurer votre destination Data Highway Data Highway afin d’envoyer des données à l’espace de travail.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• Nom du Stream des journaux d’audit : <valeur de variable fournie au moment de l’installation>
• Nom du Stream des alertes : <valeur de variable fournie au moment de l’installation>
• Nom de l’Stream de l’inventaire des appareils : <valeur de variable fournie au moment de l’installation>

---

Datalake2Sentinel

Pris en charge par :Orange Cyberdefense

Cette solution installe le connecteur Datalake2Sentinel qui est créé à l’aide de l’infrastructure de connecteur sans code et vous permet d’ingérer automatiquement des indicateurs de renseignement sur les menaces de la plateforme CTI de Datalake Orange Cyberdefense dans Microsoft Sentinel via l’API REST Upload Indicators. Après avoir installé la solution, configurez et activez ce connecteur de données en suivant les instructions de la vue Gérer la solution.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Instructions d’installation et d’installation

Utilisez la documentation de ce référentiel Github pour installer et configurer datalake sur Microsoft Sentinel connecteur.

https://github.com/cert-orangecyberdefense/datalake2sentinel

---

Dataminr Pulse Alerts Data Connector (à l’aide de Azure Functions)

Pris en charge par :Support dataminr

Dataminr Pulse Alerts Data Connector intègre notre intelligence en temps réel basée sur l’IA dans Microsoft Sentinel pour accélérer la détection et la réponse aux menaces.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DataminrPulse_Alerts_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans Microsoft Entra ID et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations Dataminr requises :

a. Les utilisateurs doivent disposer d’un ID client et d’un secretd’API Dataminr Pulse valides pour utiliser ce connecteur de données.

b. Une ou plusieurs watchlists Dataminr Pulse doivent être configurées dans le site web Dataminr Pulse.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter au DataminrPulse dans lequel les journaux sont envoyés via dataminr RTAP et il ingère les journaux dans Microsoft Sentinel. En outre, le connecteur extrait les données ingérées à partir de la table de journaux personnalisée et crée des indicateurs de renseignement sur les menaces dans Microsoft Sentinel Renseignement sur les menaces. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Informations d’identification pour l’ID client Dataminr Pulse et la clé secrète client

• Obtenez l’ID utilisateur/mot de passe dataminr Pulse et l’ID client/secret de l’API à partir de votre Dataminr Customer Success Manager (CSM).

ÉTAPE 2 : Configurer des watchlists dans le portail Dataminr Pulse.

Suivez les étapes de cette section pour configurer les watchlists dans le portail :

1. Connectez-vous au site web Dataminr Pulse.

2. Cliquez sur l’icône d’engrenage des paramètres, puis sélectionnez Gérer les listes.

3. Sélectionnez le type de Watchlist que vous souhaitez créer (Cyber, Rubrique, Entreprise, etc.), puis cliquez sur le bouton Nouvelle liste .

4. Fournissez un nom pour votre nouvelle Watchlist, puis sélectionnez une couleur de surbrillance pour celle-ci, ou conservez la couleur par défaut.

5. Lorsque vous avez terminé de configurer la watchlist, cliquez sur Enregistrer pour l’enregistrer.

ÉTAPE 3 : Étapes d’inscription d’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution de DataminrPulse Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 4 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de DataminrPulse Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution de DataminrPulse Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 5 : Attribuer le rôle Contributeur à l’application dans Microsoft Entra ID

Suivez les étapes de cette section pour attribuer le rôle :

1. Dans le Portail Azure, accédez à Groupe de ressources et sélectionnez votre groupe de ressources.
2. Accédez à Contrôle d’accès (IAM) à partir du volet gauche.
3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
6. Cliquez sur Ajouter des membres, tapez le nom de votre application que vous avez créée et sélectionnez-la.
7. Cliquez maintenant sur Vérifier + attribuer, puis cliquez à nouveau sur Vérifier + attribuer.

Lien de référence :/azure/role-based-access-control/role-assignments-portal

ÉTAPE 6 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer dataminr Pulse Microsoft Sentinel connecteur de données, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir des éléments suivants).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur DataminrPulse.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les informations ci-dessous : Function Name Workspace ID Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer le connecteur de données Dataminr Pulse Microsoft Sentinel manuellement avec Azure Functions (Déploiement via Visual Studio Code).

1) Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, DmPulseXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.8 ou version ultérieure.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

2) Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (respectant la casse) : Nom de la fonction Id de l’espace de travail Alertes clés de l’espace de travail Alertes de l’espace de travailTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

ÉTAPE 7 - Étapes post-déploiement

1) Obtenir le point de terminaison de l’application de fonction

1. Accédez à Azure page Vue d’ensemble de la fonction et cliquez sur « Fonctions » dans le panneau gauche.
2. Cliquez sur la fonction appelée « DataminrPulseAlertsHttpStarter ».
3. Accédez à « GetFunctionurl » et copiez l’URL de la fonction.
4. Remplacez {functionname} par « DataminrPulseAlertsSentinelOrchestrator » dans l’URL de fonction copiée.

2) Pour ajouter des paramètres d’intégration dans Dataminr RTAP à l’aide de l’URL de la fonction

1. Ouvrez n’importe quel outil de demande d’API comme Postman.
2. Cliquez sur « + » pour créer une demande.
3. Sélectionnez la méthode de requête HTTP comme « POST ».
4. Entrez l’URL prépapred au point 1) dans la partie URL de la demande.
5. Dans Corps, sélectionnez JSON brut et fournissez le corps de la demande comme suit (respect de la casse) : { « integration-settings » : « ADD », « url » : « (URL part from copied Function-url) », « token » : « (value of code parameter from copied Function-url) » }
6. Après avoir fourni tous les détails requis, cliquez sur Envoyer.
7. Vous recevrez un ID de paramètre d’intégration dans la réponse HTTP avec un code status de 200.
8. Enregistrez l’ID d’intégration pour référence ultérieure.

Nous avons maintenant terminé l’ajout des paramètres d’intégration pour Dataminr RTAP. Une fois que dataminr RTAP a envoyé des données d’alerte, l’application de fonction est déclenchée et vous devriez être en mesure de voir les données d’alertes de la table d’espace de travail Dataminr Pulse dans LogAnalytics appelée « DataminrPulse_Alerts_CL ».

---

Datawiza DAP

Prise en charge par :Datawiza Technology Inc.

Connecte les journaux DAP Datawiza à Azure Log Analytics via l’interface de l’API REST

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
datawizaserveraccess_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Étape 1 : Lire la documentation détaillée

Le processus d’installation est décrit en détail dans le site de documentation Microsoft Sentinel l’intégration. L’utilisateur doit consulter notre support (support@datawiza.com) pour comprendre l’installation et le débogage de l’intégration.

Étape 2 : Installer datawiza Sentinel Connector

L’étape suivante consiste à installer le redirecteur de journaux Datawiza pour envoyer des journaux à Microsoft Sentinel. L’installation exacte dépend de votre environnement. Consultez l’intégration Microsoft Sentinel pour plus d’informations.

Étape 3 : Tester l’ingestion des données

Après environ 20 minutes, accédez à l’espace de travail Log Analytics sur votre installation Microsoft Sentinel et recherchez la section Journaux personnalisés pour vérifier qu’une table datawizaserveraccess_CL existe. Utilisez les exemples de requêtes pour examiner les données.

---

Derdack SIGNL4

Pris en charge par :Derdack

En cas de défaillance de systèmes critiques ou d’incidents de sécurité, SIGNL4 relie le « dernier kilomètre » à votre personnel, ingénieurs, administrateurs informatiques et employés sur le terrain. Il ajoute des alertes mobiles en temps réel à vos services, systèmes et processus en un rien de temps. SIGNL4 avertit par le biais d’un push mobile persistant, d’un SMS et d’appels vocaux avec accusé de réception, suivi et escalade. La planification intégrée des tâches et des équipes garantit que les bonnes personnes sont alertées au bon moment.

Pour en savoir plus >

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityIncident	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

NOTE: Ce connecteur de données est principalement configuré côté SIGNL4. Vous trouverez une vidéo de description ici : Intégrer SIGNL4 à Microsoft Sentinel.

Connecteur SIGNL4 : Le connecteur SIGNL4 pour Microsoft Sentinel, Azure Security Center et d’autres fournisseurs Azure Graph API de sécurité offre une intégration transparente à deux sens avec vos solutions Azure Security. Une fois ajouté à votre équipe SIGNL4, le connecteur lit les alertes de sécurité de Azure Graph API de sécurité et déclenche automatiquement des notifications d’alerte pour les membres de votre équipe en service. Il synchronise également les status d’alerte de SIGNL4 à Graph API de sécurité, de sorte que si les alertes sont reconnues ou fermées, cette status est également mise à jour sur l’alerte Azure graph API de sécurité ou le fournisseur de sécurité correspondant. Comme mentionné, le connecteur utilise principalement Azure API de sécurité Graph, mais pour certains fournisseurs de sécurité, tels que Microsoft Sentinel, il utilise également des API REST dédiées à partir de solutions Azure.

fonctionnalités Microsoft Sentinel

Microsoft Sentinel est une solution SIEM native cloud de Microsoft et un fournisseur d’alertes de sécurité dans Azure API de sécurité Graph. Toutefois, le niveau de détails d’alerte disponibles avec l’API de sécurité Graph est limité pour Microsoft Sentinel. Le connecteur peut donc augmenter les alertes avec des détails supplémentaires (résultats de recherche de règles d’insights) à partir de l’espace de travail Log Analytics Microsoft Sentinel sous-jacent. Pour ce faire, le connecteur communique avec Azure’API REST Log Analytics et a besoin d’autorisations en fonction (voir ci-dessous). En outre, l’application peut également mettre à jour la status des incidents Microsoft Sentinel, lorsque toutes les alertes de sécurité associées sont par exemple en cours ou résolues. Pour ce faire, le connecteur doit être membre du groupe « Contributeurs Microsoft Sentinel » dans votre abonnement Azure. Déploiement automatisé dans Azure Les informations d’identification requises pour accéder aux API précédemment spécifiées sont générées par un petit script PowerShell que vous pouvez télécharger ci-dessous. Le script effectue les tâches suivantes pour vous :

• Vous connecte à votre abonnement Azure (connectez-vous avec un compte d’administrateur)
• Crée une application d’entreprise pour ce connecteur dans votre Azure AD, également appelé principal de service
• Crée un rôle dans votre Azure IAM qui accorde l’autorisation de lecture/requête à Azure espaces de travail Log Analytics uniquement.
• Joint l’application d’entreprise à ce rôle d’utilisateur
• Joint l’application d’entreprise au rôle « Contributeurs Microsoft Sentinel »
• Génère certaines données dont vous avez besoin pour configurer l’application (voir ci-dessous)

Procédure de déploiement

1. Téléchargez le script de déploiement PowerShell ici.
2. Passez en revue le script et les rôles et étendues d’autorisation qu’il déploie pour la nouvelle inscription d’application. Si vous ne souhaitez pas utiliser le connecteur avec Microsoft Sentinel, vous pouvez supprimer tout le code de création de rôle et d’attribution de rôle et l’utiliser uniquement pour créer l’inscription d’application (SPN) dans votre Azure Active Directory.
3. Exécutez le script. À la fin, il génère des informations que vous devez entrer dans la configuration de l’application du connecteur.
4. Dans Azure AD, cliquez sur « Inscriptions d’applications ». Recherchez l’application nommée « SIGNL4AzureSecurity » et ouvrez ses détails.
5. Dans le panneau du menu de gauche, cliquez sur « Autorisations d’API ». Cliquez ensuite sur « Ajouter une autorisation ».
6. Dans le panneau qui se charge, sous « MICROSOFT API », cliquez sur la vignette « Microsoft Graph », puis sur « Autorisation de l’application ».
7. Dans le tableau qui s’affiche, développez « SecurityEvents » et case activée « SecurityEvents.Read.All » et « SecurityEvents.ReadWrite.All ».
8. Cliquez sur « Ajouter des autorisations ».

Configuration de l’application de connecteur SIGNL4

Enfin, entrez les ID que le script a générés dans la configuration du connecteur :

• ID de locataire Azure
• ID d’abonnement Azure
• ID client (de l’application d’entreprise)
• Clé secrète client (de l’application d’entreprise) Une fois l’application activée, elle commence à lire vos alertes Azure Graph API de sécurité.

NOTE: Au départ, il lit uniquement les alertes qui se sont produites au cours des dernières 24 heures.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>

---

Digital Shadows Searchlight (à l’aide de Azure Functions)

Pris en charge par :Digital Shadows

Le connecteur de données Digital Shadows fournit l’ingestion des incidents et des alertes de Digital Shadows Searchlight dans le Microsoft Sentinel à l’aide de l’API REST. Le connecteur fournit les informations sur les incidents et les alertes de sorte qu’il permet d’examiner, de diagnostiquer et d’analyser les risques et menaces potentiels pour la sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DigitalShadows_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : l’ID de compte Digital Shadows, le secret et la clé sont requis. Consultez la documentation pour en savoir plus sur l’API sur .https://portal-digitalshadows.com/learn/searchlight-api/overview/description

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à un « Digital Shadows Searchlight » afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes de configuration de l’API « Digital Shadows Searchlight »

Le fournisseur doit fournir ou lier des étapes détaillées pour configurer le point de terminaison de l’API « Digital Shadows Searchlight » afin que la fonction Azure puisse s’y authentifier correctement, obtenir sa clé d’autorisation ou son jeton et extraire les journaux de l’Appliance dans Microsoft Sentinel.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur « Digital Shadows Searchlight », disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que de la ou des clés d’autorisation de l’API « Digital Shadows Searchlight » ou du jeton, facilement disponibles.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur « Digital Shadows Searchlight ».

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID de l’espace de travail, la clé de l’espace de travail, le nom d’utilisateur de l’API, le mot de passe de l’API, « et/ou autres champs obligatoires ».

Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur « Digital Shadows Searchlight » avec Azure Functions.

1. Créer une application de fonction

1. À partir du portail Azure, accédez à Application de fonction.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base, vérifiez que la pile d’exécution est définie sur Python 3.8.
4. Sous l’onglet Hébergement, vérifiez que type de plan est défini sur « Consommation (serverless) ». 5.sélectionnez Compte de stockage
5. « Ajouter d’autres configurations requises ».
6. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

2. Importer le code de l’application de fonction (déploiement zip)

1. Installer Azure CLI
2. À partir du terminal, tapez az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> et appuyez sur Entrée. Définissez la ResourceGroup valeur sur : nom de votre groupe de ressources. Définissez la valeur sur FunctionApp : nom de votre application de fonction nouvellement créée. Définissez la valeur sur Zip File : digitalshadowsConnector.zip(chemin d’accès à votre fichier zip). Remarque :- Téléchargez le fichier zip à partir du lien - Code de l’application de fonction

3. Configurer l’application de fonction

1. Dans l’écran Application de fonction, cliquez sur le nom de l’application de fonction et sélectionnez Configuration.
2. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application « x (nombre de) » suivants individuellement, sous Nom, avec leurs valeurs de chaîne respectives (respectant la casse) sous Valeur : DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (facultatif) (ajoutez tous les autres paramètres requis par l’application de fonction) Définissez la DigitalShadowsURL valeur sur : https://api.searchlight.app/v1 Définissez la HighVariabilityClassifications valeur sur : exposed-credential,marked-document Définir la valeur ClassificationFilterOperation valeur à : exclude pour exclure l’application de fonction ou include pour inclure l’application de fonction

Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Azure Key Vault documentation de référence.

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure’environnement cloud GovUS, spécifiez la valeur au format suivant : https://< CustomerId.ods.opinsights.azure.us>.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

DNS

Pris en charge par :Microsoft Corporation

Le connecteur de journal DNS vous permet de connecter facilement vos journaux d’analyse et d’audit DNS à Microsoft Sentinel et à d’autres données associées pour améliorer l’investigation.

Lorsque vous activez la collecte de journaux DNS, vous pouvez :

• Identifiez les clients qui tentent de résoudre les noms de domaine malveillants.
• Identifier les enregistrements de ressources obsolètes.
• Identifiez les noms de domaine fréquemment interrogés et les clients DNS bavards.
• Afficher la charge des requêtes sur les serveurs DNS.
• Afficher les échecs d’inscription DNS dynamique.

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DnsEvents	Oui	Oui
DnsInventory	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Connecteur de données Doppel

Pris en charge par :Doppel

Le connecteur de données repose sur Microsoft Sentinel pour les événements et alertes Doppel et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité reçues dans des colonnes personnalisées afin que les requêtes n’ont pas besoin de les analyser à nouveau, ce qui améliore les performances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DoppelTable_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra ID de locataire, ID client et clé secrète client : Microsoft Entra ID nécessite un ID client et une clé secrète client pour authentifier votre application. En outre, l’accès au niveau Administration/propriétaire global est requis pour attribuer à l’application inscrite Entra un rôle Éditeur de métriques de surveillance du groupe de ressources.
• Nécessite l’ID d’espace de travail, DCE-URI, DCR-ID : vous devez obtenir l’ID d’espace de travail Log Analytics, l’URI d’ingestion des journaux DCE et l’ID immuable DCR pour la configuration.

Instructions d’installation :

Configurer Doppel Webhook

Configurez le webhook dans Doppel et Point de terminaison avec des autorisations dans Microsoft Sentinel pour envoyer des données.

Inscrire l’application dans Microsoft Entra ID

1. Ouvrez la page Microsoft Entra ID :

   • Cliquez sur le lien fourni pour ouvrir la page d’inscription Microsoft Entra ID dans un nouvel onglet.
   • Vérifiez que vous êtes connecté avec un compte disposant d’autorisations de niveau Administration.

2. Créer une application :

   • Dans le portail Microsoft Entra ID, sélectionnez inscriptions d'applications mentionné sous l’onglet de gauche.
   • Cliquez sur + Nouvelle inscription.
   • Renseignez les champs suivants :

• Nom : entrez un nom pour l’application (par exemple, « Application Doppel »).
• Types de comptes pris en charge : choisissez Comptes dans cet annuaire organisationnel uniquement (Répertoire par défaut uniquement - Locataire unique).
• URI de redirection : laissez ce champ vide, sauf indication contraire.
  • Cliquez sur Inscrire pour créer l’application.

3. Copiez les ID d’application et de locataire :

   • Une fois l’application inscrite, notez l’ID d’application (client) et l’ID d’annuaire (locataire) dans la page Vue d’ensemble . Vous en aurez besoin pour l’intégration.

4. Créez une clé secrète client :

   • Dans la section Certificats & secrets, cliquez sur + Nouvelle clé secrète client.
   • Ajoutez une description (par exemple, « Secret Doppel ») et définissez une expiration (par exemple, 1 an).
   • Cliquez sur Ajouter.
   • Copiez immédiatement la valeur de la clé secrète client, car elle ne sera plus affichée.

Attribuer le rôle « Éditeur de métriques de surveillance » à l’application

1. Ouvrez le groupe de ressources dans Azure portail :

   • Accédez au groupe de ressources qui contient l’espace de travail Log Analytics et les règles de collecte de données (DCR) où vous souhaitez que l’application envoie des données.

2. Attribuez le rôle :

   • Dans le menu Groupe de ressources, cliquez sur Contrôle d’accès (IAM) mentionné sous l’onglet de gauche.
   • Cliquez sur + Ajouter, puis sélectionnez Ajouter une attribution de rôle.
   • Dans la liste déroulante Rôle, recherchez et sélectionnez le rôle Éditeur de métriques de surveillance .
   • Sous Attribuer l’accès à, choisissez Azure utilisateur, groupe ou principal de service AD.
   • Dans le champ Sélectionner, recherchez votre application inscrite par nom ou ID client.
   • Cliquez sur Enregistrer pour attribuer le rôle à l’application.

Déployer le modèle ARM

1. Récupérez l’ID de l’espace de travail :

   • Après avoir attribué le rôle, vous aurez besoin de l’ID d’espace de travail.
   • Accédez à l’espace de travail Log Analytics dans le groupe de ressources.
   • Dans la section Vue d’ensemble, recherchez le champ ID de l’espace de travail sous Détails de l’espace de travail.
   • Copiez l’ID de l’espace de travail et gardez-le à portée de main pour les étapes suivantes.

2. Cliquez sur le bouton Déployer sur Azure :

   • portal.azure.com.
   • Cela vous permet d’accéder directement au Portail Azure pour démarrer le déploiement.

3. Examiner et personnaliser les paramètres :

   • Dans la page déploiement personnalisé, vérifiez que vous effectuez le déploiement sur l’abonnement et le groupe de ressources appropriés.
   • Renseignez les paramètres tels que le nom de l’espace de travail, l’ID de l’espace de travail et l’emplacement de l’espace de travail.

4. Cliquez sur Vérifier + créer, puis sur Créer pour déployer les ressources.

Vérifier la configuration des tables DCE, DCR et Log Analytics

1. Vérifiez le point de terminaison de collecte de données (DCE) :

   • Après le déploiement, accédez à Azure Portail > Points de terminaison de collecte de données.
   • Vérifiez que le point de terminaison DoppelDCE a été créé avec succès.
   • Copiez l’URI d’ingestion des journaux DCE, car vous en aurez besoin pour générer l’URL du webhook.

2. Confirmer la configuration de la règle de collecte de données (DCR) :

   • Accédez à Azure Portail > Règles de collecte de données.
   • Vérifiez que la règle DoppelDCR est présente.
   • Copiez l’ID immuable de la DCR à partir de la page Vue d’ensemble, car vous en aurez besoin pour l’URL du webhook.

3. Valider la table Log Analytics :

   • Accédez à votre espace de travail Log Analytics (lié à Microsoft Sentinel).
   • Dans la section Tables, vérifiez que la table DoppelTable_CL a été créée correctement et qu’elle est prête à recevoir des données.

Intégrer des alertes Doppel à Microsoft Sentinel

1. Collecter les informations nécessaires :
   • Collectez les informations suivantes requises pour l’intégration :

• ID de point de terminaison de collecte de données (DCE-ID)
• ID de règle de collecte de données (DCR-ID)
• informations d’identification Microsoft Entra : ID de locataire, ID client et clé secrète client.

2. Coordonner avec la prise en charge de Doppel :

   • Partagez les informations d’identification DCE-ID, DCR-ID et Microsoft Entra collectées avec la prise en charge de Doppel.
   • Demandez de l’aide pour configurer ces détails dans le locataire Doppel pour activer la configuration du webhook.

3. Configuration du webhook par Doppel :

   • Doppel utilise les ID de ressource et les informations d’identification fournis pour configurer un webhook.
   • Ce webhook facilite le transfert des alertes de Doppel vers Microsoft Sentinel.

4. Vérifiez la remise des alertes dans Microsoft Sentinel :

   • Vérifiez que les alertes de Doppel sont correctement transférées à Microsoft Sentinel.
   • Vérifiez que le classeur dans Microsoft Sentinel est mis à jour avec les statistiques d’alerte, ce qui garantit une intégration transparente des données.

---

Notifications de glisser via Cloud Sitestore

Pris en charge par :Dragos Inc

La plateforme Dragos est la plateforme de cybersécurité industrielle leader, elle offre une détection complète des cybermenaces de technologie opérationnelle (OT) construite par une expertise inégalée en matière de cybersécurité industrielle. Cette solution permet d’afficher les données de notification de la plateforme Dragos dans Microsoft Sentinel afin que les analystes de sécurité puissent trier les événements de cybersécurité potentiels qui se produisent dans leurs environnements industriels.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DragosAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Faire glisser l’accès à l’API Sitestore : compte d’utilisateur Sitestore disposant de l’autorisation notification:read . Ce compte doit également disposer d’une clé API qui peut être fournie à Sentinel.

Instructions d’installation :

Fournissez les informations suivantes pour permettre à Microsoft Sentinel de se connecter à votre magasin de sites Dragos.

• Faire glisser le nom d’hôte du magasin de sites : (dragossitestore.example.com)
• Faire glisser l’ID de clé API sitestore : (Entrez l’ID de clé API.)
• Faire glisser le secret de clé API sitestore : (Entrez le secret de la clé API)
• Gravité minimale de la notification. Les valeurs valides sont comprises entre 0 et 5. Assurez-vous que la gravité est inférieure ou égale à la gravité maximale.: (Entrez la gravité minimale (recommandé 0 pour toutes les notifications))
• Gravité maximale de la notification. Les valeurs valides sont comprises entre 0 et 5. Assurez-vous que la gravité est supérieure ou égale à la gravité minimale.: (Entrez la gravité maximale (recommandé 5 pour toutes les notifications))
• Activer/désactiver la connexion

---

Connecteur d’événements Druva

Pris en charge par :Druva Inc

Permet d’ingérer les événements Druva à partir des API Druva

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DruvaSecurityEvents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API Druva : l’API Druva nécessite un ID client et une clé secrète client pour l’authentification

Instructions d’installation :

Remarque : Configurations pour se connecter à l’API Rest Druva

Étape 1 : Créer des informations d’identification à partir de la console Druva. Reportez-vous à ce document pour connaître les étapes à suivre : https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials

Étape 2 : entrez le nom d’hôte. Pour le cloud public, son apis.druva.com

Étape 3 : Entrer l’ID client et la clé secrète client

Connectez-vous à l’API Druva pour commencer à collecter les journaux dans Microsoft Sentinel

Fournissez les valeurs requises :

• Nom d’hôte : (Exemple : apis.druva.com)

---

Dynamics 365 Finance et opérations

Pris en charge par :Microsoft Corporation

Dynamics 365 for Finance and Operations est une solution complète de planification des ressources d’entreprise (ERP) qui combine des fonctionnalités financières et opérationnelles pour aider les entreprises à gérer leurs opérations quotidiennes. Il offre une gamme de fonctionnalités qui permettent aux entreprises de rationaliser les flux de travail, d’automatiser les tâches et d’obtenir des insights sur les performances opérationnelles.

Le connecteur de données Dynamics 365 Finance et opérations ingère les journaux d’audit et les activités d’administration Dynamics 365 Finance et opérations, ainsi que les journaux d’activité des processus métier et des applications des utilisateurs dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
FinanceOperationsActivity_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra’inscription de l’application : ID client d’application et secret utilisés pour accéder aux Dynamics 365 Finance et opérations.

Instructions d’installation :

La connectivité à Finance and Operations nécessite une inscription d’application Microsoft Entra (ID client et secret). Vous aurez également besoin de l’ID de locataire Microsoft Entra et de l’URL de l’organisation des opérations financières.

Pour activer la collecte de données, créez un rôle dans Dynamics 365 Finance et opérations avec les autorisations nécessaires pour afficher l’entité Journal de base de données. Attribuez ce rôle à un utilisateur Finance and Operations dédié, mappé à l’ID client d’une inscription d’application Microsoft Entra. Pour terminer le processus, procédez comme suit :

Étape 1 : inscription de l’application Microsoft Entra

1. Accédez au portail Microsoft Entra.
2. Sous Applications, cliquez sur Inscriptions d’applications et créez une inscription d’application (conservez toutes les valeurs par défaut).
3. Ouvrez la nouvelle inscription d’application et créez un secret.
4. Conservez l’ID de locataire, l’ID d’application (client) et la clé secrète client pour une utilisation ultérieure.

Étape 2 : Créer un rôle pour la collecte de données dans Finance and Operations

1. Dans le portail Finance and Operations, accédez à Espace de travail > Administration du système, puis cliquez sur Configuration de la sécurité.
2. Sous Rôles, cliquez sur Créer et donnez un nom au nouveau rôle, par exemple Visionneuse du journal de base de données.
3. Sélectionnez le nouveau rôle dans la liste des rôles, puis cliquez sur Privilèges et sur Ajouter des références.
4. Sélectionnez Vue d’entité du journal de base de données dans la liste des privilèges.
5. Cliquez sur Objets non publiés, puis sur Publier tout pour publier le rôle.

Étape 3 : Créer un utilisateur pour la collecte de données dans Finance and Operations

1. Dans le portail Finance and Operations, accédez à Modules > Administration du système, puis cliquez sur Utilisateurs.
2. Créez un utilisateur et attribuez à l’utilisateur le rôle créé à l’étape précédente.

Étape 4 : Inscrire l’application Microsoft Entra dans Finance and Operations

1. Dans le portail F&O, accédez à Configuration > de l’administration > système Microsoft Entra applications (Azure applications Active Directory)
2. Créez une entrée dans la table. Dans le champ ID client , entrez l’ID d’application de l’application inscrite à l’étape 1.
3. Dans le champ Nom , entrez un nom pour l’application.
4. Dans le champ Id d’utilisateur , sélectionnez l’ID d’utilisateur créé à l’étape précédente.

Connecter des événements de Dyanmics 365 Finance and Operations à Microsoft Sentinel

Se connecter à l’aide des informations d’identification du client

Organisations

Chaque ligne représente une connexion Finance and Operations

• Grille des connecteurs de données (configurer dans le portail)

---

Dynamics365

Pris en charge par :Microsoft Corporation

Le connecteur d’activités Dynamics 365 Common Data Service (CDS) fournit des informations sur les activités d’administration, d’utilisateur et de support, ainsi que sur les événements de journalisation Microsoft Social Engagement. En connectant Dynamics 365 journaux CRM à Microsoft Sentinel, vous pouvez afficher ces données dans des classeurs, les utiliser pour créer des alertes personnalisées et améliorer votre processus d’examen.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Dynamics365Activity	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Attaques Dynatrace V1

Pris en charge par :Dynatrace

Ce connecteur utilise l’API REST Dynatrace Attacks pour ingérer les attaques détectées dans Microsoft Sentinel Log Analytics

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DynatraceAttacks_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide avec Application Security activé. En savoir plus sur la plateforme Dynatrace.
• Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace. Le jeton doit avoir l’étendue Attaques en lecture (attaques.read).

Instructions d’installation :

Événements d’attaque Dynatrace à Microsoft Sentinel

Configurez et activez Dynatrace Application Security. Suivez ces instructions pour générer un jeton d’accès.

---

Attaques Dynatrace V2

Pris en charge par :Dynatrace

Ce connecteur utilise l’API REST Dynatrace Attacks pour ingérer les attaques détectées dans Microsoft Sentinel Log Analytics

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DynatraceAttacksV2_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide avec Application Security activé. En savoir plus sur la plateforme Dynatrace.
• Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace. Le jeton doit avoir l’étendue Attaques en lecture (attaques.read).

Instructions d’installation :

Événements d’attaque Dynatrace à Microsoft Sentinel

Configurez et activez Dynatrace Application Security. Suivez ces instructions pour générer un jeton d’accès.

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : ({{dynatraceEnvironmentUrl}})
• Jeton d’accès Dynatrace : ({{dynatraceAccessToken}})
• Activer/désactiver la connexion

---

Journaux d’audit Dynatrace V1

Pris en charge par :Dynatrace

Ce connecteur utilise l’API REST Journaux d’audit Dynatrace pour ingérer les journaux d’audit des locataires dans Microsoft Sentinel Log Analytics

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DynatraceAuditLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide pour en savoir plus sur la plateforme Dynatrace Démarrer votre essai gratuit.
• Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace. Le jeton doit avoir l’étendue Lire les journaux d’audit (auditLogs.read).

Instructions d’installation :

Événements du journal d’audit Dynatrace à Microsoft Sentinel

Activez la journalisation d’audit Dynatrace. Suivez ces instructions pour générer un jeton d’accès.

---

Journaux d’audit Dynatrace V2

Pris en charge par :Dynatrace

Ce connecteur utilise l’API REST Journaux d’audit Dynatrace pour ingérer les journaux d’audit des locataires dans Microsoft Sentinel Log Analytics

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DynatraceAuditLogsV2_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide pour en savoir plus sur la plateforme Dynatrace Démarrer votre essai gratuit.
• Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace. Le jeton doit avoir l’étendue Lire les journaux d’audit (auditLogs.read).

Instructions d’installation :

Événements du journal d’audit Dynatrace à Microsoft Sentinel

Activez la journalisation d’audit Dynatrace. Suivez ces instructions pour générer un jeton d’accès.

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : ({{dynatraceEnvironmentUrl}})
• Jeton d’accès Dynatrace : ({{dynatraceAccessToken}})
• Activer/désactiver la connexion

---

Problèmes dynatrace V1

Pris en charge par :Dynatrace

Ce connecteur utilise l’API REST du problème Dynatrace pour ingérer les événements de problème dans Microsoft Sentinel Log Analytics

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DynatraceProblems_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide pour en savoir plus sur la plateforme Dynatrace Démarrer votre essai gratuit.
• Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace. Le jeton doit avoir une étendue problèmes de lecture (problèmes.read).

Instructions d’installation :

Événements de problème Dynatrace à Microsoft Sentinel

Suivez ces instructions pour générer un jeton d’accès.

---

Problèmes Dynatrace V2

Pris en charge par :Dynatrace

Ce connecteur utilise l’API REST du problème Dynatrace pour ingérer les événements de problème dans Microsoft Sentinel Log Analytics

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DynatraceProblemsV2_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide pour en savoir plus sur la plateforme Dynatrace Démarrer votre essai gratuit.
• Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace. Le jeton doit avoir une étendue problèmes de lecture (problèmes.read).

Instructions d’installation :

Événements de problème Dynatrace à Microsoft Sentinel

Suivez ces instructions pour générer un jeton d’accès.

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : ({{dynatraceEnvironmentUrl}})
• Jeton d’accès Dynatrace : ({{dynatraceAccessToken}})
• Activer/désactiver la connexion

---

Vulnérabilités du runtime Dynatrace V1

Pris en charge par :Dynatrace

Ce connecteur utilise l’API REST du problème de sécurité Dynatrace pour ingérer les vulnérabilités d’exécution détectées dans Microsoft Sentinel Log Analytics.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DynatraceSecurityProblems_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide avec Application Security activé. En savoir plus sur la plateforme Dynatrace.
• Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace. Le jeton doit avoir l’étendue Des problèmes de sécurité en lecture (securityProblems.read).

Instructions d’installation :

Événements de vulnérabilités Dynatrace à Microsoft Sentinel

Configurez et activez Dynatrace Application Security. Suivez ces instructions pour générer un jeton d’accès.

---

Vulnérabilités du runtime Dynatrace V2

Pris en charge par :Dynatrace

Ce connecteur utilise l’API REST du problème de sécurité Dynatrace pour ingérer les vulnérabilités d’exécution détectées dans Microsoft Sentinel Log Analytics.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DynatraceSecurityProblemsV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide avec Application Security activé. En savoir plus sur la plateforme Dynatrace.
• Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace. Le jeton doit avoir l’étendue Des problèmes de sécurité en lecture (securityProblems.read).

Instructions d’installation :

Événements de vulnérabilités Dynatrace à Microsoft Sentinel

Configurez et activez Dynatrace Application Security. Suivez ces instructions pour générer un jeton d’accès.

• Locataire Dynatrace (par exemple, xyz.dynatrace.com) : ({{dynatraceEnvironmentUrl}})
• Jeton d’accès Dynatrace : ({{dynatraceAccessToken}})
• Activer/désactiver la connexion

---

Agent élastique

Pris en charge par :Microsoft Corporation

Le connecteur de données De l’agent élastique permet d’ingérer les journaux, les métriques et les données de sécurité de l’agent élastique dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ElasticAgentEvent	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Inclure des conditions préalables personnalisées si la connectivité nécessite - sinon supprimer les coutumes : Description de tout prérequis personnalisé

Instructions d’installation :

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme elasticAgentEvent attendu, qui est déployé avec la solution Microsoft Sentinel.

REMARQUE : Ce connecteur de données a été développé à l’aide d’Elastic Agent 7.14.

1. Installer et intégrer l’agent pour Linux ou Windows

Installez l’agent sur le serveur sur lequel les journaux de l’agent élastique sont transférés.

Les journaux des agents élastiques déployés sur des serveurs Linux ou Windows sont collectés par des agents Linux ou Windows.

Choisissez l’emplacement d’installation de l’agent Linux :

Installer l’agent sur Azure Linux machine virtuelle

Sélectionnez l’ordinateur sur lequel installer l’agent, puis cliquez sur Se connecter.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Installer l’agent sur un ordinateur non Azure Linux

Téléchargez l’agent sur l’ordinateur approprié et suivez les instructions.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Choisissez où installer l’agent Windows :

Installer l’agent sur Azure machine virtuelle Windows

Sélectionnez l’ordinateur sur lequel installer l’agent, puis cliquez sur Se connecter.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Installer l’agent sur un ordinateur Windows non Azure

Téléchargez l’agent sur l’ordinateur approprié et suivez les instructions.

• Install Agent : <valeur de variable fournie au moment de l’installation>

2. Configurer l’agent élastique (autonome)

Suivez les instructions pour configurer l’agent élastique pour qu’il génère une sortie vers Logstash

3. Configurer Logstash pour utiliser le plug-in de sortie Microsoft Logstash

Suivez les étapes pour configurer Logstash pour utiliser le plug-in microsoft-logstash-output-azure-loganalytics :

3.1) Vérifier si le plug-in est déjà installé : ./logstash-plugin list | grep 'azure-loganalytics' (si le plug-in est installé, passez à l’étape 3.3)

3.2) Installer le plug-in : ./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Configurer Logstash pour utiliser le plug-in

4. Valider l’ingestion des journaux

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour case activée si les journaux sont reçus à l’aide de la table personnalisée spécifiée à l’étape 3.3 (par exemple, ElasticAgentLogs_CL).

Environ 30 minutes peuvent être nécessaires avant que la connexion diffuse des données vers votre espace de travail.

---

Agent élastique (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Elastic Agent vous permet d’ingérer les métriques système, les journaux et les données de télémétrie collectées par Elastic Agent à partir d’Elasticsearch dans Microsoft Sentinel. Ce connecteur utilise l’API De recherche Elasticsearch avec l’authentification par clé API pour interroger plusieurs flux de données (processeur, mémoire, processus, système de fichiers, réseau, charge, temps d’activité, métriques de l’agent et journaux). Il prend en charge les transformations de temps d’ingestion basées sur DCR pour une exécution efficace des requêtes. Pour plus d’informations, consultez la documentation de l’API : https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ElasticAgentLogsV2_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

1. Conditions préalables

Vérifiez que vous disposez de l’accès et de la configuration requis.

Configuration requise

• Un déploiement Elasticsearch (cloud élastique ou auto-managé)
• Agent élastique déployé avec l’intégration du système activée
• Surveillance de l’agent activée pour les journaux et les métriques
• Clé API Elasticsearch avec des autorisations de lecture sur tous les index
• Connectivité réseau de Microsoft Sentinel à votre point de terminaison Elasticsearch

Index requis

Le connecteur interroge les index Elasticsearch suivants :

Métriques:

• metrics-system.cpu-* - Métriques du processeur
• metrics-system.memory-* - Métriques de mémoire
• metrics-system.process-* - Traiter les métriques
• metrics-system.filesystem-* - Métriques du système de fichiers
• metrics-system.network-* - Métriques réseau
• metrics-system.load-*- Charge système (Linux uniquement)
• metrics-system.uptime-* - Durée de fonctionnement du système
• metrics-elastic_agent.* - Télémétrie de l’agent

Journaux:

• logs-elastic_agent-* - Journaux d’activité de l’agent

2. Configurer les connexions Elasticsearch

Ajoutez une ou plusieurs connexions Elasticsearch à partir de laquelle collecter des données.

Connexions Elasticsearch

Vous pouvez ajouter plusieurs connexions pour collecter des données à partir de différents déploiements Elasticsearch. Chaque connexion nécessite sa propre URL Elasticsearch et sa propre clé API.

Création d’une clé API

1. Dans Kibana, accédez à Clés API de gestion de > pile
2. Cliquez sur Créer une clé API.
3. Définissez un nom et configurez les autorisations :
   • Accès en lecture à metrics-system.*
   • Accès en lecture à metrics-elastic_agent.*
   • Accès en lecture à logs-elastic_agent-*
4. Copier la valeur de clé API encodée en Base64

• Grille des connecteurs de données (configurer dans le portail)

---

Événements de sécurité du navigateur Ermes

Pris en charge par :Ermes Cyber Security S.p.A.

Événements de sécurité du navigateur Ermes

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ErmesBrowserSecurityEvents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• ID client et clé secrète client Ermes : activez l’accès à l’API dans Ermes. Pour plus d’informations, contactez le support technique d’Ermes Cyber Security .

Instructions d’installation :

Connecter les événements de sécurité du navigateur Ermes à Microsoft Sentinel

Se connecter à l’aide des informations d’identification OAuth2

• URL de l’API (facultatif) : (https://api.shield.ermessecurity.com)

---

ESET Protect Platform (à l’aide de Azure Functions)

Pris en charge par :ESET Enterprise Integrations

Le connecteur de données ESET Protect Platform permet aux utilisateurs d’injecter des données de détection à partir d’ESET Protect Platform à l’aide de l’API REST d’intégration fournie. L’API REST d’intégration s’exécute comme prévu Azure Function App.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
IntegrationTable_CL	Oui	Oui
IntegrationTableIncidents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Autorisation d’inscrire une application dans Microsoft Entra ID : des autorisations suffisantes pour inscrire une application auprès de votre locataire Microsoft Entra sont requises.
• Autorisation d’attribuer un rôle à l’application inscrite : l’autorisation d’attribuer le rôle Éditeur de métriques de surveillance à l’application inscrite dans Microsoft Entra ID est requise.

Instructions d’installation :

NOTE: Le connecteur de données ESET Protect Platform utilise Azure Functions pour se connecter à la plateforme de protection d’ESET via l’API Eset Connect afin d’extraire les journaux de détection dans Microsoft Sentinel. Ce processus peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

NOTE: La version la plus récente de la plateforme ET de l’intégration Microsoft Sentinel d’ESET PROTECT extrait non seulement les journaux de détection, mais également les incidents nouvellement créés. Si votre intégration a été configurée avant 20.06.2025, procédez comme suit pour la mettre à jour.

Étape 1 : Créer un utilisateur d’API

Utilisez cette instruction pour créer un compte d’utilisateur de l’API ESET Connect avec connexion et mot de passe.

Étape 2 : Créer une application inscrite

Créez une application inscrite Microsoft Entra ID en suivant les étapes décrites dans l’instruction Inscrire une nouvelle application.

Étape 3 : Déployer le connecteur de données DE protection d’ESET à l’aide du modèle Azure Resource Manager (ARM)

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez le nom de l’espace de travail Log Analytics associé à votre Microsoft Sentinel. Sélectionnez le même groupe de ressources que le groupe de ressources de l’espace de travail Log Analytics.

3. Tapez les paramètres de l’application inscrite dans Microsoft Entra ID : id client Azure, clé secrète client Azure, ID de locataire Azure, ID d’objet. Vous trouverez l’ID d’objet sur Portail Azure en suivant ce chemin d’accès Microsoft Entra ID -> Gérer (dans le menu de gauche) -> Applications d’entreprise -> Colonne ID d’objet (la valeur en regard du nom de votre application inscrite).

4. Indiquez la connexion et le mot de passe du compte d’utilisateur de l’API ESET Connect obtenus à l’étape 1.

5. Sélectionnez un ou plusieurs produits ESET (ESET PROTECT, ESET Inspect, ESET Cloud Office Security) à partir desquels les détections sont récupérées.

---

Collecteur local Exchange Security Insights

Pris en charge par :Community

Connecteur utilisé pour envoyer (push) la configuration de sécurité exchange locale pour l’analyse Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ESIExchangeConfig_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Compte de service avec le rôle Gestion de l’organisation : le compte de service qui lance le script en tant que tâche planifiée doit être Gestion de l’organisation pour pouvoir récupérer toutes les informations de sécurité nécessaires.
• Documentation détaillée : >REMARQUE : La documentation détaillée sur la procédure d’installation et l’utilisation est disponible ici

Instructions d’installation :

1. Installer le script du collecteur ESI sur un serveur avec exchange Administration console PowerShell

Il s’agit du script qui collecte les informations Exchange pour envoyer du contenu dans Microsoft Sentinel.

Déploiement de scripts

Télécharger la dernière version d’ESI Collector

Vous trouverez la dernière version ici : https://aka.ms/ESI-ExchangeCollector-Script. Le fichier à télécharger est CollectExchSecIns.zip

Copier le dossier de script

Décompressez le contenu et copiez le dossier de script sur un serveur sur lequel les applets de commande Exchange PowerShell sont présentes.

Débloquer les scripts PS1

Cliquez avec la droite sur chaque script PS1 et accédez à l’onglet Propriétés. Si le script est marqué comme bloqué, débloquez-le. Vous pouvez également utiliser l’applet de commande « Unblock-File . » dans le dossier décompressé à l’aide de PowerShell.

**Configurer l’accès réseau **

Vérifiez que le script peut contacter Azure Analytics (*.ods.opinsights.azure.com).

2. Configurer le script du collecteur ESI

Veillez à être administrateur local du serveur. En mode « Exécuter en tant qu’administrateur », lancez le script « setup.ps1 » pour configurer le collecteur. Renseignez les informations de l’espace de travail Log Analytics (Microsoft Sentinel). Renseignez le nom de l’environnement ou laissez vide. Par défaut, choisissez « Def » comme Analyse par défaut. Les autres choix concernent une utilisation spécifique.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

3. Planifier le script du collecteur ESI (s’il n’est pas effectué par le script d’installation en raison d’un manque d’autorisation ou ignoré pendant l’installation)

Le script doit être planifié pour envoyer la configuration Exchange à Microsoft Sentinel. Nous vous recommandons de planifier le script une fois par jour. Le compte utilisé pour lancer le script doit être membre du groupe Gestion de l’organisation

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu. Les analyseurs sont automatiquement déployés avec la solution. Suivez les étapes pour créer l’alias Kusto Functions : ExchangeAdminAuditLogs

Les analyseurs sont déployés automatiquement pendant le déploiement de la solution. Si vous souhaitez déployer manuellement, suivez les étapes ci-dessous.

Déploiement manuel de l’analyseur

1. Télécharger le fichier Analyseur

Dernière version du fichier ExchangeAdminAuditLogs

2. Créer la fonction Parser ExchangeAdminAuditLogs

Dans l’explorateur « Journaux » de l’analytique des journaux de votre Microsoft Sentinel, copiez le contenu du fichier dans l’Explorateur de journaux

3. Enregistrer la fonction ExchangeAdminAuditLogs de l’analyseur

Cliquez sur le bouton Enregistrer. Aucun paramètre n’est nécessaire pour cet analyseur. Cliquez à nouveau sur Enregistrer.

---

Exchange Security Insights Online Collector (à l’aide de Azure Functions)

Pris en charge par :Community

Connecteur utilisé pour envoyer (push) Exchange Online configuration de sécurité pour l’analyse Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ESIExchangeOnlineConfig_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• autorisations microsoft.automation/automationaccounts : des autorisations de lecture et d’écriture pour créer un Azure Automation avec un Runbook sont requises. Pour plus d’informations, consultez Compte Automation.
• Autorisations Microsoft.Graph : les autorisations Groups.Read, Users.Read et Auditing.Read sont nécessaires pour récupérer les informations utilisateur/groupe liées aux affectations Exchange Online. Consultez la documentation pour en savoir plus.
• Exchange Online autorisations : l’autorisation Exchange.ManageAsApp et le rôle Lecteur global ou Lecteur de sécurité sont nécessaires pour récupérer la configuration de sécurité Exchange Online.Consultez la documentation pour en savoir plus.
• (Facultatif) Autorisations de stockage des journaux : Le contributeur aux données Blob du stockage à un compte de stockage lié à l’identité managée du compte Automation ou à un ID d’application est obligatoire pour stocker les journaux. Consultez la documentation pour en savoir plus.

Instructions d’installation :

REMARQUE - MISE À JOUR

Remarque :

REMARQUE - MISE À JOUR :

Nous vous recommandons de mettre à jour le collecteur vers la version 7.6.0.0 ou supérieure. La procédure de mise à jour du script du collecteur se trouve ici : Mise à jour du collecteur en ligne ESI

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu. Suivez les étapes de chaque analyseur pour créer l’alias kusto Functions : ExchangeConfiguration et **ExchangeEnvironmentList STEP 1 - Déploiement des analyseurs**

Déploiement de l’analyseur (lorsque vous utilisez la solution de sécurité Microsoft Exchange, les analyseurs sont déployés automatiquement)

1. Télécharger les fichiers de l’analyseur

La dernière version des 2 fichiers ExchangeConfiguration.yaml et ExchangeEnvironmentList.yaml

2. Créer la fonction ExchangeConfiguration de l’analyseur

Dans l’explorateur « Journaux » de l’analytique des journaux de votre Microsoft Sentinel, copiez le contenu du fichier dans l’Explorateur de journaux

3. Enregistrer la fonction ExchangeConfiguration de l’analyseur

Cliquez sur le bouton Enregistrer. Définissez les paramètres comme demandé sur l’en-tête du fichier d’analyseur. Cliquez à nouveau sur Enregistrer.

4. Reproduire les mêmes étapes pour l’analyseur ExchangeEnvironmentList

Reproduire les étapes 2 et 3 avec le contenu du fichier « ExchangeEnvironmentList.yaml »

NOTE: Ce connecteur utilise Azure Automation pour se connecter à « Exchange Online » afin d’extraire son analyse de sécurité dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Automation.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et le Azure Automation associé

IMPORTANT: Avant de déployer le connecteur « ESI Exchange Online Security Configuration », disposez de l’ID de l’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du nom de locataire Exchange Online (contoso.onmicrosoft.com).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur « ESI Exchange Online Security Configuration ».

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID de l’espace de travail, la clé de l’espace de travail, le nom du locataire, « et/ou autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur « ESI Exchange Online Security Configuration » avec Azure Automation.

A. Créer le compte Azure Automation

1. À partir du portail Azure, accédez à Azure Automation Compte.
2. Cliquez sur + Ajouter en haut.
3. Sous l’onglet Informations de base, renseignez les champs obligatoires et donnez un nom au Azure Automation.
4. Sous les onglets Avancé et Mise en réseau et Étiquettes , laissez les champs par défaut si vous n’avez pas besoin de les personnaliser.
5. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

B. Ajouter Exchange Online module de gestion, modules Microsoft Graph (authentification, utilisateur et groupe)

1. Dans la page Compte Automation, sélectionnez Modules.
2. Cliquez sur Parcourir la galerie et recherchez le module ExchangeOnlineManagement .
3. Sélectionnez-la, puis cliquez sur Sélectionner.
4. Choisissez Version 5.1 dans le champ Version du runtime, puis cliquez sur le bouton Importer. Répétez l’étape pour les modules suivants : « Microsoft.Graph.Authentication », « Microsoft.Graph.Users » et « Microsoft.Graph.Groups ». Attention, vous devez attendre l’installation de Microsoft.Graph.Authentication avant de traiter les modules suivants

C. Télécharger le contenu du runbook

1. Téléchargez la dernière version d’ESI Collector. Vous trouverez la dernière version ici : https://aka.ms/ESI-ExchangeCollector-Script
2. Décompressez le fichier pour trouver le fichier JSON et le fichier PS1 pour l’étape suivante.

D. Créer un runbook

1. Dans la page Compte Automation, sélectionnez le bouton Runbooks .
2. Cliquez sur Créer un runbook et nommez-le « ESI-Collector » avec un runbook de type PowerShell, Runtime Version 5.1, puis cliquez sur « Créer ».
3. Importez le contenu du fichier PS1 de l’étape précédente dans la fenêtre runbook.
4. Cliquez sur Publier.

E. Créer une variable GlobalConfiguration

1. Dans la page Compte Automation, sélectionnez le bouton Variables .
2. Cliquez sur Ajouter une variable et nommez-la « GlobalConfiguration » de type String.
3. Dans le champ « Valeur », copiez le contenu du fichier JSON de l’étape précédente.
4. Dans le contenu, remplacez les valeurs workspaceID et WorkspaceKey.
5. Cliquez sur le bouton « Créer ».

F. Créer une variable TenantName

1. Dans la page Compte Automation, sélectionnez le bouton Variables .
2. Cliquez sur Ajouter une variable et nommez-la exaclty « TenantName » avec un type String.
3. Dans le champ « Valeur », écrivez le nom du locataire de votre Exchange Online.
4. Cliquez sur le bouton « Créer ».

G. Créer une variable LastDateTracking

1. Dans la page Compte Automation, sélectionnez le bouton Variables .
2. Cliquez sur Ajouter une variable et nommez-la « LastDateTracking » de type String.
3. Dans le champ « Valeur », écrivez « Jamais ».
4. Cliquez sur le bouton « Créer ».

H. Créer une planification de runbook

1. Dans la page Compte Automation, sélectionnez le bouton Runbook et cliquez sur le runbook que vous avez créé.
2. Cliquez sur Planifications et ajouter une planification .
3. Cliquez sur Planification, Ajouter une planification et nommez-la. Sélectionnez Valeur périodique avec une récurence tous les 1 jour, puis cliquez sur « Créer ».
4. Cliquez sur « Configurer les paramètres et exécuter les paramètres ». Laissez tout vide, puis cliquez à nouveau sur OK, puis sur OK .

ÉTAPE 3 : Attribuer l’autorisation Microsoft Graph et l’autorisation Exchange Online au compte d’identité managée

Pour pouvoir collecter des informations Exchange Online et récupérer les informations utilisateur et la liste des membres des groupes d’administration, le compte Automation a besoin de plusieurs autorisations.

Attribuer des autorisations par script

A. Télécharger le script d’autorisation

Script de mise à jour des autorisations

B. Récupérer le GUID d’identité managée Azure Automation et l’insérer dans le script téléchargé

1. Accédez à votre compte Automation, dans la section Identité . Vous trouverez le GUID de votre identité managée.
2. Remplacez le GUID dans $MI_ID = « XXXXXXXXXXX » par le GUID de votre identité managée.

C. Lancer le script avec un compte d’administrateur général

Attention, ce script nécessite des modules MSGraph et Administration consentement pour accéder à votre locataire avec Microsoft Graph. Le script ajoute 3 autorisations à l’identité managée : 1. Exchange Online autorisation ManageAsApp 2. User.Read.All sur Microsoft API Graph 3. Group.Read.All sur Microsoft API Graph

D. attribution de rôle Exchange Online

1. En tant qu’administrateur général, accédez à Rôles et administrateurs.
2. Sélectionnez Rôle Lecteur général ou Lecteur de sécurité , puis cliquez sur « Ajouter des affectations ».
3. Cliquez sur « Aucun membre sélectionné » et recherchez le nom de votre compte d’identité managée en commençant par le nom de votre compte Automation , par exemple « ESI-Collector ». Sélectionnez-le, puis cliquez sur « Sélectionner ».
4. Cliquez sur Suivant et validez l’affectation en cliquant sur Attribuer.

---

Connecteur de données ExtraHop Detections

Pris en charge par :Support ExtraHop

Le connecteur de données détections ExtraHop vous permet d’importer des données de détection à partir d’ExtraHop RevealX pour Microsoft Sentinel via des charges utiles webhook. Les données sont ingérées à l’aide de l’API d’ingestion des journaux Azure Monitor via une règle de collecte de données (DCR).

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ExtraHop_Detections_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans Microsoft Entra ID, créer un point de terminaison de collecte de données, une règle de collecte de données et attribuer les rôles requis.
• inscription d’application Microsoft Entra : une inscription d’application Microsoft Entra ID (principal du service) avec une clé secrète client est requise. L’ID d’objet de l’application doit être fourni afin que le déploiement puisse lui attribuer le rôle nécessaire pour publier des journaux via l’API Log Ingestion.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Autorisations ExtraHop RevealX : les éléments suivants sont requis sur votre système ExtraHop RevealX :

1. Votre système RevealX doit exécuter le microprogramme version 9.9.2 ou ultérieure.
2. Votre système RevealX doit être connecté à ExtraHop Services cloud.
3. Votre compte d’utilisateur doit disposer de privilèges d’administration système sur RevealX 360 ou de privilèges d’écriture complète sur RevealX Enterprise.

Instructions d’installation :

REMARQUE : ce connecteur utilise Azure Functions pour recevoir des charges utiles de webhook ExtraHop et les ingérer dans Microsoft Sentinel à l’aide de l’API d’ingestion des journaux Azure Monitor (ingestion basée sur DCR). Cela remplace l’API collecteur de données HTTP Log Analytics héritée. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité les informations d’identification de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

REMARQUE : Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, qui est déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Log Analytics/Microsoft Sentinel Journaux, cliquez sur Fonctions et recherchez l’alias ExtraHopDetections. et chargez le code de la fonction ou cliquez ici. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

Configuration:

ÉTAPE 1 : Étapes d’inscription de l’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application (par exemple, ExtraHopSentinelConnector).
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution d’ExtraHop Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 2 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution d’ExtraHop Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution d’ExtraHop Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 3 : Obtenir l’ID d’objet de votre application dans Microsoft Entra ID

Après avoir créé l’inscription de votre application, suivez les étapes de cette section pour obtenir l’ID d’objet :

1. Allez à Microsoft Entra ID.
2. Sélectionnez Applications d’entreprise dans le menu de gauche.
3. Recherchez votre application nouvellement créée dans la liste (vous pouvez effectuer une recherche par le nom que vous avez fourni).
4. Cliquez sur l’application.
5. Dans la page vue d’ensemble, copiez l’ID d’objet. Il s’agit de l’AzureEntraObjectID nécessaire pour l’attribution de rôle de votre modèle ARM.

ÉTAPE 4 : Déployer ExtraHop Data Connector

IMPORTANT: Avant de déployer le connecteur ExtraHop Data, ayez les détails de l’inscription d’application Microsoft Entra ID (ID client, clé secrète client, ID de locataire et ID d’objet) disponibles.

Déployez le connecteur de données ExtraHop Detections :

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Détections ExtraHop.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région par défaut.

3. Entrez les informations ci-dessous :

   a. FunctionName : entrez le nom de l’application de fonction (utilisé pour nommer toutes les ressources associées). Doit comporter 1 à 11 caractères. Par défaut : ExtraHop

   b. Emplacement : emplacement dans lequel les règles de collecte de données et les points de terminaison de collecte de données doivent être déployés

   c. WorkspaceName : entrez Microsoft Sentinel nom de l’espace de travail de l’espace de travail Log Analytics

   d. AzureClientId : entrez Azure’ID client que vous avez créé lors de l’inscription de l’application

   e. AzureClientSecret : entrez Azure clé secrète client que vous avez créée lors de la création de la clé secrète client

   f. AzureEntraObjectID : entrez l’ID d’objet de votre application Microsoft Entra

   g. TenantId : entrez l’ID de locataire de votre Microsoft Entra ID

   h. DetectionsTableName : entrez le nom de la table utilisée pour stocker les journaux des détections ExtraHop. La valeur par défaut est « ExtraHop_Detections »

   i. LogLevel : sélectionnez le niveau de journalisation ou la valeur de gravité du journal dans Débogage, Informations, Erreur, Avertissement. Par défaut, il est défini sur Info

   j. AppInsightsWorkspaceResourceID : migrez Application Insights classique vers l’espace de travail Log Analytics, qui sera mis hors service le 29 février 2024. Utilisez le panneau « Log Analytics Workspace-->Properties » avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

ÉTAPE 5 - Post-déploiement

Une fois le déploiement réussi, configurez la connexion de webhook à partir d’ExtraHop RevealX pour Microsoft Sentinel.

1) Obtenir le point de terminaison d’application de fonction

1. Accédez à la page de vue d’ensemble de la fonction Azure, puis cliquez sur l’onglet Fonctions.
2. Cliquez sur la fonction appelée ExtraHopHttpStarter.
3. Accédez à Obtenir l’URL de la fonction et copiez l’URL de fonction disponible sous la valeur par défaut (clé de fonction).
4. Remplacez {functionname} par ExtraHopDetectionsOrchestrator dans l’URL de la fonction copiée.

2) Configurer une connexion pour Microsoft Sentinel et spécifier les critères de charge utile du webhook à partir de RevealX

À partir de votre système ExtraHop, configurez l’intégration Microsoft Sentinel pour établir une connexion entre Microsoft Sentinel et ExtraHop RevealX et créer des règles de notification de détection qui enverront des données de webhook à Microsoft Sentinel. Pour obtenir des instructions détaillées, consultez Intégrer ExtraHop RevealX à Microsoft Sentinel SIEM.

Une fois que les règles de notification ont été configurées et que Microsoft Sentinel reçoit des données de webhook, l’application de fonction est déclenchée et vous pouvez afficher les détections ExtraHop à partir de la table personnalisée de l’espace de travail Log Analytics. Utilisez la fonction d’analyseur ExtraHopDetections pour une vue normalisée des données.

---

F5 BIG-IP

Pris en charge par :F5 Networks

Le connecteur de pare-feu F5 vous permet de connecter facilement vos journaux F5 à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Cela vous donne plus d’informations sur le réseau de votre organization et améliore vos fonctionnalités d’opération de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
F5Telemetry_LTM_CL	Non	Non
F5Telemetry_system_CL	Oui	Oui
F5Telemetry_ASM_CL	Non	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Configurer et connecter F5 BIGIP

Pour connecter votre BIGIP F5, vous devez publier une déclaration JSON sur le point de terminaison d’API du système. Pour obtenir des instructions sur la procédure à suivre, consultez Intégration du BGIP F5 à Microsoft Sentinel.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Feedly IoC

Pris en charge par :Feedly Inc

Le connecteur de données Feedly IoC permet d’ingérer des indicateurs de compromission (IoC) de l’API Feedly dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
feedly_indicators_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Accès à l’API Feedly : l’accès à l’API Feedly est requis. Vous avez besoin d’un jeton d’API Feedly avec accès aux flux IoC que vous souhaitez ingérer. Générez votre jeton d’API à l’adresse https://feedly.com/i/team/api

Instructions d’installation :

Connectez-vous à Feedly pour commencer à collecter des ioC dans Microsoft Sentinel

1. Accédez à https://feedly.com/i/team/api et générez un nouveau jeton d’API pour le connecteur.
2. Dans Sentinel, dans la page du connecteur , fournissez votre clé API Feedly et vos ID de Stream. Cliquez ensuite sur « Se connecter ».

• Clé API Feedly : (Entrez votre jeton d’API Feedly)
• ID de Stream de flux : (streamId1,streamId2,streamId3)
• Activer/désactiver la connexion

---

Connecteur Push Flare

Pris en charge par :Flare

Le connecteur Flare permet d’ingérer le renseignement sur les menaces et d’exposer les données de Flare à Microsoft Sentinel. Flare identifie les ressources numériques de votre entreprise mises à la disposition du public en raison d’une erreur humaine ou d’attaques malveillantes, notamment des informations d’identification divulguées, des compartiments cloud exposés, des mentions darkweb, etc.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
FireworkV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR).
• Flare : autorisation de configurer Microsoft Sentinel’intégration dans Flare.

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Ce connecteur permet à Flare d’envoyer des données d’exposition aux menaces à Microsoft Sentinel. Lorsque le transfert de données est activé dans Flare, les données d’événement brutes sont envoyées en toute sécurité à l’API d’ingestion Microsoft Sentinel.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » créent des tables Log Analytics et une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Configurer Flare pour envoyer des journaux à Microsoft Sentinel

Utilisez les paramètres suivants pour configurer Flare afin d’envoyer des journaux à votre espace de travail.

• ID d’application (client) Entra : <valeur de variable fournie au moment de l’installation>
• ENTRA RÉPERTOIRE (LOCATAIRE) :< valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URL d’ingestion du journal : <valeur de variable fournie au moment de l’installation>

3. Configurer le canal d’alerte dans Flare

En tant qu’administrateur organization, vous pouvez configurer un canal d’alerte dans Flare pour envoyer des données à Sentinel.

1. S’authentifier sur Flare
2. Accédez à la page des alertes pour créer un canal d’alerte.
3. Sélectionnez « Microsoft Sentinel » et copiez les champs ci-dessus dans le formulaire.

Pour plus d’informations, reportez-vous à la documentation flare.

---

Forcepoint DLP

Pris en charge par :Community

Le connecteur Forcepoint DLP (Protection contre la perte de données) vous permet d’exporter automatiquement des données d’incident DLP Forcepoint vers Microsoft Sentinel en temps réel. Cela enrichit la visibilité des activités des utilisateurs et des incidents de perte de données, permet une corrélation supplémentaire avec les données des charges de travail Azure et d’autres flux, et améliore la fonctionnalité de surveillance avec les classeurs à l’intérieur Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ForcepointDLPEvents_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Suivez les instructions pas à pas de la documentation forcepoint DLP pour Microsoft Sentinel configurer ce connecteur.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Forescout

Pris en charge par :Microsoft Corporation

Le connecteur de données Forescout permet d’ingérer des événements Forescout dans Microsoft Sentinel. Pour plus d’informations , reportez-vous à la documentation Forescout .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ForescoutEvent	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu ForescoutEvent qui est déployé avec la solution Microsoft Sentinel.

NOTE: Ce connecteur de données a été développé à l’aide du plug-in Forescout Syslog version : v3.6

1. Installer et intégrer l’agent pour Linux ou Windows

Installez l’agent sur le serveur où les journaux Forescout sont transférés.

Les journaux d’activité de Forescout Server déployés sur des serveurs Linux ou Windows sont collectés par des agents Linux ou Windows.

Choisissez l’emplacement d’installation de l’agent Linux :

Installer l’agent sur Azure Linux machine virtuelle

Sélectionnez l’ordinateur sur lequel installer l’agent, puis cliquez sur Se connecter.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Installer l’agent sur un ordinateur non Azure Linux

Téléchargez l’agent sur l’ordinateur approprié et suivez les instructions.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Choisissez où installer l’agent Windows :

Installer l’agent sur Azure machine virtuelle Windows

Sélectionnez l’ordinateur sur lequel installer l’agent, puis cliquez sur Se connecter.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Installer l’agent sur un ordinateur Windows non Azure

Téléchargez l’agent sur l’ordinateur approprié et suivez les instructions.

• Install Agent : <valeur de variable fournie au moment de l’installation>

2. Configurer les journaux à collecter

Configurez les installations que vous souhaitez collecter et leurs gravités.

1. Sous Paramètres avancés de l’espace de travail Configuration, sélectionnez Données, puis Syslog.
2. Sélectionnez Appliquer la configuration ci-dessous à mes machines , puis sélectionnez les fonctionnalités et les gravités.
3. Cliquez sur Save (Enregistrer).

• Install Agent : <valeur de variable fournie au moment de l’installation>

3. Configurer le transfert d’événements Forescout

Suivez les étapes de configuration ci-dessous pour obtenir les journaux Forescout dans Microsoft Sentinel.

1. Sélectionnez une appliance à configurer.
2. Suivez ces instructions pour transférer des alertes de la plateforme Forescout vers un serveur syslog.
3. Configurez les paramètres sous l’onglet Déclencheurs Syslog.

---

Moniteur de propriétés de l’hôte Forescout

Pris en charge par :Microsoft Corporation

Le connecteur Forescout Host Property Monitor vous permet de connecter les propriétés de l’hôte à partir de la plateforme Forescout avec Microsoft Sentinel, d’afficher, de créer des incidents personnalisés et d’améliorer l’investigation. Cela vous donne plus d’informations sur votre réseau organization et améliore vos fonctionnalités d’opération de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ForescoutHostProperties_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Exigence du plug-in Forescout : vérifiez que le plug-in Forescout Microsoft Sentinel s’exécute sur la plateforme Forescout

Instructions d’installation :

Des instructions sur la configuration du plug-in Forescout Microsoft Sentinel sont fournies dans le portail de documentation Forescout (https://docs.forescout.com/bundle/sentinel-1-0-h)

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Fortinet FortiNDR Cloud

Pris en charge par :Fortinet

Le connecteur de données Fortinet FortiNDR Cloud offre la possibilité d’ingérer des données Fortinet FortiNDR Cloud dans Microsoft Sentinel à l’aide de l’API FortiNDR Cloud

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
FncEventsSuricata_CL	Non	Non
FncEventsObservation_CL	Non	Non
FncEventsDetections_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification MetaStream : l’ID de clé d’accès AWS, la clé d’accès secrète AWS et le code de compte cloud FortiNDR sont nécessaires pour récupérer les données d’événement.
• Informations d’identification de l’API : Le jeton d’API cloud FortiNDR, l’UUID du compte cloud FortiNDR sont requis pour récupérer les données de détection.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API cloud FortiNDR afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

REMARQUE : ce connecteur utilise un analyseur basé sur une fonction Kusto pour normaliser les champs. Procédez comme suit pour créer l’alias de fonction Kusto Fortinet_FortiNDR_Cloud.

ÉTAPE 1 : Étapes de configuration pour la collection de journaux cloud Fortinet FortiNDR

Le fournisseur doit fournir ou lier des étapes détaillées pour configurer le point de terminaison de l’API « NOM DE L’APPLICATION DU FOURNISSEUR » afin que la fonction Azure puisse s’authentifier auprès de celle-ci, obtenir sa clé d’autorisation ou son jeton et extraire les journaux de l’Appliance dans Microsoft Sentinel.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur Fortinet FortiNDR Cloud, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que des informations d’identification de l’API cloud FortiNDR (disponibles dans la gestion des comptes Cloud FortiNDR).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Fortinet FortiNDR Cloud.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés(Assurez-vous que l’utilisation du même emplacement que votre groupe de ressources est assurée et que l’emplacement prend en charge Flex Consumption.

3. Entrez les champs ID de l’espace de travail, Clé d’espace de travail, AwsAccessKeyId, AwsSecretAccessKey et/ou Autres champs obligatoires.

4. Cliquez sur Créer pour déployer.

---

Fortra Agari Data Connector (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Fortra Agari Data Connector permet d’ingérer des journaux à partir des API Fortra Agari dans Microsoft Sentinel. Ce connecteur s’intègre aux produits Agari Brand Protection (BP), Hameçonnage Défense (APD) et Réponse à l’hameçonnage (APR). Il prend en charge les transformations de temps d’ingestion basées sur DCR pour une exécution efficace des requêtes. Pour plus d’informations, reportez-vous à la documentation de l’API Agari .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AgariBPAlertsLog_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Étapes de configuration pour l’API Agari

Suivez les instructions ci-dessous pour obtenir vos informations d’identification d’API Agari.

1. Récupérez l’URL de l’API Connectez-vous à votre console Agari et accédez à la section API. L’URL d’API par défaut est https://api.agari.com

2. Récupérer les informations d’identification du client Obtenez votre ID client et votre clé secrète client à partir de la section Informations d’identification de l’API de votre compte Agari. Notez que différents produits Agari (Protection de la marque, Défense contre l’hameçonnage, Réponse à l’hameçonnage) peuvent nécessiter des informations d’identification d’API distinctes.

3. Sélectionnez Flux de données Choisissez les flux de données Agari que vous souhaitez collecter. Vous pouvez sélectionner un ou plusieurs flux en fonction de votre abonnement et de vos exigences.

• URL de l’API de base : (https://api.agari.com)
• ID client : (votre ID client)
• Clé secrète client : (votre clé secrète client)
• Activer/désactiver la connexion

---

Journaux distants Ultra Garrison (à l’aide de Azure Functions)

Pris en charge par :Garrison

Le connecteur Journaux distants Ultra Garrison vous permet d’ingérer les journaux d’activité distants Garrison ULTRA dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Garrison_ULTRARemoteLogs_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Garrison ULTRA : pour utiliser ce connecteur de données, vous devez disposer d’une licence Garrison ULTRA active.

Instructions d’installation :

Déploiement - modèle AZURE RESOURCE MANAGER (ARM)

Ces étapes décrivent le déploiement automatisé du connecteur de données Garrison ULTRA Remote Logs à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   portal.azure.com

2. Fournissez les détails requis, tels que le groupe de ressources, l’espace de travail Microsoft Sentinel et les configurations d’ingestion

NOTE: Il est recommandé de créer un groupe de ressources pour le déploiement de ces ressources. 3. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 4. Cliquez sur Acheter pour déployer.

---

Exécution cloud GCP (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données d’exécution cloud GCP permet d’ingérer des journaux de demande d’exécution cloud dans Microsoft Sentinel à l’aide de Pub/Sub. Pour plus d’informations, consultez Vue d’ensemble de l’exécution cloud.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPCloudRun	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

**Connecter l’exécution gcp cloud à Microsoft Sentinel **

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activez les journaux d’exécution cloud dans la console Google Cloud, activez la journalisation cloud si elle n’est pas activée précédemment, puis enregistrez les modifications. Déployez ou mettez à jour vos services d’exécution cloud avec la journalisation activée.

Lien de référence : lien vers la documentation

3. Connecter de nouveaux collecteurs Pour activer les journaux des demandes d’exécution cloud GCP pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, fournissez les informations requises dans la fenêtre contextuelle, puis cliquez sur Se connecter.

---

GCP Cloud SQL (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données SQL cloud GCP permet d’ingérer des journaux d’audit dans Microsoft Sentinel à l’aide de l’API SQL cloud GCP. Pour plus d’informations, reportez-vous à la documentation relative aux journaux d’audit SQL cloud GCP .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPCloudSQL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter GCP Cloud SQL à Microsoft Sentinel

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Dans la console Google Cloud, activez l’API Cloud SQL, si elle n’est pas activée précédemment, puis enregistrez les modifications.

3. Connecter de nouveaux collecteurs Pour activer les journaux SQL CLOUD GCP pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

---

Journaux d’audit de publication/de sous-publication GCP

Pris en charge par :Microsoft Corporation

Les journaux d’audit Google Cloud Platform (GCP), ingérés à partir du connecteur de Microsoft Sentinel, vous permettent de capturer trois types de journaux d’audit : les journaux d’activité d’administration, les journaux d’accès aux données et les journaux de transparence des accès. Les journaux d’audit google cloud enregistrent une piste que les praticiens peuvent utiliser pour surveiller l’accès et détecter les menaces potentielles sur les ressources Google Cloud Platform (GCP).

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPAuditLogs	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Connecter de nouveaux collecteurs Pour activer les journaux d’audit GCP pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

---

Journaux d’Load Balancer de publication/de sous-Load Balancer GCP (via l’infrastructure de connecteur sans code).

Pris en charge par :Microsoft Corporation

Google Cloud Platform (GCP) Load Balancer journaux fournissent des informations détaillées sur le trafic réseau, en capturant les activités entrantes et sortantes. Ces journaux sont utilisés pour surveiller les modèles d’accès et identifier les menaces de sécurité potentielles sur les ressources GCP. En outre, ces journaux incluent également des journaux d’Web Application Firewall GCP (WAF), ce qui améliore la capacité de détecter et d’atténuer efficacement les risques.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPLoadBalancerLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activez Load Balancer journaux Dans votre compte GCP, accédez à la section Load Balancer. Ici, vous pouvez nier [Service principal] -> [Modifier], une fois que vous êtes dans le [Service principal] dans la section [Journalisation] activez la case à cocher [Activer les journaux]. Une fois que vous avez ouvert la règle, basculez le bouton bascule sous la section Journaux sur Activé, puis enregistrez les modifications.

Pour plus d’informations : Lien vers la documentation

3. Connecter de nouveaux collecteurs Pour activer les journaux d’Load Balancer GCP pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

---

Journaux de flux de publication/sub VPC GCP (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Les journaux de flux VPC Google Cloud Platform (GCP) vous permettent de capturer l’activité du trafic réseau au niveau du VPC, ce qui vous permet de surveiller les modèles d’accès, d’analyser les performances réseau et de détecter les menaces potentielles sur les ressources GCP.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPVPCFlow	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activer les journaux de flux VPC Dans votre compte GCP, accédez à la section Réseau VPC. Sélectionnez le sous-réseau que vous souhaitez surveiller et activez les journaux de flux sous la section Journalisation.

Pour plus d’informations : Documentation Google Cloud

3. Connecter de nouveaux collecteurs Pour activer les journaux de flux VPC GCP pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

---

Gigamon AMX Connector

Pris en charge par :Gigamon

Le connecteur Gigamon permet de lire les données d’événements bruts de Gigamon dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GigamonV2_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Ce connecteur lit les données des tables utilisées par Gigamon CCF dans un espace de travail Microsoft Analytics. Si l’option de transfert de données est activée dans Gigamon CCF, les données d’événement brutes sont envoyées à l’API d’ingestion Microsoft Sentinel.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création de tables Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Envoyer vos journaux dans l’espace de travail

Utilisez les paramètres suivants pour configurer votre machine afin qu’elle envoie les journaux à l’espace de travail.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• Nom du Stream de l’activité : <valeur de variable fournie au moment de l’installation>
• Nom du Stream de la menace : <valeur de variable fournie au moment de l’installation>

---

GitHub (à l’aide de webhooks)

Pris en charge par :Microsoft Corporation

Le connecteur de données de webhook GitHub permet d’ingérer des événements gitHub abonnés dans Microsoft Sentinel à l’aide d’événements de webhook GitHub. Le connecteur permet d’obtenir des événements dans Microsoft Sentinel ce qui permet d’examiner les risques de sécurité potentiels, d’analyser l’utilisation de la collaboration par votre équipe, de diagnostiquer les problèmes de configuration, etc.

Note: Si vous avez l’intention d’ingérer les journaux d’audit Github, reportez-vous à GitHub Enterprise Audit Log Connector à partir de la galerie « Data Connectors ».

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
githubscanaudit_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.

Instructions d’installation :

NOTE: Ce connecteur a été créé sur un déclencheur HTTP basé Azure Function. Il fournit également un point de terminaison auquel github sera connecté via sa fonctionnalité de webhook et publie les événements abonnés dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Choisissez UNE parmi les deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur Webhook Github, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données GitHub à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner les applications Windows et Linux dans la même région et les déployer. 3. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données de webhook GitHub avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
3. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : WorkspaceID WorkspaceKey logAnalyticsUri (facultatif) - Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

Étapes postérieures au déploiement

ÉTAPE 1 : pour obtenir l’URL de la fonction Azure

1. Accédez à Azure page Vue d’ensemble de la fonction, puis cliquez sur « Fonctions » dans le panneau gauche.
2. Cliquez sur la fonction appelée « GithubwebhookConnector ».
3. Accédez à « GetFunctionurl » et copiez l’URL de la fonction.

ÉTAPE 2 : Configurer le webhook sur l’organisation Github

1. Accédez à GitHub , ouvrez votre compte, puis cliquez sur « Vos organisations ».
2. Cliquez sur Paramètres.
3. Cliquez sur « Webhooks » et entrez l’URL de l’application de fonction qui a été copiée à partir de l’ÉTAPE 1 ci-dessus sous la zone de texte URL de charge utile.
4. Choisissez le type de contenu « application/json ».
5. Abonnez-vous aux événements et cliquez sur « Ajouter un webhook »

Maintenant, nous avons terminé la configuration du webhook github. Une fois les événements github déclenchés et après le délai de 20 à 30 minutes (étant donné qu’il y aura un problème pour LogAnalytics pour lancer les ressources pour la première fois), vous devriez être en mesure de voir tous les événements transactionnels de github dans la table d’espace de travail LogAnalytics appelée « githubscanaudit_CL ».

Pour plus d’informations, cliquez ici

---

Journal d’audit GitHub Enterprise (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de journal d’audit GitHub permet d’ingérer des journaux GitHub dans Microsoft Sentinel. En connectant les journaux d’audit GitHub à Microsoft Sentinel, vous pouvez afficher ces données dans des classeurs, les utiliser pour créer des alertes personnalisées et améliorer votre processus d’investigation.

Note: Si vous aviez l’intention d’ingérer des événements gitHub abonnés dans Microsoft Sentinel, reportez-vous au connecteur GitHub (à l’aide de webhooks) à partir de la galerie « Data Connectors ».

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GitHubAuditLogsV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Jeton d’accès personnel de l’API GitHub : pour activer l’interrogation du journal d’audit d’entreprise, vérifiez que l’utilisateur authentifié est un administrateur d’entreprise et dispose d’un jeton d’accès personnel GitHub (classique) avec l’étendue read:audit_log .
• Type GitHub Enterprise : ce connecteur fonctionne uniquement avec GitHub Enterprise Cloud . il ne prend pas en charge GitHub Enterprise Server.

Instructions d’installation :

Connecter le journal d’audit gitHub au niveau de l’entreprise à Microsoft Sentinel

Activer les journaux d’audit GitHub. Suivez ce guide pour créer ou rechercher votre jeton d’accès personnel.

• Grille des connecteurs de données (configurer dans le portail)

---

Google ApigeeX (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Google ApigeeX permet d’ingérer des journaux d’audit dans Microsoft Sentinel à l’aide de l’API Google Apigee. Pour plus d’informations, reportez-vous à la documentation de l’API Google Apigee .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPApigee	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

**Connecter Google ApigeeX à Microsoft Sentinel **

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activer les journaux ApigeeX Dans la console Google Cloud, activez l’API Apigee, si elle n’est pas activée précédemment, puis enregistrez les modifications.

3. Connecter de nouveaux collecteurs Pour activer les journaux ApigeeX pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, fournissez les informations requises dans la fenêtre contextuelle, puis cliquez sur Se connecter.

---

Google Cloud Platform CDN (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données CDN Google Cloud Platform offre la possibilité d’ingérer les journaux d’audit du CDN cloud et les journaux de trafic cdn cloud dans Microsoft Sentinel à l’aide de l’API du moteur de calcul. Pour plus d’informations, reportez-vous au document Vue d’ensemble du produit.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPCDN	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

**Connecter GCP CDN à Microsoft Sentinel **

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activez les journaux CDN dans la console Google Cloud, activez la journalisation cloud si elle n’est pas activée précédemment, puis enregistrez les modifications. Accédez à la section Cloud CDN et cliquez sur Ajouter une origine pour créer des back-ends conformément au lien fourni ci-dessous.

Lien de référence : lien vers la documentation

3. Connecter de nouveaux collecteurs Pour activer les journaux GCP Cloud CDN pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, fournissez les informations requises dans la fenêtre contextuelle, puis cliquez sur Se connecter.

---

Google Cloud Platform Cloud IDS (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Google Cloud Platform IDS permet d’ingérer les journaux de trafic cloud IDS, les journaux des menaces et les journaux d’audit dans Microsoft Sentinel à l’aide de l’API Google Cloud IDS. Pour plus d’informations, reportez-vous à la documentation sur l’API Cloud IDS .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPIDS	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

**Connecter GCP Cloud IDS à Microsoft Sentinel **

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activer les journaux IDS Dans la console Google Cloud, activez l’API Cloud IDS, s’il n’est pas activé précédemment. Créez un point de terminaison IDS et enregistrez les modifications.

Pour plus d’informations sur la création et la configuration d’un point de terminaison IDS : Lien vers la documentation

3. Connecter de nouveaux collecteurs Pour activer les journaux IDS GCP pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, fournissez les informations requises dans la fenêtre contextuelle, puis cliquez sur Se connecter.

---

Google Cloud Platform Cloud Monitoring (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Google Cloud Platform Cloud Monitoring ingère les journaux de supervision de Google Cloud dans Microsoft Sentinel à l’aide de l’API Google Cloud Monitoring. Pour plus d’informations, reportez-vous à la documentation de l’API Cloud Monitoring .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPMonitoring	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter Google Cloud Platform Cloud Monitoring à Microsoft Sentinel

1. Configurer l’intégration de la supervision GCP Pour extraire les journaux de GCP Cloud Monitoring vers Sentinel ID de projet de Google cloud est requis.

2. Choisissez le type de métrique Pour collecter les journaux à partir de Google Cloud Monitoring, indiquez le type de métrique requis.

Pour plus d’informations, consultez Google Cloud Metrics.

3. Informations d’identification OAuth Pour récupérer l’ID client et la clé secrète client Oauth, reportez-vous à cette documentation.

4. Se connecter à Sentinel Cliquez sur Se connecter pour commencer à extraire les journaux d’analyse de Google Cloud dans Microsoft Sentinel.

• ID de projet GCP :
• Type de métrique :
• Grille des connecteurs de données (configurer dans le portail)

---

Moteur de calcul Google Cloud Platform (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Google Cloud Platform Compute Engine permet d’ingérer les journaux d’audit du moteur de calcul dans Microsoft Sentinel à l’aide de l’API Google Cloud Compute Engine. Pour plus d’informations, reportez-vous à la documentation de l’API Moteur de calcul cloud .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPComputeEngine	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

**Connecter le moteur de calcul GCP à Microsoft Sentinel **

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activer les journaux du moteur de calcul Dans la console Google Cloud, activez l’API Compute Engine, si elle n’est pas activée précédemment, puis enregistrez les modifications.

3. Connecter de nouveaux collecteurs Pour activer les journaux du moteur de calcul pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, fournissez les informations requises dans la fenêtre contextuelle, puis cliquez sur Se connecter.

---

Google Cloud Platform DNS (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données DNS Google Cloud Platform permet d’ingérer des journaux de requête DNS cloud et des journaux d’audit DNS cloud dans Microsoft Sentinel à l’aide de l’API DNS Google Cloud. Pour plus d’informations, reportez-vous à la documentation sur l’API DNS cloud .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPDNS	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

**Connecter LE DNS GCP à Microsoft Sentinel **

NOTE: Si Azure Function et le connecteur CCF s’exécutent simultanément, les données en double sont remplies dans les tables.

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activez les journaux DNS Dans la console Google Cloud, accédez à la section DNS cloud. Activez la journalisation cloud si elle n’est pas activée précédemment, puis enregistrez les modifications. Ici, vous pouvez gérer les zones existantes, ou créer une zone et créer des stratégies pour la zone que vous souhaitez surveiller.

Pour plus d’informations : Lien vers la documentation

3. Connecter de nouveaux collecteurs Pour activer les journaux DNS GCP pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, fournissez les informations requises dans la fenêtre contextuelle, puis cliquez sur Se connecter.

---

Google Cloud Platform IAM (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données IAM Google Cloud Platform permet d’ingérer les journaux d’audit relatifs aux activités de gestion des identités et des accès (IAM) dans Google Cloud dans Microsoft Sentinel à l’aide de l’API Google IAM. Pour plus d’informations, reportez-vous à la documentation de l’API IAM GCP .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPIAM	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter GCP IAM à Microsoft Sentinel

NOTE: Si Azure Function et le connecteur CCF s’exécutent en parallèle, les données en double sont remplies dans les tables.

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Pour activer les journaux IAM Dans votre compte GCP, accédez à la section IAM. À partir de là, vous pouvez créer un utilisateur ou modifier le rôle d’un utilisateur existant que vous souhaitez surveiller. Veillez à enregistrer vos modifications.

Pour plus d’informations : Lien vers la documentation

3. Connecter de nouveaux collecteurs Pour activer les journaux GCPIAM pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

---

Google Cloud Platform NAT (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données NAT Google Cloud Platform permet d’ingérer les journaux d’audit NAT cloud et les journaux du trafic NAT cloud dans Microsoft Sentinel à l’aide de l’API du moteur de calcul. Pour plus d’informations, reportez-vous au document Vue d’ensemble du produit.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPNATAudit	Oui	Oui
GCPNAT	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

**Connecter GCP NAT à Microsoft Sentinel **

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activez les journaux NAT Dans la console Google Cloud, activez la journalisation cloud si elle n’est pas activée précédemment, puis enregistrez les modifications. Accédez à la section CLOUD NAT et cliquez sur Ajouter une origine pour créer des back-ends conformément au lien fourni ci-dessous.

Lien de référence : lien vers la documentation

3. Connecter de nouveaux collecteurs Pour activer les journaux NAT cloud GCP pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, fournissez les informations requises dans la fenêtre contextuelle, puis cliquez sur Se connecter.

---

Google Cloud Platform Resource Manager (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Google Cloud Platform Resource Manager permet d’ingérer Resource Manager journaux d’activité Administration et d’audit d’accès aux données dans Microsoft Sentinel à l’aide de l’API cloud Resource Manager. Pour plus d’informations, reportez-vous au document Vue d’ensemble du produit.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GCPResourceManager	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

**Connecter le Resource Manager GCP à Microsoft Sentinel **

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activez Resource Manager journaux dans la console Google Cloud, activez l’API Cloud Resource Manager si elle n’est pas activée précédemment, puis enregistrez les modifications. Veillez à disposer d’autorisations IAM de niveau organization pour votre compte afin de voir tous les journaux dans la hiérarchie des ressources. Vous pouvez consulter les liens de document pour obtenir différentes autorisations IAM pour le contrôle d’accès avec IAM à chaque niveau fourni dans ce lien

3. Connecter de nouveaux collecteurs Pour activer les journaux d’Resource Manager GCP pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, fournissez les informations requises dans la fenêtre contextuelle, puis cliquez sur Se connecter.

---

Moteur Google Kubernetes (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Les journaux Google Kubernetes Engine (GKE) vous permettent de capturer l’activité du cluster, le comportement des charges de travail et les événements de sécurité, ce qui vous permet de surveiller les charges de travail Kubernetes, d’analyser les performances et de détecter les menaces potentielles sur les clusters GKE.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GKEAudit	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Activez la journalisation du moteur Kubernetes Dans votre compte GCP, accédez à la section Kubernetes Engine. Activez la journalisation cloud pour vos clusters. Dans la journalisation cloud, assurez-vous que les journaux spécifiques que vous souhaitez ingérer( serveur d’API, planificateur, gestionnaire de contrôleurs, décision HPA et journaux d’application) sont activés pour une surveillance et une analyse de la sécurité efficaces.

3. Connecter de nouveaux collecteurs Pour activer les journaux GKE pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

---

Centre de commandes de sécurité Google

Pris en charge par :Microsoft Corporation

Google Cloud Platform (GCP) Security Command Center est une plateforme complète de gestion de la sécurité et des risques pour Google Cloud, ingérée à partir du connecteur de Sentinel. Il offre des fonctionnalités telles que l’inventaire et la découverte des ressources, la détection des vulnérabilités et des menaces, ainsi que l’atténuation et la correction des risques pour vous aider à obtenir des informations sur la surface d’attaque de la sécurité et des données de votre organization. Cette intégration vous permet d’effectuer plus efficacement des tâches liées aux résultats et aux ressources.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GoogleCloudSCC	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

1. Configurer votre environnement GCP Vous devez disposer des ressources GCP suivantes définies et configurées : rubrique, abonnement pour la rubrique, pool d’identités de charge de travail, fournisseur d’identité de charge de travail et compte de service avec des autorisations pour obtenir et consommer à partir de l’abonnement. Terraform fournit l’API pour l’IAM qui crée les ressources. Lien vers des scripts Terraform.

• ID de locataire : identificateur unique utilisé comme entrée dans la configuration Terraform dans un environnement GCP :< valeur de variable fournie au moment de l’installation>

2. Connecter de nouveaux collecteurs Pour activer GCP SCC pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises dans le volet contextuel, puis cliquez sur Se connecter.

---

Activités de l’espace de travail Google (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Google Workspace Activities permet d’ingérer des événements d’activité à partir de l’API Google Workspace dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GoogleWorkspaceReports	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API Google Workspace : l’accès à l’API d’activités Google Workspace via Oauth est requis.

Instructions d’installation :

Connectez-vous à Google Workspace pour commencer à collecter les journaux d’activité des utilisateurs dans Microsoft Sentinel

Étapes de configuration de l’API Google Reports

1. Connectez-vous à la console google cloud avec les informations d’identification https://console.cloud.google.comde votre espace de travail Administration .
2. À l’aide de l’option de recherche (disponible en haut au milieu), rechercher des API & Services
3. Dans API & Services ->API activées & Services, activez Administration API sdk pour ce projet.
4. Accédez à API & Services ->Écran de consentement OAuth. S’il n’est pas déjà configuré, créez un écran de consentement OAuth en procédant comme suit :
   1. Fournissez le nom de l’application et d’autres informations obligatoires.
   2. Sélectionnez Externe comme Type d’utilisateur pour l’audience.
5. Accédez à API & Services ->Informations d’identification et créez l’ID client OAuth 2.0
   1. Cliquez sur Créer des informations d’identification en haut, puis sélectionnez ID client Oauth.
   2. Sélectionnez Application web dans la liste déroulante Type d’application.
   3. Fournissez un nom approprié à l’application web et ajoutez l’URI de redirection dans le formulaire ci-dessous en tant qu’URI de redirection autorisés.
   4. Une fois que vous avez cliqué sur Créer, vous recevrez l’ID client et la clé secrète client. Copiez ces valeurs et utilisez-les dans les étapes de configuration ci-dessous.
6. Accédez à Google Auth Platform ->Data Access : Add Administration SDK API scope

Configurez les étapes pour l’accès oauth à l’API Google Reports. Ensuite, fournissez les informations requises ci-dessous, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

Connecteur de données GravityZone

Pris en charge par :La liste de révocation de certificats de sécurité (SRL) de l'

Ce connecteur permet l’intégration entre GravityZone etMicrosoft Sentinel par le biais de l’API Event Push Service. Une fois configuré, il diffuse tous les types d’événements GravityZone directement dans votre espace de travail Microsoft Sentinel, où ils sont stockés sous forme de journaux dans la GzSecurityEvents_CL table.

Les catégories d’événements clés telles que EDR, XDR, l’atténuation des ransomwares, le bac à sable réseau et les événements de programmes malveillants Exchange peuvent être automatiquement corrélées et générer des incidents via la règle d’analyse des alertes d’incident NRT GravityZone .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GzSecurityEvents_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Inscription Azure App : Microsoft Entra Inscription de l’application avec les informations suivantes : ID d’annuaire (locataire), ID d’application (client), ID d’objet du principal du service managé (à partir de l’entrée Applications d’entreprise de l’application), Clé secrète client (générée sous Certificats & secrets).
• Compte cloud GravityZone : compte cloud GravityZone avec une clé API générée pour le point de terminaison du service Event Push.
• Lisez notre guide : Suivez cet article pas à pas pour configurer l’intégration. Clients | Partenaires

Instructions d’installation :

1. Cliquez sur le bouton Déployer sur Azure ci-dessous et renseignez les paramètres requis.

aka.ms

2. Collecter l’URL d’ingestion des journaux à partir du point de terminaison degz-sentinel-dce collecte de données

3. Collecter l’ID immuable à partir de la règle degz-sentinel-dcr collecte de données

4. Accédez à votre compte GravityZone Cloud et accédez à Mon compte. Créez une clé API avec les autorisations du service d’envoi d’événements.

5. Configurez vos paramètres de service d’envoi d’événements à l’aide de cet article. Clients | Partenaires. Notez qu’après le déploiement réussi du connecteur de données & configuration réussie du service Event Push de GravityZone, le système reçoit les données du journal d’activité en quasi-temps réel. Un court délai peut se produire entre la transmission des données et leur apparition dans la section Journaux d’Microsoft Sentinel.

---

GreyNoise Threat Intelligence

Pris en charge par :GreyNoise

Ce connecteur de données installe une application Azure Function pour télécharger les indicateurs GreyNoise une fois par jour et les insère dans la table ThreatIntelIndicators dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelIndicators	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Clé API GreyNoise : récupérez votre clé API GreyNoise ici.

Instructions d’installation :

**Vous pouvez connecter GreyNoise Threat Intelligence à Microsoft Sentinel en suivant les étapes ci-dessous : **

Les étapes suivantes créent une application AAD Azure, récupère une clé API GreyNoise et enregistre les valeurs dans un Azure Function App Configuration.

1. Récupérez votre clé API à partir de GreyNoise Visualizer.

Générer une clé API à partir du visualiseur GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api

2. Dans votre locataire ad Azure, créez une application Active Directory (AAD) Azure et obtenez l’ID de locataire et l’ID client. Obtenez également l’ID d’espace de travail Log Analytics associé à votre Microsoft Sentinel instance (il doit s’afficher ci-dessous).

Suivez les instructions fournies ici pour créer votre application AAD Azure et enregistrer votre ID client et votre ID de locataire : /azure/sentinel/connect-threat-intelligence-upload-api#instructions REMARQUE : Attendez l’étape 5 pour générer votre clé secrète client.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Suivez les instructions ici pour ajouter le rôle contributeur Microsoft Sentinel : /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

4. Spécifiez les autorisations AAD pour permettre à MS API Graph d’accéder à l’API upload-indicators.

Suivez cette section ici pour ajouter l’autorisation « ThreatIndicators.ReadWrite.OwnedBy » à l’application AAD : /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De retour dans votre application AAD, veillez à accorder le consentement de l’administrateur pour les autorisations que vous venez d’ajouter. Enfin, dans la section « Jetons et API », générez une clé secrète client et enregistrez-la. Vous en aurez besoin à l’étape 6.

5. Déployer la solution Threat Intelligence (Nouvelle) (v3.0.14 ou ultérieure) qui inclut l’API Threat Intelligence Upload Indicators (préversion)

Consultez Microsoft Sentinel Hub de contenu pour cette solution et installez-la dans le Microsoft Sentinel instance. Notez que vous n’avez pas besoin d’effectuer de configuration dans cette étape.

6. Déployer la fonction Azure

Cliquez sur le bouton Déployer sur Azure.

aka.ms

Renseignez les valeurs appropriées pour chaque paramètre. N’oubliez pas que les seules valeurs valides pour le paramètre GREYNOISE_CLASSIFICATIONS sont bénignes, malveillantes et/ou inconnues, qui doivent être séparées par des virgules.

7. Envoyer des indicateurs à Sentinel

L’application de fonction installée à l’étape 6 interroge l’API GreyNoise GNQL une fois par jour et envoie chaque indicateur trouvé au format STIX 2.1 à l’API Microsoft Upload Threat Intelligence Indicators. Chaque indicateur expire dans environ 24 heures après sa création, sauf s’il est trouvé dans la requête du jour suivant. Dans ce cas, l’heure valide jusqu’à l’indicateur TI est prolongée de 24 heures supplémentaires, ce qui le maintient actif dans Microsoft Sentinel.

Pour plus d’informations sur l’API GreyNoise et le langage de requête GreyNoise (GNQL), cliquez ici.

---

Halcyon Connector

Pris en charge par :Halcyon

Le connecteur Halcyon permet d’envoyer des données de Halcyon à Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
HalcyonEvents_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra Créer des autorisations : autorisations pour créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Autorisations d’attribution de rôle : autorisations d’écriture requises pour attribuer le rôle d’éditeur de métriques de surveillance à la règle de collecte de données (DCR). Nécessite généralement le rôle Propriétaire ou Administrateur de l’accès utilisateur au niveau du groupe de ressources.

Instructions d’installation :

1. Créer des ressources ARM et provisionner les autorisations requises

Ce connecteur lit les données des tables utilisées par Halcyon dans un espace de travail Microsoft Analytics, si les données sont transférées

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création de tables Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Configurer votre intégration dans la plateforme Halcyon

Utilisez les paramètres suivants pour configurer votre intégration dans la plateforme Halcyon.

• ID d’annuaire (ID de locataire) : <valeur de variable fournie au moment de l’installation>
• ENTRA ID d’application d’inscription d’application (ID client) : <valeur de variable fournie au moment de l’installation>
• Entra secret d’inscription d’application (secret d’informations d’identification) (CE SECRET NE SERA PAS VISIBLE APRÈS AVOIR QUITTÉ CETTE PAGE) : <valeur de variable fournie au moment de l’installation>
• Point de terminaison de collecte de données (URL) : <valeur de variable fournie au moment de l’installation>
• ID de règle de collecte de données (ID de règle) : <valeur de variable fournie au moment de l’installation>

---

Holm Security Asset Data (à l’aide de Azure Functions)

Pris en charge par :Holm Security

Le connecteur permet d’interroger les données de Holm Security Center dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
net_assets_CL	Non	Non
web_assets_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton API de sécurité Holm : le jeton de API de sécurité Holm est requis. Jeton API de sécurité Holm

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à des ressources de sécurité Holm afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : étapes de configuration pour le API de sécurité Holm

Suivez ces instructions pour créer un jeton d’authentification d’API.

ÉTAPE 2 : utilisez l’option de déploiement ci-dessous pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur Holm Security, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du jeton d’autorisation API de sécurité Holm.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Déploiement de modèle Azure Resource Manager (ARM)

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Holm Security.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID de l’espace de travail, la clé de l’espace de travail, le nom d’utilisateur de l’API, le mot de passe de l’API, « et/ou autres champs obligatoires ».

Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

---

Journaux IIS des serveurs Microsoft Exchange

Pris en charge par :Community

[Option 5] - Utilisation de l’agent Azure Monitor : vous pouvez diffuser en continu tous les journaux IIS à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer l’investigation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
W3CIISLog	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non Azure, Azure Arc est recommandé. En savoir plus
• Documentation détaillée : >REMARQUE : La documentation détaillée sur la procédure d’installation et l’utilisation est disponible ici

Instructions d’installation :

NOTE: Cette solution est basée sur les options. Cela vous permet de choisir les données à ingérer, car certaines options peuvent générer un très grand volume de données. En fonction de ce que vous souhaitez collecter, effectuez le suivi dans vos classeurs, règles d’analyse et fonctionnalités de chasse, vous choisirez la ou les options que vous allez déployer. Chaque option est indépendante pour l’une de l’autre. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »

Ce connecteur de données est l’option 5 du wiki.

1. Téléchargez et installez les agents nécessaires pour collecter les journaux pour Microsoft Sentinel

Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou à tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.

Déployer des agents monitor

Cette étape n’est nécessaire que si vous intégrez vos serveurs/contrôleurs de domaine Exchange Pour la première fois, déployez l’agent Azure Arc En savoir plus

[Option 5] Journaux IIS des serveurs Exchange

Sélectionner comment diffuser en continu les journaux IIS des serveurs Exchange

Activer la règle de collecte de données

Les journaux IIS sont collectés uniquement à partir des agents Windows .

Option 1 : modèle Azure Resource Manager (ARM) (méthode préférée)

Utilisez cette méthode pour le déploiement automatisé du DCE et de la DCR.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Vous pouvez modifier le nom proposé du DCE.

4. Cliquez sur Créer pour déployer.

B. Déployer une règle de connexion de données

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. À partir du portail Azure, accédez à Azure Point de terminaison de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires et donnez un nom au DCE.
4. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

B. Créer une DCR, tapez le journal IIS

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires, Sélectionnez Windows comme type de plateforme et donnez un nom à la DCR. Sélectionnez le DCE créé.
4. Sous l’onglet Ressources , entrez serveurs Exchange.
5. Dans « Collecter et remettre », ajoutez un type de source de données « Journaux IIS » (n’entrez pas de chemin si le chemin des journaux IIS est configuré par défaut). Cliquez sur Ajouter une source de données.
6. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

---

Illumio Insights

Pris en charge par :Illumio

Le connecteur de données Illumio Insights permet d’ingérer des journaux de l’API Illumio dans Microsoft Sentinel. Le connecteur de données repose sur Microsoft Sentinel framework de connecteur sans code. Il utilise l’API Illumio pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de les analyser à nouveau, ce qui améliore les performances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
IlumioInsights	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Étapes de configuration de l’API Illumio Insights

Configuration requise

• S’inscrire et se connecter à la console Illumio avec des informations d’identification valides
• Les informations d’identification du client doivent être stockées dans Microsoft Sentinel compte du locataire

Étape 1 : Inscrire le compte de service

1. Accédez à Illumio Console → Access → Service Accounts
2. Créer un compte de service pour le locataire
3. Une fois que vous avez créé un compte de service, vous recevez les informations d’identification du client
4. Copiez le nom d’utilisateur (clé API) et le secret Étape 2 : Ajouter les informations d’identification du client à Sentinel compte

• Ajouter la clé API et le secret à Sentinel compte pour l’authentification du locataire
• Ces informations d’identification seront utilisées pour authentifier les appels à l’API SaaS Illumio

Étape 3 : Utilisation de l’API Le connecteur utilise ces informations d’identification pour appeler l’API SaaS Illumio :

• Point de terminaison : GET https://gw.console.illum.io/api/v1/resource-insights
• En-têtes obligatoires :
  • x-illumio-tenant-id: votre ID de locataire Illumio
  • x-auth-key: clé API obtenue à l’étape 1
  • x-auth-X-api-secret: clé secrète obtenue à l’étape 1

Validation d’authentification Illumio valide la demande par rapport à :

• Signature par rapport aux clés publiques de l’ID de Entra
• Audience (aud) correspond à l’URI d’ID d’application de votre API
• Validation de l’émetteur

Renseignez les champs obligatoires ci-dessous avec les informations d’identification obtenues à partir de la console Illumio :

• Clé API Illumio Insights : (api_XXXXXX)
• Secret API : (Secret API)
• ID de locataire Illumio : ({illumioTenantId})
• Activer/désactiver la connexion

---

Résumé des insights Illumio

Pris en charge par :Illumio

Le connecteur de données Résumé d’Illumio Insights permet d’ingérer des informations sur la sécurité Illumio et des rapports d’analyse des menaces dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous à la documentation de l’API Illumio . Le connecteur permet d’obtenir des rapports de synthèse quotidiens et hebdomadaires à partir d’Illumio et de les visualiser dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
IllumioInsightsSummary_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Accès à l’API Illumio : l’accès à l’API Illumio est requis pour l’API Illumio Insights Summary.

Instructions d’installation :

1. Configuration

Configurez le connecteur Illumio Insights Summary.

[! REMARQUE] Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, qui est déployé dans le cadre de la solution.

• Clé API Illumio Insights : (api_XXXXXX)
• Secret API : (Secret API)
• ID de locataire Illumio : ({illumioTenantId})

2. Se connecter

Activez le connecteur Illumio Insights Summary.

• Activer/désactiver la connexion

---

Illumio SaaS (à l’aide de Azure Functions)

Pris en charge par :Illumio

Le connecteur Illumio permet d’ingérer des événements dans Microsoft Sentinel. Le connecteur permet d’ingérer des événements auditables et de transmettre des événements à partir du compartiment AWS S3.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Illumio_Auditable_Events_CL	Oui	Oui
Illumio_Flow_Events_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL sont requises. Si vous utilisez le compartiment s3 fourni par Illumio, contactez le support Illumio. À votre demande, ils vous fourniront le nom du compartiment AWS S3, l’URL AWS SQS et les informations d’identification AWS pour y accéder.
• Clé et secret de l’API Illumio : ILLUMIO_API_KEY, ILLUMIO_API_SECRET est nécessaire pour qu’un classeur se connecter à SaaS PCE et extraire les réponses de l’API.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à AWS SQS/S3 afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés d’autorisation d’API ou les jetons dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Conditions préalables

1. Vérifiez qu’AWS SQS est configuré pour le compartiment s3 à partir duquel les journaux des événements de flux et d’auditables vont être extraits. Si Illumio fournit un compartiment, contactez le support Illumio pour l’URL sqs, le nom du compartiment s3 et les informations d’identification aws.
2. Inscrire l’application AAD : pour que la règle de collecte de données (DCR) ingère des données dans Log Analytics, vous devez utiliser Entra application. 1. Suivez les instructions ici (étapes 1 à 5) pour obtenir l’ID de locataire AAD, l’ID client AAD et la clé secrète client AAD.
3. Vérifiez que vous avez créé un espace de travail Log Analytics. Notez le nom et la région où il a été déployé.

Déploiement

Choisissez l’une des approches ci-dessous. Utilisez le modèle ARM ci-dessous pour déployer des ressources Azure ou déployez l’application de fonction manuellement.

1. Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé de ressources Azure à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Fournissez les informations requises, telles que Microsoft Sentinel Espace de travail, les informations d’identification AWS, les détails de l’application Azure AD et les configurations d’ingestion

NOTE: Il est recommandé de créer un groupe de ressources pour le déploiement de l’application de fonction et des ressources associées. 3. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 4. Cliquez sur Acheter pour déployer.

2. Déployer des applications de fonction supplémentaires pour gérer la mise à l’échelle

Utilisez cette méthode pour le déploiement automatisé d’applications de fonction supplémentaires à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

3. Déploiement manuel de Azure Functions

Déploiement via Visual Studio Code.

1. Déployer une application de fonction

2. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.

4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

5. Configurer l’application de fonction

6. Suivez la documentation <insérer un lien> pour configurer toutes les variables d’environnement requises, puis cliquez sur Enregistrer. Veillez à redémarrer l’application de fonction une fois les paramètres enregistrés.

---

Imperva Cloud WAF (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données Imperva Cloud WAF permet d’intégrer et d’ingérer des événements Web Application Firewall dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous à la documentation sur l’intégration des journaux. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ImpervaWAFCloud_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI sont nécessaires pour l’API. Pour plus d’informations, consultez Configurer le processus d’intégration des journaux. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification. Notez que ce connecteur utilise le format d’événement du journal CEF. Plus d’informations sur le format de journal.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Imperva Cloud afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Functions.

**REMARQUE :**Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu ImpervaWAFCloud qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Étapes de configuration pour l’intégration des journaux

Suivez les instructions pour obtenir les informations d’identification.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et le Azure Functions associé

IMPORTANT: Avant de déployer le connecteur de données d’espace de travail, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (peut être copiée à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Imperva Cloud WAF à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI et déployez. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Imperva Cloud WAF avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour le développement de fonctions Azure.

1. Téléchargez le fichier d’application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, ImpervaCloudXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

3. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Waf Imperva Cloud (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données cloud Imperva WAF permet d’ingérer des journaux dans Microsoft Sentinel à l’aide de l’intégration des journaux Imperva via AWS S3 avec des notifications SQS. Le connecteur analyse les événements WAF au format CEF, y compris les journaux d’accès et les alertes de sécurité pour la détection et l’investigation des menaces. Pour plus d’informations, reportez-vous à Imperva WAF Cloud Log Integration .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ImpervaWAFCloud	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

**Connecter Imperva WAF Cloud à Microsoft Sentinel

**

NOTE: Ce connecteur extrait les journaux d’activité WAF Imperva Cloud à partir du compartiment AWS S3

Pour collecter des données à partir d’Imperva, vous devez configurer les ressources suivantes

1. AWS Role ARN Pour collecter des données à partir d’Imperva, vous aurez besoin d’AWS Role ARN.

2. URL de file d’attente AWS SQS Pour collecter des données à partir d’Imperva, vous avez besoin de l’URL de file d’attente AWS SQS.

Pour obtenir des instructions détaillées pour récupérer l’ARN de rôle AWS, l’URL de file d’attente SQS et configurer le transfert de journal Imperva vers le compartiment Amazon S3, consultez le Guide de configuration du connecteur.

• Grille des connecteurs de données (configurer dans le portail)

---

Infoblox Cloud Data Connector via AMA

Pris en charge par :Infoblox

Infoblox Cloud Data Connector vous permet de connecter facilement vos données Infoblox à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez tirer parti de la recherche & corrélation, des alertes et de l’enrichissement du renseignement sur les menaces pour chaque journal.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommonSecurityLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

IMPORTANT: Ce connecteur de données Microsoft Sentinel suppose qu’un hôte Infoblox Data Connector a déjà été créé et configuré dans le portail de Services cloud Infoblox (CSP). Comme Infoblox Data Connector est une fonctionnalité de la défense contre les menaces, l’accès à un abonnement de défense contre les menaces approprié est nécessaire. Consultez ce guide de démarrage rapide pour plus d’informations et les exigences de licence.

1. Linux configuration de l’agent Syslog

Installez et configurez l’agent Linux pour collecter vos messages Syslog CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer un ordinateur Linux

Sélectionnez ou créez un ordinateur Linux que Microsoft Sentinel utiliserez comme proxy entre votre solution de sécurité et Microsoft Sentinel cette machine peut se trouver sur votre environnement local, Azure ou d’autres clouds.

1.2 Installer le collecteur CEF sur l’ordinateur Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages à votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.

• Exécutez la commande suivante pour installer et appliquer le collecteur CEF :< valeur de variable fournie au moment de l’installation>

2. Configurer Infoblox pour envoyer des données Syslog à Infoblox Cloud Data Connector pour les transférer à l’agent Syslog

Suivez les étapes ci-dessous pour configurer Infoblox CDC pour envoyer des données à Microsoft Sentinel via l’agent syslog Linux.

1. Accédez à Gérer le > connecteur de données.
2. Cliquez sur l’onglet Configuration de destination en haut.
3. Cliquez sur Créer Syslog>.

• Nom : donnez un nom explicite à la nouvelle destination, par exemple Microsoft-Sentinel-Destination.
• Description : si vous le souhaitez, donnez-lui une description explicite.
• État : définissez l’état sur Activé.
• Format : définissez le format sur CEF.
• FQDN/IP : entrez l’adresse IP de l’appareil Linux sur lequel l’agent Linux est installé.
• Port : laissez le numéro de port sur 514.
• Protocole : sélectionnez le protocole souhaité et le certificat d’autorité de certification, le cas échéant.
• Cliquez sur Enregistrer et fermer.

4. Cliquez sur l’onglet Configuration du flux de trafic en haut.
5. Cliquez sur Créer.

• Nom : donnez au nouveau flux de trafic un nom explicite, par exemple Microsoft-Sentinel-Flow.
• Description : si vous le souhaitez, donnez-lui une description explicite.
• État : définissez l’état sur Activé.
• Développez la section Instance de service .
• Instance de service : sélectionnez l’instance de service souhaitée pour laquelle le service Data Connector est activé.
• Développez la section Configuration de la source .
• Source : sélectionnez Source cloud BloxOne.
• Sélectionnez tous les types de journaux souhaités que vous souhaitez collecter. Les types de journaux actuellement pris en charge sont les suivants :
• Journal des requêtes/réponses de défense contre les menaces
• Journal des accès aux flux de menaces de protection contre les menaces
• Journal des requêtes/réponses DDI
• Journal des baux DHCP DDI
• Développez la section Configuration de destination .
• Sélectionnez la destination que vous venez de créer.
• Cliquez sur Enregistrer et fermer.

6. Accordez un certain temps à l’activation de la configuration.

3. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour case activée si les journaux sont reçus à l’aide du schéma CommonSecurityLog.

La connexion peut prendre environ 20 minutes avant que la connexion diffuse des données vers votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur

• Exécutez la commande suivante pour valider votre connectivité : : <valeur de variable fournie au moment de l’installation>

**4. Sécuriser votre machine **

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organization

Pour en savoir plus >

---

Connecteur de données Infoblox via l’API REST

Pris en charge par :Infoblox

Infoblox Data Connector vous permet de connecter facilement vos données Infoblox TIDE et vos données Dossier à Microsoft Sentinel. En connectant vos données à Microsoft Sentinel, vous pouvez tirer parti de la recherche & corrélation, des alertes et de l’enrichissement du renseignement sur les menaces pour chaque journal.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Failed_Range_To_Ingest_CL	Non	Non
Infoblox_Failed_Indicators_CL	Non	Non
dossier_whois_CL	Non	Non
dossier_whitelist_CL	Non	Non
dossier_tld_risk_CL	Non	Non
dossier_threat_actor_CL	Non	Non
dossier_rpz_feeds_records_CL	Non	Non
dossier_rpz_feeds_CL	Non	Non
dossier_nameserver_matches_CL	Non	Non
dossier_nameserver_CL	Non	Non
dossier_malware_analysis_v3_CL	Non	Non
dossier_inforank_CL	Non	Non
dossier_infoblox_web_cat_CL	Non	Non
dossier_geo_CL	Non	Non
dossier_dns_CL	Non	Non
dossier_atp_threat_CL	Non	Non
dossier_atp_CL	Non	Non
dossier_ptr_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans Microsoft Entra ID et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : La clé API Infoblox est requise. Consultez la documentation pour en savoir plus sur l’API dans les informations de référence sur l’API Rest

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Infoblox afin de créer des indicateurs de menace pour TIDE et d’extraire des données Dossier dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes d’inscription de l’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution du playbook TriggersSync.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 2 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution du playbook TriggersSync. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution du playbook TriggersSync.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 3 : Attribuer le rôle contributeur à l’application dans Microsoft Entra ID

Suivez les étapes de cette section pour attribuer le rôle :

1. Dans le Portail Azure, accédez à Groupe de ressources et sélectionnez votre groupe de ressources.
2. Accédez à Contrôle d’accès (IAM) à partir du volet gauche.
3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
6. Cliquez sur Ajouter des membres, tapez le nom de votre application que vous avez créée et sélectionnez-la.
7. Cliquez maintenant sur Vérifier + attribuer, puis cliquez à nouveau sur Vérifier + attribuer.

Lien de référence :/azure/role-based-access-control/role-assignments-portal

ÉTAPE 4 - Étapes de génération des informations d’identification de l’API Infoblox

Suivez ces instructions pour générer la clé API Infoblox. Dans le portail Infoblox Services cloud, générez une clé API et copiez-la à un endroit sûr pour l’utiliser à l’étape suivante. Vous trouverez des instructions sur la création de clés API ici.

ÉTAPE 5 - Étapes de déploiement du connecteur et de la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Infoblox, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que des informations d’identification d’autorisation de l’API Infoblox.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Infoblox Data.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les informations ci-dessous : id de locataire Azure id client Azure id client Azure clé secrète client Jeton de l’API Infoblox Infoblox URL de base ID de l’espace de travail Niveau de journal de clé de l’espace de travail (par défaut : INFO) Confiance niveau de menace Id de ressource De l’espace de travail App Insights

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

---

Connecteur de données Infoblox SOC Insight via AMA

Pris en charge par :Infoblox

Le connecteur de données Infoblox SOC Insight vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez tirer parti de la recherche & corrélation, des alertes et de l’enrichissement du renseignement sur les menaces pour chaque journal.

Ce connecteur de données ingère infoblox SOC Insight CDC dans votre espace de travail Log Analytics à l’aide du nouvel agent Azure Monitor. En savoir plus sur l’ingestion à l’aide du nouvel agent Azure Monitor ici. Microsoft recommande d’utiliser ce connecteur de données.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommonSecurityLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Pour collecter des données à partir de machines virtuelles non Azure, Azure Arc doit être installé et activé. En savoir plus
• Les connecteurs de données CEF (Common Event Format) via AMA et Syslog via AMA doivent être installés. En savoir plus

Instructions d’installation :

Clés d’espace de travail

Pour utiliser les playbooks dans le cadre de cette solution, recherchez votre ID d’espace de travail et votre clé primaire d’espace de travail ci-dessous pour plus de commodité.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé de l’espace de travail : <valeur de variable fournie au moment de l’installation>

Analyseurs

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu appelé InfobloxCDC_SOCInsights qui est déployé avec la solution Microsoft Sentinel.

SOC Insights

Ce connecteur de données suppose que vous avez accès à Infoblox BloxOne Threat Defense SOC Insights. Vous trouverez plus d’informations sur SOC Insights ici.

Infoblox Cloud Data Connector

Ce connecteur de données part du principe qu’un hôte Infoblox Data Connector a déjà été créé et configuré dans infoblox Services cloud Portal (CSP). Comme Infoblox Data Connector est une fonctionnalité de BloxOne Threat Defense, l’accès à un abonnement BloxOne Threat Defense approprié est requis. Consultez ce guide de démarrage rapide pour plus d’informations et les exigences de licence.

Suivez les étapes ci-dessous pour configurer ce connecteur de données

A. Configurer le format CEF (Common Event Format) via le connecteur de données AMA

Remarque : les journaux CEF sont collectés uniquement à partir des agents Linux

1. Accédez au panneau Connecteurs de données de votre espace de travail > Microsoft Sentinel.

2. Recherchez le Common Event Format (CEF) via le connecteur de données AMA et ouvrez-le.

3. Vérifiez qu’il n’existe aucune DCR configurée pour collecter la fonctionnalité requise des journaux, car elle peut entraîner la duplication des journaux. Créez une règle de collecte de données (DCR).

   Remarque : Il est recommandé d’installer l’agent AMA v1.27 au minimum. Apprenez-en davantage et assurez-vous qu’il n’y a pas de DCR en double, car cela peut entraîner la duplication des journaux.

4. Exécutez la commande fournie dans la page CEF (Common Event Format) via le connecteur de données AMA pour configurer le collecteur CEF sur l’ordinateur.

B. Dans infoblox Services cloud Portal, configurez Infoblox BloxOne pour envoyer les données CEF Syslog à Infoblox Cloud Data Connector pour les transférer à l’agent Syslog

Suivez les étapes ci-dessous pour configurer infoblox CDC pour envoyer des données BloxOne à Microsoft Sentinel via l’agent Linux Syslog.

1. Accédez à Gérer le > connecteur de données.
2. Cliquez sur l’onglet Configuration de destination en haut.
3. Cliquez sur Créer Syslog>.

• Nom : donnez un nom explicite à la nouvelle destination, par exemple Microsoft-Sentinel-Destination.
• Description : si vous le souhaitez, donnez-lui une description explicite.
• État : définissez l’état sur Activé.
• Format : définissez le format sur CEF.
• FQDN/IP : entrez l’adresse IP de l’appareil Linux sur lequel l’agent Linux est installé.
• Port : laissez le numéro de port sur 514.
• Protocole : sélectionnez le protocole souhaité et le certificat d’autorité de certification, le cas échéant.
• Cliquez sur Enregistrer et fermer.

4. Cliquez sur l’onglet Configuration du flux de trafic en haut.
5. Cliquez sur Créer.

• Nom : donnez au nouveau flux de trafic un nom explicite, par exemple Microsoft-Sentinel-Flow.
• Description : si vous le souhaitez, donnez-lui une description explicite.
• État : définissez l’état sur Activé.
• Développez la section Instance de service .
• Instance de service : sélectionnez l’instance de service souhaitée pour laquelle le service Data Connector est activé.
• Développez la section Configuration de la source .
• Source : sélectionnez Source cloud BloxOne.
• Sélectionnez le type de journal des notifications internes .
• Développez la section Configuration de destination .
• Sélectionnez la destination que vous venez de créer.
• Cliquez sur Enregistrer et fermer.

6. Accordez un certain temps à l’activation de la configuration.

C. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour case activée si les journaux sont reçus à l’aide du schéma CommonSecurityLog.

La connexion peut prendre environ 20 minutes avant que la connexion diffuse des données vers votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur

• Exécutez la commande suivante pour valider votre connectivité : : <valeur de variable fournie au moment de l’installation>

**2. Sécuriser votre machine **

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organization

Pour en savoir plus >

---

Connecteur de données Infoblox SOC Insight via l’API REST

Pris en charge par :Infoblox

Le connecteur de données Infoblox SOC Insight vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez tirer parti de la recherche & corrélation, des alertes et de l’enrichissement du renseignement sur les menaces pour chaque journal.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
InfobloxInsight_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Clés d’espace de travail

Pour utiliser les playbooks dans le cadre de cette solution, recherchez votre ID d’espace de travail et votre clé primaire d’espace de travail ci-dessous pour plus de commodité.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé de l’espace de travail : <valeur de variable fournie au moment de l’installation>

Analyseurs

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, appelée InfobloxInsight, qui est déployée avec la solution Microsoft Sentinel.

SOC Insights

Ce connecteur de données suppose que vous avez accès à Infoblox BloxOne Threat Defense SOC Insights. Vous trouverez plus d’informations sur SOC Insights ici.

Suivez les étapes ci-dessous pour configurer ce connecteur de données

1. Générer une clé API Infoblox et la copier dans un endroit sûr

Dans le portail Infoblox Services cloud, générez une clé API et copiez-la à un endroit sûr pour l’utiliser à l’étape suivante. Vous trouverez des instructions sur la création de clés API ici.

2. Configurer le playbook Infoblox-SOC-Get-Open-Insights-API

Créez et configurez le playbook Infoblox-SOC-Get-Open-Insights-API qui est déployé avec cette solution. Lorsque vous y êtes invité, entrez votre clé API Infoblox dans le paramètre approprié.

---

Connecteur de données InfoSecGlobal

Pris en charge par :InfoSecGlobal

Utilisez ce connecteur de données pour intégrer à InfoSec Crypto Analytics et obtenir des données envoyées directement à Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
InfoSecAnalytics_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Connecteur de données InfoSecGlobal Crypto Analytics

1. Les données sont envoyées à Microsoft Sentinel via Logstash
2. La configuration requise de Logstash est incluse avec l’installation de Crypto Analytics
3. La documentation fournie avec l’installation de Crypto Analytics explique comment activer l’envoi de données à Microsoft Sentinel

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Journaux de sécurité IONIX (via l’infrastructure de connecteur sans code)

Pris en charge par :IONIX

Le connecteur IONIX vous permet d’ingérer des éléments d’action de votre plateforme de gestion des surfaces d’attaque IONIX dans Microsoft Sentinel à l’aide du CCF (Codeless Connector Framework). Les éléments d’action représentent les découvertes de sécurité et les vulnérabilités qui nécessitent une correction.

Ce connecteur interroge automatiquement l’API IONIX et écrit les données dans la table CyberpionActionItems_CL.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyberpionActionItems_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Jeton d’API IONIX : un jeton d’API provenant du portail IONIX est requis. Créez-en un dans l’API Paramètres > dans votre portail IONIX.

Instructions d’installation :

Connecter IONIX à Microsoft Sentinel

Ce connecteur utilise l’API IONIX pour interroger automatiquement les éléments d’action et les ingérer dans Microsoft Sentinel. Vous avez besoin d’un jeton d’API à partir de votre portail IONIX.

• Jeton d’API IONIX : (Entrez votre jeton d’API JWT à partir de l’API paramètres > IONIX)
• Nom du compte IONIX : (cyberpion)
• Activer/désactiver la connexion

---

Connecteur de données abus IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger standard_abuse jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_Abuse_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données IPinfo ASN

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger standard_ASN jeux de données et l’insérer dans une table de journaux personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_ASN_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données du transporteur IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger standard_carrier jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_Carrier_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données d’entreprise IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger standard_company jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_Company_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données principal IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger les jeux de données Core et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_CORE_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données ASN de pays IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger country_asn jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_Country_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données de domaine IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger standard_domain jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_Domain_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données d’iplocation IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger standard_location jeux de données et l’insérer dans une table de journaux personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_Location_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données étendu IPinfo Iplocation

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger standard_location_extended jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_Location_extended_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données IPinfo Plus

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger des jeux de données Plus et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_PLUS_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données de confidentialité IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger standard_privacy jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_Privacy_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données étendu de confidentialité IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger standard_privacy jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_Privacy_extended_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données IPinfo ResProxy

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger les jeux de données ResProxy et l’insérer dans une table de journaux personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_RESIDENTIAL_PROXY_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données IPinfo RIRWHOIS

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger les jeux de données RIRWHOIS et les insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_RIRWHOIS_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données IPinfo RWHOIS

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger des jeux de données RWHOIS et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_RWHOIS_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données IPinfo WHOIS ASN

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger WHOIS_ASN jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_WHOIS_ASN_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données IPinfo WHOIS MNT

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger WHOIS_MNT jeux de données et l’insérer dans une table de journaux personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_WHOIS_MNT_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données WHOIS NET IPinfo

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger WHOIS_NET jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_WHOIS_NET_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données IPinfo WHOIS ORG

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger WHOIS_ORG jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_WHOIS_ORG_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur de données IPinfo WHOIS POC

Pris en charge par :IPinfo

Ce connecteur de données IPinfo installe une application de fonction Azure pour télécharger WHOIS_POC jeux de données et l’insérer dans une table de journal personnalisée dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ipinfo_WHOIS_POC_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API IPinfo : récupérez votre jeton d’API IPinfo ici.

Instructions d’installation :

1. Récupérer le jeton d’API

Récupérez votre jeton d’API IPinfo ici.

2. Dans votre locataire Azure AD, créez une application Active Directory (AAD) Azure

Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et obtenez l’ID de locataire, l’ID client et la clé secrète client : Utilisez ce lien.

3. Attribuez à l’application AAD le rôle Contributeur Microsoft Sentinel.

Affectez l’application AAD que vous venez de créer au Contributeur (rôles d’administrateur privilégié) et Éditeur de métriques de surveillance (rôles de fonction de travail) dans le même « Groupe de ressources » que vous utilisez pour « Espace de travail Log Analytics » sur lequel « Microsoft Sentinel » est ajouté : Utilisez ce lien.

4. Obtenir l’ID de ressource de l’espace de travail

Utilisez le panneau Espace de travail Log Analytics -> Propriétés avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

5. Déployer la fonction Azure

Utilisez-la pour le déploiement automatisé du connecteur de données IPinfo à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données IPinfo avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier Azure Function App. Extrayez l’archive sur votre ordinateur de développement local Azure Function App.
2. Créez une application de fonction à l’aide de Fonctions d’hébergement Premium ou d’un plan App Service à l’aide de l’option avancée à l’aide de VSCode.
3. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
4. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le Nom de l’application de fonction, puis paramètres -> Configuration ou Variables d’environnement.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Island Enterprise Browser V2

Pris en charge par :Island

Island Enterprise Browser V2 Data Connector vous permet d’ingérer des événements utilisateur, des événements d’administration et des événements système, le tout au sein d’un seul connecteur.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Island_UserEvents_V2_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Clé API Island : une clé API Island est requise. Générez la clé API via Island Management Console. Pour plus d’instructions, reportez-vous à la documentation officielle de l’île.

Instructions d’installation :

Connecter l’île à Microsoft Sentinel

L’URL de l’API et la clé API sont disponibles via Island Management Console. Pour plus d’instructions, reportez-vous à la documentation officielle de l’île.

• URL de l’API : (URL d’API)
• Clé API : (Clé)
• Activer/désactiver la connexion

---

Connecteur Push Jamf Protect

Pris en charge par :Jamf Software, LLC

Le connecteur Jamf Protect permet de lire des données d’événements brutes à partir de Jamf Protect dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
jamfprotecttelemetryv2_CL	Oui	Oui
jamfprotectunifiedlogs_CL	Oui	Oui
jamfprotectalerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Ce connecteur lit les données des tables utilisées par Jamf Protect dans un espace de travail Microsoft Analytics. Si l’option de transfert de données est activée dans Jamf Protect, les données d’événement brutes sont envoyées à l’API d’ingestion Microsoft Sentinel.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création de tables Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Envoyer vos journaux dans l’espace de travail

Utilisez les paramètres suivants pour configurer votre machine afin qu’elle envoie les journaux à l’espace de travail.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• Nom du Stream des journaux unifiés : <valeur de variable fournie au moment de l’installation>
• Télémétrie Stream Nom : <valeur de variable fournie au moment de l’installation>
• Nom du Stream des alertes : <valeur de variable fournie au moment de l’installation>

---

JoeSandboxThreatIntelligence (à l’aide de Azure Functions)

Pris en charge par :Stefan Bühlmann

Le connecteur JoeSandboxThreatIntelligence génère et alimente automatiquement le renseignement sur les menaces pour toutes les soumissions à JoeSandbox, ce qui améliore la détection des menaces et la réponse aux incidents dans Sentinel. Cette intégration transparente permet aux équipes de traiter de manière proactive les menaces émergentes.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans azure active directory() et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : la clé API JoeSandbox est requise.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API JoeSandbox afin d’extraire les E/S des menaces JoeSandbox dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure coûts. Pour plus d’informations, consultez la page de tarification Azure Functions et Stockage Blob Azure page de tarification.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM) pour le plan De consommation Flexible

Utilisez cette méthode pour le déploiement automatisé du connecteur de données à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’application, l’ID de locataire, la clé secrète client, la clé API JoeSandbox, la date d’extraction initiale de JoeSandbox, l’heureInterval et le déploiement.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 : modèle Azure Resource Manager (ARM) pour le plan Premium

Utilisez cette méthode pour le déploiement automatisé du connecteur de données à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’application, l’ID de locataire, la clé secrète client, la clé API JoeSandbox, la date d’extraction initiale de JoeSandbox, l’heureInterval et le déploiement.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

---

Keeper Security Push Connector

Pris en charge par :Keeper Security

Le connecteur Keeper Security permet de lire des données d’événements brutes à partir de Keeper Security dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
KeeperSecurityEventNewLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Ce connecteur lit les données des tables utilisées par Keeper Security dans un espace de travail Microsoft Analytics. Si l’option de transfert de données est activée dans Keeper Security, les données d’événement brutes sont envoyées à l’API d’ingestion Microsoft Sentinel.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création de tables Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Envoyer vos journaux dans l’espace de travail

Utilisez les paramètres suivants pour configurer votre machine afin qu’elle envoie les journaux à l’espace de travail.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• Journaux d’événements Stream Nom : <valeur de variable fournie au moment de l’installation>

3. Mettre à jour la console Administration Keeper

Configurez la console Administration Keeper avec les détails de connexion Azure pour activer le transfert de données vers Microsoft Sentinel.

Configurer les journaux Azure Monitor dans la console Administration Keeper

Dans la console Keeper Administration, connectez-vous en tant qu’administrateur Keeper. Ensuite, accédez à Création de rapports & alertes et sélectionnez Azure Surveiller les journaux.

Fournissez les informations suivantes de l’étape 2 ci-dessus dans la console Administration :

• Azure ID de locataire : vous pouvez le trouver dans la zone « Abonnements » de Azure.
• ID d’application (client) : il se trouve dans l’écran de vue d’ensemble inscription d’application (KeeperLogging)
• Valeur de clé secrète client : il s’agit de la valeur de la clé secrète client des secrets d’inscription de l’application.
• URL du point de terminaison : IL s’agit d’une URL créée au format spécifique suivant : https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01

Pour assembler l’URL du point de terminaison :

• <URL> de collection Ceci provient de l’étape 2 ci-dessus
• < >DCR_ID À partir de la règle du collecteur de données, copiez la valeur « ID immuable », par exemple,dcr-xxxxxxx
• Il s’agit du nom de la table créé par Azure, par exempleCustom-KeeperSecurityEventNewLogs

  Exemple : https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01

  
  
  

  ---

  LastPass Enterprise - Reporting (Polling CCF)

  Pris en charge par :The Collective Consulting

  Le connecteur LastPass Enterprise offre la possibilité de créer des journaux de création de rapports (audit) LastPass dans Microsoft Sentinel. Le connecteur offre une visibilité sur les connexions et l’activité dans LastPass (par exemple, la lecture et la suppression des mots de passe).

  Table(s) Log Analytics :

  Tableau	Prise en charge de DCR	Ingestion de lac uniquement
  LastPassNativePoller_CL	Oui	Oui

  Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

  Conditions préalables:

  • Clé API LastPass et CID : une clé API LastPass et un CID sont requis. Pour plus d’informations, consultez API LastPass.

  Instructions d’installation :

  Connecter LastPass Enterprise à Microsoft Sentinel

  Fournissez la clé API d’approvisionnement LastPass.

  
  
  

---

Lookout Mobile Threat Detection Connector (via l’infrastructure de connecteur sans code) (préversion)

Pris en charge par :Lookout

Le connecteur de données Lookout Mobile Threat Detection permet d’ingérer des événements liés aux risques de sécurité mobiles dans Microsoft Sentinel via l’API Mobile Risk. Pour plus d’informations, reportez-vous à la documentation de l’API . Ce connecteur vous aide à examiner les risques de sécurité potentiels détectés sur les appareils mobiles.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
LookoutMtdV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter le connecteur Lookout Mobile Threat Defense à Microsoft Sentinel

Avant de vous connecter à Lookout, vérifiez que les conditions préalables suivantes sont remplies.

1. ApiKey est requis pour l’API De détection des menaces mobiles. Consultez la documentation pour en savoir plus sur l’API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

• Clé API : (Entrez votre clé API)
• Activer/désactiver la connexion

---

E/S de Luminar et fuites d’informations d’identification (à l’aide de Azure Functions)

Pris en charge par :Cognyte Luminar

Les E/S de Luminar et le connecteur fuite d’informations d’identification permettent l’intégration des données IOC basées sur l’intelligence et des enregistrements de fuite liés aux clients identifiés par Luminar.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans azure active directory() et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : l’ID client Luminar, la clé secrète client Luminar et l’ID de compte Luminar sont requis.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Cognyte Luminar afin d’extraire les E/S et les informations d’identification divulguées dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure coûts. Pour plus d’informations, consultez la page de tarification Azure Functions et Stockage Blob Azure page de tarification.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’application, l’ID de locataire, la clé secrète client, l’ID client de l’API Luminar, l’ID de compte de l’API Luminar, la clé secrète client de l’API Luminar, la limite, le tempsInterval et le déploiement.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Cognyte Luminar avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, CognyteLuminarXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : ID de locataire ID du client ID client de l’API Luminar ID client API Luminar ID de compte API Luminar Durée limite du secret client De l’API Luminar - Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant :https://<CustomerId>.ods.opinsights.azure.us

12. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

MailGuard 365

Pris en charge par :MailGuard 365

MailGuard 365 Enhanced Email Security for Microsoft 365. Exclusif à la Place de marché Microsoft, MailGuard 365 est intégré à la sécurité Microsoft 365 (y compris Defender) pour une protection renforcée contre les menaces de messagerie avancées telles que le hameçonnage, les rançongiciels et les attaques BEC sophistiquées.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
MailGuard365_Threats_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Configurer et connecter MailGuard 365

1. Dans la console MailGuard 365, cliquez sur Paramètres dans la barre de navigation.
2. Cliquez sur l’onglet Intégrations .
3. Cliquez sur l’Microsoft Sentinel Activer.
4. Entrez votre ID d’espace de travail et votre clé primaire dans les champs ci-dessous, puis cliquez sur Terminer.
5. Pour obtenir des instructions supplémentaires, contactez le support MailGuard 365.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

MailRisk by Secure Practice

Pris en charge par :Secure Practice

Le connecteur MailRisk by Secure Practice vous permet d’ingérer des données de renseignement sur les menaces à partir de l’API MailRisk dans Microsoft Sentinel. Ce connecteur offre une visibilité sur les e-mails signalés, les évaluations des risques et les événements de sécurité liés aux menaces de messagerie.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
MailRiskEventEmails_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Informations d’identification de l’API : votre paire de clés API Secure Practice est également nécessaire, qui sont créées dans les paramètres du portail d’administration. Générez une nouvelle paire de clés avec la description Microsoft Sentinel.

Instructions d’installation :

1. Obtenir les informations d’identification de l’API Secure Practice

Connectez-vous à votre compte Secure Practice et générez une clé API et une clé secrète API si ce n’est pas déjà fait.

2. Se connecter à l’API MailRisk

Entrez vos informations d’identification d’API Secure Practice ci-dessous. Les informations d’identification sont stockées en toute sécurité et utilisées pour authentifier les demandes d’API.

• Clé API : (Entrez votre clé API Pratique sécurisée)
• Secret d’API : (Entrez votre secret d’API de pratique sécurisée)
• Activer/désactiver la connexion

---

Journaux des événements meshStack

Pris en charge par :meshcloud GmbH

Le connecteur meshStack Event Logs permet d’ingérer des événements de plateforme meshStack dans Microsoft Sentinel. En connectant les journaux d’événements meshStack à Microsoft Sentinel, vous pouvez afficher ces données dans des classeurs, les utiliser pour créer des alertes personnalisées et améliorer votre processus d’investigation pour la gouvernance, l’audit et la surveillance de la conformité de la plateforme cloud.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
meshStackEventLogs_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Clé API meshStack OAuth2 : une clé API meshStack valide avec l’autorisation « Administration : Répertorier les journaux des événements dans n’importe quel espace de travail » est requise. Créez la clé API dans le panneau meshStack Administration sous Access Control > clés API. La clé API fournit des informations d’identification OAuth2 (ID de clé comme client_id et Clé secrète comme client_secret) pour l’authentification. Remarque : la clé API est liée à un espace de travail, mais peut accéder aux événements à partir de tous les espaces de travail.
• Instance meshStack : l’accès à un instance meshStack avec l’API Événements activée.

Instructions d’installation :

Connecter les journaux des événements meshStack à Microsoft Sentinel

Entrez vos informations d’identification meshStack instance API URL et OAuth2 à partir de la clé API. Le format d’URL de l’API doit être : https://your-meshstack-instance.io. Créez une clé API dans meshStack (panneau > Administration Access Control > clés API) avec l’autorisation « Administration : Répertorier les journaux des événements dans n’importe quel espace de travail ». La clé API fournit un ID de clé (client_id) et un secret de clé (client_secret) pour l’authentification OAuth2.

• URL de l’API meshStack : (https://your-meshstack-instance.io)
• ID client (ID de clé) : (Entrez l’ID de clé à partir de la clé API)
• Clé secrète client (clé secrète) : (Entrez le secret de clé à partir de la clé API)
• Activer/désactiver la connexion

---

Microsoft 365 (anciennement, Office 365)

Pris en charge par :Microsoft Corporation

Le connecteur de journal d’activité Microsoft 365 (anciennement Office 365) fournit des informations sur les activités en cours des utilisateurs. Vous obtiendrez des détails sur les opérations telles que les téléchargements de fichiers, les demandes d’accès envoyées, les modifications apportées aux événements de groupe, la boîte aux lettres set et les détails de l’utilisateur qui a effectué les actions. En connectant les journaux Microsoft 365 à Microsoft Sentinel vous pouvez utiliser ces données pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer votre processus d’examen. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OfficeActivity	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Gestion des risques internes Microsoft 365

Pris en charge par :Microsoft Corporation

Microsoft 365 Insider Risk Management est une solution de conformité dans Microsoft 365 qui permet de réduire les risques internes en vous permettant de détecter, d’examiner et d’agir sur les activités malveillantes et involontaires dans votre organization. Les analystes de risques de votre organisation peuvent rapidement prendre les mesures appropriées pour s'assurer que les utilisateurs respectent les normes de conformité de votre organisation.

Les stratégies de risque interne vous permettent d’effectuer les opérations suivantes :

• définissez les types de risques que vous souhaitez identifier et détecter dans votre organization.
• décider des actions à prendre en réponse, y compris l’escalade des cas à Microsoft Advanced eDiscovery si nécessaire.

Cette solution génère des alertes qui peuvent être consultées par les clients Office dans la solution de gestion des risques internes du Centre de conformité Microsoft 365. En savoir plus sur la gestion des risques internes.

Ces alertes peuvent être importées dans Microsoft Sentinel avec ce connecteur, ce qui vous permet de les voir, de les examiner et d’y répondre dans un contexte de menace organisationnel plus large. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityAlert	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Journaux des événements de sécurité des contrôleurs de domaine Microsoft Active-Directory

Pris en charge par :Community

[Option 3 & 4] - Utilisation de Azure Monitor Agent - Vous pouvez diffuser en continu une partie ou tous les journaux des événements de sécurité des contrôleurs de domaine à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer l’investigation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityEvent	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non Azure, Azure Arc est recommandé. En savoir plus
• Documentation détaillée : >REMARQUE : La documentation détaillée sur la procédure d’installation et l’utilisation est disponible ici

Instructions d’installation :

NOTE: Cette solution est basée sur les options. Cela vous permet de choisir les données à ingérer, car certaines options peuvent générer un très grand volume de données. En fonction de ce que vous souhaitez collecter, effectuez le suivi dans vos classeurs, règles d’analyse et fonctionnalités de chasse, vous choisirez la ou les options que vous allez déployer. Chaque option est indépendante pour l’une de l’autre. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »

Ce connecteur de données est l’option 3 et 4 du wiki.

1. Téléchargez et installez les agents nécessaires pour collecter les journaux pour Microsoft Sentinel

Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou à tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.

Déployer des agents monitor

Cette étape n’est nécessaire que si vous intégrez vos serveurs/contrôleurs de domaine Exchange Pour la première fois, déployez l’agent Azure Arc En savoir plus

Journaux de sécurité des contrôleurs de domaine

Sélectionnez comment diffuser en continu les journaux de sécurité des contrôleurs de domaine. Si vous souhaitez implémenter l’option 3, il vous suffit de sélectionner DC sur le même site que les serveurs Exchange. Si vous souhaitez implémenter l’option 4, vous pouvez sélectionner tous les contrôleurs de domaine de votre forêt.

[Option 3] Répertorier uniquement les contrôleurs de domaine sur le même site que les serveurs Exchange pour l’étape suivante

Cela limite la quantité de données injestées, mais certains incidents ne peuvent pas être détectés.

[Option 4] Répertorier tous les contrôleurs de domaine de votre forêt Active-Directory pour l’étape suivante

Cela permet de collecter tous les événements de sécurité

Collecte du journal des événements de sécurité

Règles de collecte de données - Journaux des événements de sécurité

Activer la règle de collecte de données pour les journaux de sécurité Les journaux d’événements de sécurité sont collectés uniquement à partir des agents Windows .

1. Ajoutez les contrôleurs de domaine sélectionnés sous l’onglet Ressources .
2. Sélectionner le niveau de journal de sécurité

Le niveau commun est le minimum requis. Sélectionnez « Commun » ou « Tous les événements de sécurité » dans la définition DCR.

• Install Agent : <valeur de variable fournie au moment de l’installation>

---

Microsoft Copilot

Pris en charge par :Microsoft

Le connecteur de journaux Microsoft Copilot dans Microsoft Sentinel permet une ingestion transparente des journaux d’activité générés par Copilot à partir de M365 Copilot et Security Copilot dans Microsoft Sentinel pour la détection avancée des menaces, l’investigation et la réponse. Il collecte des données de télémétrie à partir de Microsoft Copilot services tels que les données d’utilisation et les réponses système, et ingère dans Microsoft Sentinel, ce qui permet aux équipes de sécurité de surveiller les mauvaises utilisations, de détecter les anomalies et de maintenir la conformité avec les stratégies organisationnelles.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CopilotActivity	Non	Oui

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations de locataire : « Administrateur de la sécurité » ou « Administrateur général » sur le locataire de l’espace de travail.

Instructions d’installation :

Connecter Microsoft Copilot journaux d’audit à Microsoft Sentinel

Ce connecteur utilise l’API gestion Office pour obtenir vos journaux d’audit Microsoft Copilot. Les journaux d’activité seront stockés et traités dans votre espace de travail Microsoft Sentinel existant. Vous trouverez les données dans la table CopilotActivity .

• Activer/désactiver la connexion

---

Microsoft Dataverse

Pris en charge par :Microsoft Corporation

Microsoft Dataverse est une plateforme de données évolutive et sécurisée qui permet aux organisations de stocker et de gérer les données utilisées par les applications métier. Le connecteur de données Microsoft Dataverse permet d’ingérer et de Dynamics 365 les journaux d’activité CRM à partir du Microsoft Purview Audit journal dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
DataverseActivity	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations de locataire : « Administrateur de la sécurité » ou « Administrateur général » sur le locataire de l’espace de travail.
• Micorosft Purview Audit : Microsoft Purview Audit (Standard ou Premium) doit être activé.
• Dataverse de production : la journalisation des activités est disponible uniquement pour les environnements de production. D’autres types, tels que le bac à sable, ne prennent pas en charge la journalisation des activités.
• Paramètres d’audit dataverse : les paramètres d’audit doivent être configurés à la fois globalement et au niveau de l’entité/de la table. Pour plus d’informations, consultez Paramètres d’audit Dataverse.

Instructions d’installation :

Connecter les journaux d’audit Microsoft Dataverse à Microsoft Sentinel

Ce connecteur utilise l’API de gestion Office pour obtenir vos journaux d’audit Dataverse. Les journaux d’activité seront stockés et traités dans votre espace de travail Microsoft Sentinel existant. Vous trouverez les données dans la table DataverseActivity .

• Activer/désactiver la connexion

---

Microsoft Defender for Cloud Apps

Pris en charge par :Microsoft Corporation

En vous connectant à Microsoft Defender for Cloud Apps vous gagnez en visibilité sur vos applications cloud, bénéficiez d’analyses sophistiquées pour identifier et combattre les cybermenaces, et contrôler le déplacement de vos données.

• Identifiez les applications cloud de l’informatique fantôme sur votre réseau.
• Contrôler et limiter l’accès en fonction des conditions et du contexte de session.
• Utilisez des stratégies intégrées ou personnalisées pour le partage de données et la protection contre la perte de données.
• Identifiez l’utilisation à haut risque et recevez des alertes pour les activités inhabituelles des utilisateurs avec les fonctionnalités d’analyse comportementale et de détection des anomalies de Microsoft, notamment les activités de rançongiciel, les déplacements impossibles, les règles de transfert d’e-mails suspects et le téléchargement en masse de fichiers.
• Téléchargement en masse de fichiers

Déployer maintenant >

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityAlert​	Non	Non
McasShadowItReporting​	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

Microsoft Defender pour point de terminaison

Pris en charge par :Microsoft Corporation

Microsoft Defender pour point de terminaison est une plateforme de sécurité conçue pour prévenir, détecter, examiner et répondre aux menaces avancées. La plateforme crée des alertes lorsque des événements de sécurité suspects sont détectés dans un organization. Récupérez les alertes générées dans Microsoft Defender pour point de terminaison pour Microsoft Sentinel afin que vous puissiez analyser efficacement les événements de sécurité. Vous pouvez créer des règles, créer des tableaux de bord et créer des playbooks pour une réponse immédiate. Pour plus d’informations, consultez la documentation >Microsoft Sentinel .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityAlert	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Microsoft Defender pour Identity

Pris en charge par :Microsoft Corporation

Connectez-vous Microsoft Defender pour Identity pour obtenir une visibilité sur les événements et l’analytique utilisateur. Microsoft Defender pour Identity identifie, détecte et vous aide à investiguer les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organization. Microsoft Defender pour Identity permet aux analystes SecOp et aux professionnels de la sécurité qui ont du mal à détecter les attaques avancées dans les environnements hybrides de :

• Surveiller les utilisateurs, le comportement des entités et les activités avec l’analytique basée sur l’apprentissage
• Protéger les identités des utilisateurs et informations d’identification stockées dans Active Directory
• Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées tout au long de la chaîne de terminaison
• Fournir des informations claires sur les incidents reposant sur une chronologie simple pour un triage rapide

Essayer maintenant >

Déployer maintenant >

Pour plus d’informations, consultez la documentation >Microsoft Sentinel .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityAlert	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Microsoft Defender pour IoT

Pris en charge par :Microsoft Corporation

Obtenez des insights sur votre sécurité IoT en connectant Microsoft Defender pour les alertes IoT à Microsoft Sentinel. Vous pouvez obtenir des métriques et des données d’alerte prêtes à l’emploi, notamment les tendances des alertes, les principales alertes et la répartition des alertes par gravité. Vous pouvez également obtenir des informations sur les recommandations fournies pour vos hubs IoT, notamment les principales recommandations et les recommandations par gravité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityAlert	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Microsoft Defender pour Office 365 (préversion)

Pris en charge par :Microsoft Corporation

Microsoft Defender pour Office 365 protège votre organization contre les menaces malveillantes posées par les e-mails, les liens (URL) et les outils de collaboration. En ingérant Microsoft Defender pour Office 365 alertes dans Microsoft Sentinel, vous pouvez incorporer des informations sur les menaces basées sur les e-mails et les URL dans votre analyse des risques plus large et créer des scénarios de réponse en conséquence.

Les types d’alertes suivants seront importés :

• Un clic d’URL potentiellement malveillant a été détecté
• Messages de courrier contenant un programme malveillant supprimé après la remise
• Messages de courrier contenant des URL d’hameçonnage supprimées après la remise
• E-mail signalé par l’utilisateur en tant que programme malveillant ou hameçonnage
• Modèles d’envoi d’e-mails suspects détectés
• L’utilisateur n’est pas autorisé à envoyer des e-mails

Ces alertes peuvent être consultées par les clients Office dans le ** Centre de sécurité et de conformité Office**.

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityAlert	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Microsoft Defender Threat Intelligence

Pris en charge par :Microsoft Corporation

Microsoft Sentinel vous permet d’importer des informations sur les menaces générées par Microsoft pour activer la surveillance, les alertes et la chasse. Utilisez ce connecteur de données pour importer des indicateurs de compromission (ICS) de Microsoft Defender Threat Intelligence (MDTI) dans Microsoft Sentinel. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL et des hachages de fichiers, etc.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Microsoft Defender XDR

Pris en charge par :Microsoft Corporation

Microsoft Defender XDR est une suite de défense d’entreprise unifiée, intégrée en mode natif, pré-violation et post-violation qui protège les points de terminaison, l’identité, le courrier électronique et les applications, et vous aide à détecter, à empêcher, à examiner et à répondre automatiquement aux menaces sophistiquées.

Microsoft Defender XDR suite comprend :

• Microsoft Defender pour point de terminaison
• Microsoft Defender pour l’identité
• Microsoft Defender pour Office 365
• Gestion des vulnérabilités & des menaces
• Microsoft Defender for Cloud Apps

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityIncident	Oui	Oui
SecurityAlert	Oui	Oui
DeviceEvents	Oui	Oui
EmailEvents	Oui	Oui
IdentityLogonEvents	Oui	Oui
CloudAppEvents	Oui	Oui
AlertEvidence	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Microsoft Entra ID

Pris en charge par :Microsoft Corporation

Obtenez des insights sur Microsoft Entra ID en connectant les journaux d’audit et de connexion à Microsoft Sentinel pour collecter des informations sur les scénarios Microsoft Entra ID. Vous pouvez en savoir plus sur l’utilisation de l’application, les stratégies d’accès conditionnel et les détails des liens d’authentification hérités à l’aide de nos journaux de connexion. Vous pouvez obtenir des informations sur votre utilisation de la réinitialisation de mot de passe libre-service (SSPR), Microsoft Entra ID les activités de gestion telles que la gestion des utilisateurs, des groupes, des rôles et des applications à l’aide de notre table Journaux d’audit. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SigninLogs	Oui	Oui
AuditLogs	Oui	Oui
AADNonInteractiveUserSignInLogs	Oui	Oui
AADServicePrincipalSignInLogs	Oui	Oui
AADManagedIdentitySignInLogs	Oui	Oui
AADProvisioningLogs	Oui	Oui
ADFSSignInLogs	Oui	Oui
AADUserRiskEvents	Oui	Oui
AADRiskyUsers	Oui	Oui
NetworkAccessTraffic	Oui	Oui
AADRiskyServicePrincipals	Oui	Oui
AADServicePrincipalRiskEvents	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

ressources Microsoft Entra ID

Pris en charge par :Microsoft Corporation

Entra connecteur de données des ressources d’ID fournit des informations plus détaillées sur les données d’activité en ajoutant des informations sur les ressources aux détails. Les données de ce connecteur sont utilisées pour créer des graphiques de risque de données dans Purview. Si vous avez activé ces graphiques, la désactivation de ce connecteur empêche la génération des graphiques. En savoir plus sur le graphique des risques liés aux données.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

---

protection Microsoft Entra ID

Pris en charge par :Microsoft Corporation

Protection Microsoft Entra ID fournit une vue consolidée des utilisateurs à risque, des événements à risque et des vulnérabilités, avec la possibilité de corriger immédiatement les risques et de définir des stratégies pour corriger automatiquement les événements futurs. Le service repose sur l’expérience de Microsoft en matière de protection des identités des consommateurs et bénéficie d’une grande précision du signal à partir de plus de 13 milliards de connexions par jour. Intégrez les alertes Microsoft Protection Microsoft Entra ID à Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer l’investigation. Pour plus d’informations, consultez la documentation Microsoft Sentinel .

Obtenir Microsoft Entra ID Premium P1/P2

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityAlert	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Journaux d’audit microsoft Exchange Administration par journaux d’événements

Pris en charge par :Community

[Option 1] - Utilisation de l’agent Azure Monitor : vous pouvez diffuser en continu tous les événements d’audit Exchange à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Il est utilisé par les classeurs de sécurité Microsoft Exchange pour fournir des insights sur la sécurité de votre environnement Exchange local

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Event	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non Azure, Azure Arc est recommandé. En savoir plus
• Documentation détaillée : >REMARQUE : La documentation détaillée sur la procédure d’installation et l’utilisation est disponible ici

Instructions d’installation :

NOTE: Cette solution est basée sur les options. Cela vous permet de choisir les données à ingérer, car certaines options peuvent générer un très grand volume de données. En fonction de ce que vous souhaitez collecter, effectuez le suivi dans vos classeurs, règles d’analyse et fonctionnalités de chasse, vous choisirez la ou les options que vous allez déployer. Chaque option est indépendante pour l’une de l’autre. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »

Ce connecteur de données est l’option 1 du wiki.

1. Téléchargez et installez les agents nécessaires pour collecter les journaux pour Microsoft Sentinel

Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou à tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.

Déployer des agents monitor

Cette étape n’est nécessaire que si vous intégrez vos serveurs/contrôleurs de domaine Exchange Pour la première fois, déployez l’agent Azure Arc En savoir plus

2. [Option 1] Collecte des journaux de gestion MS Exchange - Journaux des événements d’audit ms Exchange Administration par les règles de collecte de données

Les journaux des événements MS Exchange Administration Audit sont collectés à l’aide des règles de collecte de données (DCR) et permettent de stocker toutes les applets de commande d’administration exécutées dans un environnement Exchange.

DCR

Déploiement des règles de collecte de données

Activer la règle de collecte de données Microsoft Exchange Administration Les journaux d’événements d’audit sont collectés uniquement à partir des agents Windows.

Option 1 : modèle Azure Resource Manager (ARM) (préféré)

Utilisez cette méthode pour le déploiement automatisé de la DCR.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez le nom de l’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

A. Créer une DCR, type journal des événements

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires, Sélectionnez Windows comme type de plateforme et donnez un nom à la DCR.
4. Sous l’onglet Ressources , entrez serveurs Exchange.
5. Dans « Collecter et remettre », ajoutez un type de source de données « Journaux des événements Windows », puis sélectionnez l’option « Personnalisé », entrez « MSExchange Management » comme expression, puis ajoutez-la.
6. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu. Les analyseurs sont automatiquement déployés avec la solution. Suivez les étapes pour créer l’alias Kusto Functions : ExchangeAdminAuditLogs

Les analyseurs sont déployés automatiquement pendant le déploiement de la solution. Si vous souhaitez déployer manuellement, suivez les étapes ci-dessous.

Déploiement manuel de l’analyseur

1. Télécharger le fichier Analyseur

Dernière version du fichier ExchangeAdminAuditLogs

2. Créer la fonction Parser ExchangeAdminAuditLogs

Dans l’explorateur « Journaux » de l’analytique des journaux de votre Microsoft Sentinel, copiez le contenu du fichier dans l’Explorateur de journaux

3. Enregistrer la fonction ExchangeAdminAuditLogs de l’analyseur

Cliquez sur le bouton Enregistrer. Aucun paramètre n’est nécessaire pour cet analyseur. Cliquez à nouveau sur Enregistrer.

---

Journaux du proxy HTTP Microsoft Exchange

Pris en charge par :Community

[Option 7] - Utilisation de l’agent Azure Monitor : vous pouvez diffuser en continu les journaux du proxy HTTP et les journaux des événements de sécurité à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer l’investigation. En savoir plus

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ExchangeHttpProxy_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Log Analytics sera déconseillé : Azure Log Analytics sera déconseillé pour collecter des données à partir de machines virtuelles non Azure, Azure Arc est recommandé. En savoir plus
• Documentation détaillée : >REMARQUE : La documentation détaillée sur la procédure d’installation et l’utilisation est disponible ici

Instructions d’installation :

NOTE: Cette solution est basée sur les options. Cela vous permet de choisir les données à ingérer, car certaines options peuvent générer un très grand volume de données. En fonction de ce que vous souhaitez collecter, effectuez le suivi dans vos classeurs, règles d’analyse et fonctionnalités de chasse, vous choisirez la ou les options que vous allez déployer. Chaque option est indépendante pour l’une de l’autre. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »

Ce connecteur de données est l’option 7 du wiki.

1. Téléchargez et installez les agents nécessaires pour collecter les journaux pour Microsoft Sentinel

Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou à tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.

Déployer des agents monitor

Cette étape n’est nécessaire que si vous intégrez vos serveurs/contrôleurs de domaine Exchange Pour la première fois, déployez l’agent Azure Arc En savoir plus

2. [Option 7] Proxy HTTP des serveurs Exchange

Sélectionner comment diffuser en continu le proxy HTTP des serveurs Exchange

Règles de collecte de données : quand l’agent Azure Monitor est utilisé

Activer la règle de collecte de données Le suivi des messages est collecté uniquement à partir des agents Windows .

Option 1 : modèle Azure Resource Manager (ARM) (méthode préférée)

Utilisez cette méthode pour le déploiement automatisé du DCE et de la DCR.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Vous pouvez modifier le nom proposé du DCE.

4. Cliquez sur Créer pour déployer.

B. Déployer une règle de connexion de données

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

Créer une table personnalisée - Explication

La table personnalisée ne peut pas être créée à l’aide du portail Azure. Vous devez utiliser un modèle ARM, un script PowerShell ou une autre méthode décrite ici.

Créer une table personnalisée à l’aide d’un modèle ARM

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources, l’emplacement et le nom de l’espace de travail analytique par défaut.

3. Cliquez sur Créer pour déployer.

Créer une table personnalisée à l’aide de PowerShell dans Cloud Shell

1. À partir du portail Azure, ouvrez un Cloud Shell.
2. Copiez et collez et exécutez le script suivant dans le Cloud Shell pour créer la table. $tableParams = @' { « properties » : { « schema » : { « name » : « ExchangeHttpProxy_CL », « columns » : [ { « name » : « AccountForestLatencyBreakup », « type » : « string » }, { « name » : « ActivityContextLifeTime », « type » : « string » }, { « name » : « ADLatency », « type » : « string » }, { « name » : « AnchorMailbox », « type » : « string » }, { « name » : « AuthenticatedUser », « type » : « string » }, { « name » : « AuthenticationType », « type » : « string » }, { « name » : « AuthModulePerfContext », « type » : « string » }, { « name » : « BackEndCookie », « type » : « string » }, { « name » : « BackEndGenericInfo », « type » : « string » }, { « name » : « BackendProcessingLatency », « type » : « string » }, { « name » : « BackendReqInitLatency », « type » : « string » }, { « name » : « BackendReqStreamLatency », « type » : « string » }, { « name » : « BackendRespInitLatency », « type » : « string » }, { « name » : « BackendRespStreamLatency », « type » : « string » }, { « name » : « BackEndStatus », « type » : « string » }, { « name » : « BuildVersion », « type » : « string » }, { « name » : « CalculateTargetBackEndLatency », « type » : « string » }, { « name » : « ClientIpAddress », « type » : « string » }, { « name » : « ClientReqStreamLatency », « type » : « string » }, { « name » : « ClientRequestId », « type » : « string » }, { « name » : « ClientRespStreamLatency », « type » : « string » }, { « name » : « CoreLatency », « type » : « string » }, { « name » : « DatabaseGuid », « type » : « string » }, { « name » : « EdgeTraceId », « type » : « string » }, { « name » : « ErrorCode », « type » : « string » }, { « name » : « GenericErrors », « type » : « string » }, { « name » : « GenericInfo », « type » : « string » }, { « name » : « GlsLatencyBreakup », « type » : « string » }, { « name » : « HandlerCompletionLatency », « type » : « string » }, { « name » : « HandlerToModuleSwitchingLatency », « type » : « string » }, { « name » : « HttpPipelineLatency », « type » : « string » }, { « name » : « HttpProxyOverhead », « type » : « string » }, { « name » : « HttpStatus », « type » : « string » }, { « name » : « IsAuthenticated », « type » : « string » }, { « name » : « KerberosAuthHeaderLatency », « type » : « string » }, { « name » : « MajorVersion », « type » : « string » }, { « name » : « Method », « type » : « string » }, { « name » : « MinorVersion », « type » : « string » }, { « name » : « ModuleToHandlerSwitchingLatency », « type » : « string » }, { « name » : « Organization », « type » : « string » }, { « name » : « PartitionEndpointLookupLatency », « type » : « string » }, { « name » : « Protocol », « type » : « string » }, { « name » : « ProtocolAction », « type » : « string » }, { « name » : « ProxyAction », « type » : « string » }, { « name » : « ProxyTime », « type » : « string » }, { « name » : « RequestBytes », « type » : « string » }, { « name » : « RequestHandlerLatency », « type » : « string » }, { « name » : « RequestId », « type » : « string » }, { « name » : « ResourceForestLatencyBreakup », « type » : « string » }, { « name » : « ResponseBytes », « type » : « string » }, { « name » : « RevisionVersion », « type » : « string » }, { « name » : « RouteRefresherLatency », « type » : « string » }, { « name » : « RoutingHint », « type » : « string » }, { « name » : « RoutingLatency », « type » : « string » }, { « name » : « RoutingStatus », « type » : « string » }, { « name » : « RoutingType », « type » : « string » }, { « name » : « ServerHostName », « type » : « ServerHostName », « type » : « string » }, { « name » : « ServerLocatorHost », « type » : « string » }, { « name » : « ServerLocatorLatency », « type » : « string » }, { « name » : « SharedCacheLatencyBreakup », « type » : « string » }, { « name » : « TargetOutstandingRequests », « type » : « string » }, { « name » : « TargetServer », « type » : « string » }, { « name » : « TargetServerVersion », « type » : « string » }, { « name » : « TotalAccountForestLatency », « type » : « string » }, { « name » : « TotalGlsLatency », « type » : « string » }, { « name » : « TotalRequestTime », « type » : « string » }, { « name » : « TotalResourceForestLatency », « type » : « string » }, { « name » : « TotalSharedCacheLatency », « type » : « string » }, { « name » : « UrlHost », « type » : « string » }, { « name » : « UrlQuery », « type » : « string » }, { « name » : « UrlStem », « type » : « string » }, { « name » : « UserADObjectGuid », « type » : « string » }, { « name » : « UserAgent », « type » : « string » }, { « name » : « TimeGenerated », « type » : « datetime » }, { « name » : « FilePath », « type » : « string » } } } } ' @
3. Copiez, Remplacez, Collez et exécutez les paramètres suivants avec vos propres valeurs : $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
4. Exécutez l’applet de commande suivante pour créer la table : Invoke-AzRestMethod -Path « /subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL ?api-version=2021-12-01-preview » -Method PUT -payload $tableParams

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. À partir du portail Azure, accédez à Azure Point de terminaison de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires et donnez un nom au DCE.
4. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

B. Créer une DCR, type journal personnalisé

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Cliquez sur le bouton « Créer ».
3. Sous l’onglet « Informations de base », renseignez le nom de la règle comme DCR-Option7-HTTPProxyLogs, sélectionnez le « Point de terminaison de collecte de données » avec le point de terminaison créé précédemment et renseignez les autres paramètres.
4. Sous l’onglet Ressources , ajoutez vos serveurs Exchange.
5. Dans Collecter et remettre, ajoutez un type de source de données « Journaux de texte personnalisés » et entrez le modèle de fichier suivant : « C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log »,'C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log','C :\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log','C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C :\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log','C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
6. Placez « ExchangeHttpProxy_CL » dans Nom de la table.
7. Dans le champ Transformer, entrez la requête KQL suivante : source | extend d = split(RawData,',') | extend DateTime=todatetime(d[0]),RequestId=tostring(d[1]) ,MajorVersion=tostring(d[2]) ,MinorVersion=tostring(d[3]) ,BuildVersion=tostring(d[4]) ,RevisionVersion=tostring(d[5]) ,ClientRequestId=tostring(d[6]) ,Protocol=tostring(d[7]) ,UrlHost=tostring(d[8]) ,UrlStem=tostring(d[9]) ,ProtocolAction=tostring(d[10]) ,AuthenticationType=tostring(d[11]) ,IsAuthenticated=tostring(d[12]) ,AuthenticatedUser=tostring(d[13]) , Organization=tostring(d[14]) ,AnchorMailbox=tostring(d[15]) ,UserAgent=tostring(d[16]) ,ClientIpAddress=tostring(d[17]) ,ServerHostName=tostring(d[18]) ,HttpStatus=tostring(d[19]) ,BackEndStatus=tostring(d[20]) ,ErrorCode=tostring(d[21]) ,Method=tostring(d[22]) ,ProxyAction=tostring(d[23]) ,TargetServer=tostring(d[24]) ,TargetServerVersion=tostring(d[25]) ,RoutingType=tostring(d[26]) ,RoutingHint=tostring(d[27]) , BackEndCookie=tostring(d[28]) ,ServerLocatorHost=tostring(d[29]) ,ServerLocatorLatency=tostring(d[30]) ,RequestBytes=tostring(d[31]) ,ResponseBytes=tostring(d[32]) ,TargetOutstandingRequests=tostring(d[33]) ,AuthModulePerfContext=tostring(d[34]) ,HttpPipelineLatency=tostring(d[35]) ,CalculateTargetBackEndLatency=tostring(d[36]) ,GlsLatencyBreakup=tostring(d[37]) ,TotalGlsLatency=tostring(d[38]) ,AccountForestLatencyBreakup=tostring(d[39]) , TotalAccountForestLatency=tostring(d[40]) ,ResourceForestLatencyBreakup=tostring(d[41]) ,TotalResourceForestLatency=tostring(d[42]) ,ADLatency=tostring(d[43]) ,SharedCacheLatencyBreakup=tostring(d[44]) ,TotalSharedCacheLatency=tostring(d[44]) 45]) ,ActivityContextLifeTime=tostring(d[46]) ,ModuleToHandlerSwitchingLatency=tostring(d[47]) ,ClientReqStreamLatency=tostring(d[48]) ,BackendReqInitLatency=tostring(d[49]) ,BackendReqStreamLatency=tostring(d[50]) , BackendProcessingLatency=tostring(d[51]) ,BackendRespInitLatency=tostring(d[52]) ,BackendRespStreamLatency=tostring(d[53]) ,ClientRespStreamLatency=tostring(d[54]) ,KerberosAuthHeaderLatency=tostring(d[55]) ,HandlerCompletionLatency=tostring(d[55]) 56]) ,RequestHandlerLatency=tostring(d[57]) ,HandlerToModuleSwitchingLatency=tostring(d[58]) ,ProxyTime=tostring(d[56])9]) ,CoreLatency=tostring(d[60]) ,RoutingLatency=tostring(d[61]) ,HttpProxyOverhead=tostring(d[62]) , TotalRequestTime=tostring(d[63]) ,RouteRefresherLatency=tostring(d[64]) ,UrlQuery=tostring(d[65]) ,BackEndGenericInfo=tostring(d[66]) ,GenericInfo=tostring(d[67]) ,GenericErrors=tostring(d[d[67]) 68]) ,EdgeTraceId=tostring(d[69]) ,DatabaseGuid=tostring(d[70]) ,UserADObjectGuid=tostring(d[71]) ,PartitionEndpointLookupLatency=tostring(d[72]) ,RoutingStatus=tostring(d[73]) | extend TimeGenerated = DateTime | project-away d,RawData,DateTime | project-away d,RawData,DateTime et cliquez sur « Destination ».
8. Dans « Destination », ajoutez une destination et sélectionnez l’espace de travail dans lequel vous avez précédemment créé la table personnalisée.
9. Cliquez sur « Ajouter une source de données ».
10. Remplir les autres paramètres et balises requis et créer la DCR

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

---

Journaux et événements Microsoft Exchange

Pris en charge par :Community

[Option 2] - Utilisation de l’agent Azure Monitor : vous pouvez diffuser en continu tous les journaux des événements de sécurité & application Exchange à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer l’investigation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Event	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Log Analytics sera déconseillé : Azure Log Analytics sera déconseillé pour collecter des données à partir de machines virtuelles non Azure, Azure Arc est recommandé. En savoir plus
• Documentation détaillée : >REMARQUE : La documentation détaillée sur la procédure d’installation et l’utilisation est disponible ici

Instructions d’installation :

NOTE: Cette solution est basée sur les options. Cela vous permet de choisir les données à ingérer, car certaines options peuvent générer un très grand volume de données. En fonction de ce que vous souhaitez collecter, effectuez le suivi dans vos classeurs, règles d’analyse et fonctionnalités de chasse, vous choisirez la ou les options que vous allez déployer. Chaque option est indépendante pour l’une de l’autre. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »

Ce connecteur de données est l’option 2 du wiki.

1. Téléchargez et installez les agents nécessaires pour collecter les journaux pour Microsoft Sentinel

Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou à tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.

Déployer des agents monitor

Cette étape n’est nécessaire que si vous intégrez vos serveurs/contrôleurs de domaine Exchange Pour la première fois, déployez l’agent Azure Arc En savoir plus

2. [Option 2] Journaux de sécurité/application/système des serveurs Exchange

Les journaux de sécurité/application/système des serveurs Exchange sont collectés à l’aide de règles de collecte de données (DCR).

Collecte du journal des événements de sécurité

Règles de collecte de données - Journaux des événements de sécurité

Activer la règle de collecte de données pour les journaux de sécurité Les journaux d’événements de sécurité sont collectés uniquement à partir des agents Windows .

1. Ajouter des serveurs Exchange sous l’onglet Ressources .
2. Sélectionner le niveau de journal de sécurité

Le niveau commun est le minimum requis. Sélectionnez « Commun » ou « Tous les événements de sécurité » dans la définition DCR.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Collecte du journal des événements de l’application et du système

Activer la règle de collecte de données

Les journaux d’événements système et d’application sont collectés uniquement à partir des agents Windows .

Option 1 : modèle Azure Resource Manager (ARM) (méthode préférée)

Utilisez cette méthode pour le déploiement automatisé de la DCR.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez le nom de l’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

A. Créer une DCR, type journal des événements

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires, Sélectionnez Windows comme type de plateforme et donnez un nom à la DCR.
4. Sous l’onglet Ressources , entrez serveurs Exchange.
5. Dans « Collecter et remettre », ajoutez un type de source de données « Journaux des événements Windows » et sélectionnez l’option « De base ».
6. Pour Application, sélectionnez « Critique », « Erreur » et « Avertissement ». Pour Système, sélectionnez Critique/Erreur/Avertissement/Informations.
7. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

---

Journaux de suivi des messages Microsoft Exchange

Pris en charge par :Community

[Option 6] - Utilisation de l’agent Azure Monitor : vous pouvez diffuser en continu tout le suivi des messages Exchange à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Ces journaux peuvent être utilisés pour suivre le flux de messages dans votre environnement Exchange. Ce connecteur de données est basé sur l’option 6 du wiki sécurité Microsoft Exchange.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
MessageTrackingLog_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Log Analytics sera déconseillé : Azure Log Analytics sera déconseillé pour collecter des données à partir de machines virtuelles non Azure, Azure Arc est recommandé. En savoir plus
• Documentation détaillée : >REMARQUE : La documentation détaillée sur la procédure d’installation et l’utilisation est disponible ici

Instructions d’installation :

NOTE: Cette solution est basée sur les options. Cela vous permet de choisir les données à ingérer, car certaines options peuvent générer un très grand volume de données. En fonction de ce que vous souhaitez collecter, effectuez le suivi dans vos classeurs, règles d’analyse et fonctionnalités de chasse, vous choisirez la ou les options que vous allez déployer. Chaque option est indépendante pour l’une de l’autre. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »

Ce connecteur de données est l’option 6 du wiki.

1. Téléchargez et installez les agents nécessaires pour collecter les journaux pour Microsoft Sentinel

Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou à tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.

Déployer des agents monitor

Cette étape n’est nécessaire que si vous intégrez vos serveurs/contrôleurs de domaine Exchange Pour la première fois, déployez l’agent Azure Arc En savoir plus

2. Suivi des messages des serveurs Exchange

Sélectionner comment diffuser en continu le suivi des messages des serveurs Exchange

Règles de collecte de données : quand l’agent Azure Monitor est utilisé

Activer la règle de collecte de données Le suivi des messages est collecté uniquement à partir des agents Windows .

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du DCE et de la DCR.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Vous pouvez modifier le nom proposé du DCE.

4. Cliquez sur Créer pour déployer.

B. Déployer une règle de connexion de données et une table personnalisée

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

Créer une table personnalisée - Explication

La table personnalisée ne peut pas être créée à l’aide du portail Azure. Vous devez utiliser un modèle ARM, un script PowerShell ou une autre méthode décrite ici.

Créer une table personnalisée à l’aide d’un modèle ARM

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources, l’emplacement et le nom de l’espace de travail analytique par défaut.

3. Cliquez sur Créer pour déployer.

Créer une table personnalisée à l’aide de PowerShell dans Cloud Shell

1. À partir du portail Azure, ouvrez un Cloud Shell.
2. Copiez et collez et exécutez le script suivant dans le Cloud Shell pour créer la table. $tableParams = @' { « properties » : { « schema » : { « name » : « MessageTrackingLog_CL », « columns » : [ { « name » : « directionality », « type » : « string » }, { « name » : « reference », « type » : « string » }, { « name » : « source », « type » : « string » }, { « name » : « TimeGenerated », { « name » : « TimeGenerated », « type » : « datetime » }, { « name » : « clientHostname », « type » : « string » }, { « name » : « clientIP », « type » : « string » }, { « name » : « connectorId », « type » : « string » }, { « name » : « customData », « type » : « string » }, { « name » : « eventId », « type » : « string » }, { « name » : « internalMessageId », « type » : « string » }, { « name » : « logId », « type » : « string » }, { « name » : « messageId », « type » : « string » }, { « name » : « messageInfo », « type » : « string » }, { « name » : « messageSubject », « type » : « string » }, { « name » : « networkMessageId », « type » : « string » }, { « name » : « originalClientIp », « type » : « string » }, { « name » : « originalServerIp », « type » : « string » }, { « name » : « recipientAddress », « type » : « string » }, { « name » : « recipientCount », « type » : « string » }, { « name » : « string » }, { « name » : « recipientStatus », « type » : « string » }, { « name » : « relatedRecipientAddress », « type » : « string » }, { « name » : « returnPath », « type » : « string » }, { « name » : « senderAddress », « type » : « string » }, { « name » : « senderHostname », « type » : « string » }, { « name » : « serverIp », « type » : « string » }, { « name » : « sourceContext », « type » : « string » }, { « name » : « schemaVersion », « type » : « string » }, { « name » : « messageTrackingTenantId », « type » : « string » }, { « name » : « totalBytes », « type » : « string » }, { « name » : « string » }, { « name » : « transportTrafficType », « type » : « string » }, { « name » : « FilePath », « type » : « string » } } } } } ' @
3. Copiez, Remplacez, Collez et exécutez les paramètres suivants avec vos propres valeurs : $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
4. Exécutez l’applet de commande suivante pour créer la table : Invoke-AzRestMethod -Path « /subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL ?api-version=2021-12-01-preview » -Method PUT -payload $tableParams

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. À partir du portail Azure, accédez à Azure Point de terminaison de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires et donnez un nom au DCE, par exemple ESI-ExchangeServers.
4. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

B. Créer une DCR, type journal personnalisé

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Cliquez sur le bouton « Créer ».
3. Sous l’onglet « Informations de base », renseignez le nom de la règle comme DCR-Option6-MessageTrackingLogs, sélectionnez le « Point de terminaison de collecte de données » avec le point de terminaison créé précédemment et renseignez les autres paramètres.
4. Sous l’onglet Ressources , ajoutez vos serveurs Exchange.
5. Dans Collecter et remettre, ajoutez un type de source de données « Journaux de texte personnalisés », puis entrez « C :\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log » dans le modèle de fichier, « MessageTrackingLog_CL » dans Nom de la table. 6.in champ Transformer, entrez la requête KQL suivante : source | extend d = split(RawData,',') | extend TimeGenerated =todatetime(d[0]) ,clientIP =tostring(d[1]) ,clientHostname =tostring(d[2]) ,serverIp=tostring(d[3]) ,senderHostname=tostring(d[4]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) ,source =tostring(d[7]) ,eventId =tostring(d[8]) ,internalMessageId =tostring(d[9]) ,messageId =tostring(d[10]) ,networkMessageId =tostring(d[11]) ,recipientAddress=tostring(d[12]) ,recipientStatus=tostring(d[13]) , totalBytes=tostring(d[14]) ,recipientCount=tostring(d[15]) ,relatedRecipientAddress=tostring(d[16]) ,reference=tostring(d[16])17]) ,messageSubject =tostring(d[18]) ,senderAddress=tostring(d[19]) ,returnPath=tostring(d[20]) ,messageInfo =tostring(d[21]) ,directionality=tostring(d[22]) ,messageTrackingTenantId =tostring(d[23]) ,originalClientIp =tostring(d[d[24]) ,originalServerIp =tostring(d[25]) ,customData=tostring(d[26]) ,transportTrafficType =tostring(d[27]) , logId =tostring(d[28]) ,schemaVersion=tostring(d[29]) | project-away d,RawData, puis cliquez sur « Destination ».
6. Dans « Destination », ajoutez une destination et sélectionnez l’espace de travail dans lequel vous avez précédemment créé la table personnalisée.
7. Cliquez sur « Ajouter une source de données ».
8. Remplir les autres paramètres et balises requis et créer la DCR

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

---

Microsoft Power Automate

Pris en charge par :Microsoft Corporation

Power Automate est un service Microsoft qui permet aux utilisateurs de créer des flux de travail automatisés entre les applications et les services pour synchroniser des fichiers, obtenir des notifications, collecter des données, etc. Il simplifie l’automatisation des tâches, en augmentant l’efficacité en réduisant les tâches manuelles et répétitives et en améliorant la productivité. Le connecteur de données Power Automate permet d’ingérer les journaux d’activité Power Automate à partir du journal Microsoft Purview Audit dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
PowerAutomateActivity	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations de locataire : « Administrateur de la sécurité » ou « Administrateur général » sur le locataire de l’espace de travail.
• Micorosft Purview Audit : Microsoft Purview Audit (Standard ou Premium) doit être activé.

Instructions d’installation :

Connecter Microsoft Power Automate journaux d’audit à Microsoft Sentinel

Ce connecteur utilise l’API de gestion Office pour obtenir vos journaux d’audit Power Automate. Les journaux d’activité seront stockés et traités dans votre espace de travail Microsoft Sentinel existant. Vous trouverez les données dans la table PowerAutomateActivity .

• Activer/désactiver la connexion

---

Activité Administration Microsoft Power Platform

Pris en charge par :Microsoft Corporation

Microsoft Power Platform est une suite à faible code/sans code qui permet aux développeurs citoyens et professionnels de rationaliser les processus métier en permettant la création d’applications personnalisées, l’automatisation des workflows et l’analyse des données avec un minimum de codage. Le connecteur de données Power Platform Administration permet d’ingérer les journaux d’activité de l’administrateur Power Platform à partir du Microsoft Purview Audit journal dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
PowerPlatformAdminActivity	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations de locataire : « Administrateur de la sécurité » ou « Administrateur général » sur le locataire de l’espace de travail.
• Micorosft Purview Audit : Microsoft Purview Audit (Standard ou Premium) doit être activé.

Instructions d’installation :

Connecter les journaux d’audit d’activité Administration Microsoft Power Platform à Microsoft Sentinel

Ce connecteur utilise l’API gestion Office pour obtenir vos journaux d’audit d’administrateur Power Platform. Les journaux d’activité seront stockés et traités dans votre espace de travail Microsoft Sentinel existant. Vous trouverez les données dans la table PowerPlatformAdminActivity .

• Activer/désactiver la connexion

---

Microsoft PowerBI

Pris en charge par :Microsoft Corporation

Microsoft PowerBI est un ensemble de services logiciels, d’applications et de connecteurs qui fonctionnent ensemble pour transformer vos sources de données non liées en insights cohérents, visuellement immersifs et interactifs. Vos données peuvent être une feuille de calcul Excel, une collection d’entrepôts de données hybrides basés sur le cloud et locaux, ou un magasin de données d’un autre type. Ce connecteur vous permet de diffuser en continu les journaux d’audit PowerBI dans Microsoft Sentinel, ce qui vous permet de suivre les activités des utilisateurs dans votre environnement PowerBI. Vous pouvez filtrer les données d’audit par plage de dates, utilisateur, tableau de bord, rapport, jeu de données et type d’activité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
PowerBIActivity	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Microsoft Project

Pris en charge par :Microsoft

Microsoft Project (MSP) est une solution logicielle de gestion de projet. En fonction de votre plan, Microsoft Project vous permet de planifier des projets, d’attribuer des tâches, de gérer les ressources, de créer des rapports et bien plus encore. Ce connecteur vous permet de diffuser en continu vos journaux d’audit Azure project dans Microsoft Sentinel afin de suivre les activités de votre projet.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ProjectActivity	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Microsoft Purview

Pris en charge par :Microsoft Corporation

Connectez-vous à Microsoft Purview pour activer l’enrichissement de la sensibilité des données de Microsoft Sentinel. Les journaux de classification des données et d’étiquettes de confidentialité provenant d’analyses Microsoft Purview peuvent être ingérés et visualisées via des classeurs, des règles analytiques, etc. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
PurviewDataSensitivityLogs	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter Microsoft Purview à Microsoft Sentinel

Dans le portail Azure, accédez à votre ressource Purview :

1. Dans la barre de recherche, recherchez comptes Purview.
2. Sélectionnez le compte spécifique que vous souhaitez configurer avec Sentinel.

Dans votre ressource Microsoft Purview : 3. Sélectionnez Paramètres de diagnostic. 4. Sélectionnez + Ajouter un paramètre de diagnostic. 5. Dans le panneau Paramètre de diagnostic :

• Sélectionnez La catégorie de journal comme DataSensitivityLogEvent.
• Sélectionnez Envoyer à Log Analytics.
• Choisissez l’espace de travail de destination du journal. Il doit s’agir du même espace de travail que celui utilisé par Microsoft Sentinel.
• Cliquez sur Save (Enregistrer).

---

Protection des données Microsoft Purview

Pris en charge par :Microsoft Corporation

Protection des données Microsoft Purview vous aide à découvrir, classifier, protéger et régir les informations sensibles où qu’elles se trouvent ou voyagent. Ces fonctionnalités vous permettent de connaître vos données, d’identifier les éléments sensibles et d’obtenir une visibilité sur la façon dont ils sont utilisés pour mieux protéger vos données. Les étiquettes de confidentialité sont la fonctionnalité fondamentale qui fournit des actions de protection, en appliquant un chiffrement, des restrictions d’accès et des marquages visuels. Intégrez Protection des données Microsoft Purview journaux à Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer l’investigation. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
MicrosoftPurviewInformationProtection	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Mimecast Audit

Pris en charge par :Mimecast

Le connecteur de données pour Mimecast Audit offre aux clients la visibilité des événements de sécurité liés aux événements d’audit et d’authentification dans Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord précréés pour permettre aux analystes d’afficher des informations sur l’activité des utilisateurs, de faciliter la corrélation des incidents et de réduire les temps de réponse d’investigation associés aux fonctionnalités d’alerte personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants : Audit

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Audit_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans Microsoft Entra ID et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API dans la référence de l’API REST

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Configuration:

ÉTAPE 1 : Étapes de configuration de l’API Mimecast

Accédez à Portail Azure ---> inscriptions d'applications ---> [your_app] ---> Certificats & secrets ---> Nouveau secret client et créez un nouveau secret (enregistrez immédiatement la valeur dans un endroit sûr, car vous ne pourrez pas l’afficher ultérieurement).

ÉTAPE 2 : Déployer mimecast API Connector

IMPORTANT: Avant de déployer le connecteur d’API Mimecast, disposez de la ou des clés d’autorisation de l’API Mimecast ou du jeton, facilement disponibles.

ÉTAPE 3 : Étapes d’inscription d’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution de TenableVM Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 4 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de TenableVM Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution de TenableVM Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 5 : Obtenir l’ID d’objet de votre application dans Microsoft Entra ID

Après avoir créé l’inscription de votre application, suivez les étapes de cette section pour obtenir l’ID d’objet :

1. Allez à Microsoft Entra ID.
2. Sélectionnez Applications d’entreprise dans le menu de gauche.
3. Recherchez votre application nouvellement créée dans la liste (vous pouvez effectuer une recherche par le nom que vous avez fourni).
4. Cliquez sur l’application.
5. Dans la page vue d’ensemble, copiez l’ID d’objet. Il s’agit de l’AzureEntraObjectId nécessaire pour l’attribution de rôle de votre modèle ARM.

Déployez mimecast Audit Data Connector :

Utilisez cette méthode pour le déploiement automatisé du connecteur Mimecast Audit Data.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région par défaut.

3. Entrez les informations ci-dessous :

   a. Emplacement : emplacement dans lequel les règles de collecte de données et les points de terminaison de collecte de données doivent être déployés

   b. WorkspaceName : entrez Microsoft Sentinel nom d’espace de travail de l’espace de travail Log Analytics

   c. AzureClientID : entrez Azure’ID client que vous avez créé lors de l’inscription de l’application

   d. AzureClientSecret : entrez Azure clé secrète client que vous avez créée lors de la création de la clé secrète client

   e. AzureTenantID : entrez Azure ID de locataire de votre Azure Active Directory

   f. AzureEntraObjectID : entrez l’ID d’objet de votre application Microsoft Entra

   g. MimecastBaseURL : entrez l’URL de base de l’API Mimecast 2.0 (par exemple https://api.services.mimecast.com, )

   h. MimecastClientID : entrez l’ID client Mimecast pour l’authentification

   i. MimecastClientSecret : entrez Mimecast Client Secret pour l’authentification

   j. MimecastAuditTableName : entrez le nom de la table utilisée pour stocker les données d’audit. La valeur par défaut est « Audit »

   k. StartDate : entrez la date de début au format « aaaa-mm-jj ». Si vous ne fournissez pas de date, les données des 60 derniers jours sont récupérées automatiquement. Vérifiez que la date est dans le passé et correctement mise en forme

   L. Planification : entrez une expression cron Quartz valide. (Exemple : 0 0 */1 * * *) Ne laissez pas la valeur vide, la valeur minimale est de 10 minutes

   M. LogLevel : ajoutez le niveau de journalisation ou la valeur de gravité du journal. Par défaut, il est défini sur INFO

   ¡n. AppInsightsWorkspaceResourceId : migrez Application Insights classique vers l’espace de travail Log Analytics, qui sera mis hors service le 29 février 2024. Utilisez le panneau « Log Analytics Workspace-->Properties » avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

---

Mimecast Audit & Authentication (à l’aide de Azure Functions)

Pris en charge par :Mimecast

Le connecteur de données pour Mimecast Audit & Authentication fournit aux clients la visibilité des événements de sécurité liés aux événements d’audit et d’authentification dans Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord précréés pour permettre aux analystes d’afficher des informations sur l’activité des utilisateurs, de faciliter la corrélation des incidents et de réduire les temps de réponse d’investigation associés aux fonctionnalités d’alerte personnalisées.
Les produits Mimecast inclus dans le connecteur sont : Audit & Authentication

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
MimecastAudit_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification de l’API Mimecast : vous devez disposer des informations suivantes pour configurer l’intégration :
• mimecastEmail : adresse Email d’un utilisateur administrateur Mimecast dédié
• mimecastPassword : mot de passe de l’utilisateur administrateur Mimecast dédié
• mimecastAppId : ID d’application d’API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAppKey : Clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié
• mimecastSecretKey : clé secrète pour l’utilisateur administrateur Mimecast dédié
• mimecastBaseURL : URL de base de l’API régionale Mimecast

L’ID de l’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié, peuvent être obtenus via la console d’administration Mimecast : Administration | Services | Intégrations d’API et de plateforme.

L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Groupe de ressources : vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser.
• Application Functions : vous devez disposer d’un Azure App inscrit pour que ce connecteur utilise

1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Configuration:

ÉTAPE 1 : Étapes de configuration de l’API Mimecast

Accédez à Portail Azure ---> inscriptions d'applications ---> [your_app] ---> Certificats & secrets ---> Nouveau secret client et créez un nouveau secret (enregistrez immédiatement la valeur dans un endroit sûr, car vous ne pourrez pas l’afficher ultérieurement).

ÉTAPE 2 : Déployer mimecast API Connector

IMPORTANT: Avant de déployer le connecteur d’API Mimecast, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que de la ou des clés d’autorisation de l’API Mimecast ou du jeton.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Déployez mimecast Audit & Authentication Data Connector :

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les champs suivants :

• appName : chaîne unique qui sera utilisée comme ID pour l’application dans Azure plateforme
• objectId : Portail Azure ---> Azure Active Directory ---> plus d’informations ---> Profil -----> ID d’objet
• appInsightsLocation(default) : westeurope
• mimecastEmail : adresse Email de l’utilisateur dédié pour cette intégraion
• mimecastPassword : mot de passe pour l’utilisateur dédié
• mimecastAppId : ID d’application de l’application Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAppKey : clé d’application de l’application Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAccessKey : clé d’accès pour l’utilisateur Mimecast dédié
• mimecastSecretKey : clé secrète pour l’utilisateur Mimecast dédié
• mimecastBaseURL : URL de base de l’API Mimecast régionale
• activeDirectoryAppId : Portail Azure ---> inscriptions d'applications ---> [your_app] ID d’application --->
• activeDirectoryAppSecret : Portail Azure --- inscriptions d'applications --->> [your_app] ---> certificats & secrets ---> [your_app_secret]
• workspaceId : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents --- ID d’espace> de travail (ou vous pouvez copier workspaceId à partir de ci-dessus)
• workspaceKey : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> Clé primaire (ou vous pouvez copier workspaceKey à partir de ci-dessus)
• AppInsightsWorkspaceResourceID : Portail Azure ---> espaces de travail Log Analytics ---> [Votre espace de travail] ---> Propriétés ---> ID de ressource

Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

6. Accédez à Portail Azure ---> Groupes de ressources ---> [your_resource_group] ---> [appName](type : Compte de stockage) ---> Explorateur Stockage ---> CONTENEURS BLOB ---> Points de contrôle d’audit ---> Charger et créer un fichier vide sur votre ordinateur nommé checkpoint.txt, puis sélectionnez-le pour le chargement (cela permet de stocker date_range pour les journaux SIEM dans un état cohérent)

---

Formation de sensibilisation à Mimecast

Pris en charge par :Mimecast

Le connecteur de données pour la formation de sensibilisation Mimecast offre aux clients une visibilité sur les événements de sécurité liés aux technologies d’inspection protection ciblée contre les menaces dans Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord précréés pour permettre aux analystes d’afficher des informations sur les menaces basées sur les e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse d’investigation associés aux fonctionnalités d’alerte personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants :

• Détails des performances
• Détails du score de sécurité
• Données utilisateur
• Détails de la watchlist

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Awareness_Performance_Details_CL	Oui	Oui
Awareness_SafeScore_Details_CL	Oui	Oui
Awareness_User_Data_CL	Oui	Oui
Awareness_Watchlist_Details_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans Microsoft Entra ID et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API dans la référence de l’API REST

Instructions d’installation :

Groupe de ressources

Vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser.

Application Functions

Vous devez disposer d’un Azure App inscrit pour que ce connecteur utilise

1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client
5. ID d’objet Entra

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes d’inscription de l’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution de Mimecast Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 2 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de Mimecast Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise comme paramètre de configuration pour l’exécution de Mimecast Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 3 : Obtenir l’ID d’objet de votre application dans Microsoft Entra ID

Après avoir créé l’inscription de votre application, suivez les étapes de cette section pour obtenir l’ID d’objet :

1. Allez à Microsoft Entra ID.
2. Sélectionnez Applications d’entreprise dans le menu de gauche.
3. Recherchez votre application nouvellement créée dans la liste (vous pouvez effectuer une recherche par le nom que vous avez fourni).
4. Cliquez sur l’application.
5. Dans la page vue d’ensemble, copiez l’ID d’objet. Il s’agit de l’AzureEntraObjectId nécessaire pour l’attribution de rôle de votre modèle ARM.

ÉTAPE 4 : Déployer mimecast API Connector

IMPORTANT: Avant de déployer le connecteur d’API Mimecast, disposez de la ou des clés d’autorisation de l’API Mimecast ou du jeton, facilement disponibles.

modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Mimecast Awareness Training Data.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région par défaut.

3. Entrez les informations ci-dessous :

   a. Emplacement : emplacement dans lequel les règles de collecte de données et les points de terminaison de collecte de données doivent être déployés

   b. WorkspaceName : entrez Microsoft Sentinel nom d’espace de travail de l’espace de travail Log Analytics

   c. AzureClientID : entrez Azure’ID client que vous avez créé lors de l’inscription de l’application

   d. AzureClientSecret : entrez Azure clé secrète client que vous avez créée lors de la création de la clé secrète client

   e. AzureTenantID : entrez Azure ID de locataire de votre Azure Active Directory

   f. AzureEntraObjectID : entrez l’ID d’objet de votre application Microsoft Entra

   g. MimecastBaseURL : entrez l’URL de base de l’API Mimecast 2.0 (par exemple https://api.services.mimecast.com, )

   h. MimecastClientID : entrez l’ID client Mimecast pour l’authentification

   i. MimecastClientSecret : entrez Mimecast Client Secret pour l’authentification

   j. MimecastAwarenessPerformanceDetailsTableName : entrez le nom de la table utilisée pour stocker les données des détails des performances de sensibilisation. La valeur par défaut est « Awareness_Performance_Details »

   k. MimecastAwarenessUserDataTableName : entrez le nom de la table utilisée pour stocker les données de données utilisateur de sensibilisation. La valeur par défaut est « Awareness_User_Data »

   L. MimecastAwarenessWatchlistDetailsTableName : entrez le nom de la table utilisée pour stocker les données des détails de la watchlist de sensibilisation. La valeur par défaut est « Awareness_Watchlist_Details »

   M. MimecastAwarenessSafeScoreDetailsTableName : entrez le nom de la table utilisée pour stocker les données des détails safescore de la sensibilisation. La valeur par défaut est « Awareness_SafeScore_Details »

   ¡n. StartDate : entrez la date de début au format « aaaa-mm-jj ». Si vous ne fournissez pas de date, les données des 60 derniers jours sont récupérées automatiquement. Vérifiez que la date est dans le passé et correctement mise en forme

   O. Planification : entrez une expression cron Quartz valide. (Exemple : 0 0 */1 * * *) Ne laissez pas la valeur vide, la valeur minimale est de 10 minutes

   P. LogLevel : ajoutez le niveau de journalisation ou la valeur de gravité du journal. Par défaut, il est défini sur INFO

   Q. AppInsightsWorkspaceResourceId : migrez Application Insights classique vers l’espace de travail Log Analytics, qui sera mis hors service le 29 février 2024. Utilisez le panneau « Log Analytics Workspace-->Properties » avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

---

Mimecast Cloud Integrated

Pris en charge par :Mimecast

Le connecteur de données pour Mimecast Cloud Integrated offre aux clients une visibilité sur les événements de sécurité liés aux technologies d’inspection intégrées dans le cloud au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord précréés pour permettre aux analystes d’afficher des informations sur les menaces basées sur les e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse d’investigation associés aux fonctionnalités d’alerte personnalisées.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Cloud_Integrated_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans Microsoft Entra ID et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API dans la référence de l’API REST

Instructions d’installation :

Groupe de ressources

Vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser.

Application Functions

Vous devez disposer d’un Azure App inscrit pour que ce connecteur utilise

1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Configuration:

ÉTAPE 1 : Étapes de configuration de l’API Mimecast

Accédez à Portail Azure ---> inscriptions d'applications ---> [your_app] ---> Certificats & secrets ---> Nouveau secret client et créez un nouveau secret (enregistrez immédiatement la valeur dans un endroit sûr, car vous ne pourrez pas l’afficher ultérieurement).

ÉTAPE 2 : Déployer mimecast API Connector

IMPORTANT: Avant de déployer le connecteur d’API Mimecast, disposez de la ou des clés d’autorisation de l’API Mimecast ou du jeton, facilement disponibles.

ÉTAPE 3 : Étapes d’inscription d’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution de TenableVM Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 4 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de TenableVM Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution de TenableVM Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 5 : Obtenir l’ID d’objet de votre application dans Microsoft Entra ID

Après avoir créé l’inscription de votre application, suivez les étapes de cette section pour obtenir l’ID d’objet :

1. Allez à Microsoft Entra ID.
2. Sélectionnez Applications d’entreprise dans le menu de gauche.
3. Recherchez votre application nouvellement créée dans la liste (vous pouvez effectuer une recherche par le nom que vous avez fourni).
4. Cliquez sur l’application.
5. Dans la page vue d’ensemble, copiez l’ID d’objet. Il s’agit de l’AzureEntraObjectId nécessaire pour l’attribution de rôle de votre modèle ARM.

modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Mimecast Cloud Integrated Data.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région par défaut.

3. Entrez les informations ci-dessous :

   a. Emplacement : emplacement dans lequel les règles de collecte de données et les points de terminaison de collecte de données doivent être déployés

   b. WorkspaceName : entrez Microsoft Sentinel nom d’espace de travail de l’espace de travail Log Analytics

   c. AzureClientID : entrez Azure’ID client que vous avez créé lors de l’inscription de l’application

   d. AzureClientSecret : entrez Azure clé secrète client que vous avez créée lors de la création de la clé secrète client

   e. AzureTenantID : entrez Azure ID de locataire de votre Azure Active Directory

   f. AzureEntraObjectID : entrez l’ID d’objet de votre application Microsoft Entra

   g. MimecastBaseURL : entrez l’URL de base de l’API Mimecast 2.0 (par exemple https://api.services.mimecast.com, )

   h. MimecastClientID : entrez l’ID client Mimecast pour l’authentification

   i. MimecastClientSecret : entrez Mimecast Client Secret pour l’authentification

   j. MimecastCITableName : entrez le nom de la table utilisée pour stocker les données intégrées au cloud. La valeur par défaut est « Cloud_Integrated »

   k. StartDate : entrez la date de début au format « aaaa-mm-jj ». Si vous ne fournissez pas de date, les données des 60 derniers jours sont récupérées automatiquement. Vérifiez que la date est dans le passé et correctement mise en forme

   L. Planification : entrez une expression cron Quartz valide. (Exemple : 0 0 */1 * * *) Ne laissez pas la valeur vide, la valeur minimale est de 10 minutes

   M. LogLevel : ajoutez le niveau de journalisation ou la valeur de gravité du journal. Par défaut, il est défini sur INFO

   ¡n. AppInsightsWorkspaceResourceId : migrez Application Insights classique vers l’espace de travail Log Analytics, qui sera mis hors service le 29 février 2024. Utilisez le panneau « Log Analytics Workspace-->Properties » avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

---

Mimecast Intelligence pour Microsoft - Microsoft Sentinel (à l’aide de Azure Functions)

Pris en charge par :Mimecast

Le connecteur de données pour Mimecast Intelligence pour Microsoft fournit des informations régionales sur les menaces organisées à partir des technologies d’inspection des e-mails mimecast avec des tableaux de bord précréés pour permettre aux analystes d’afficher des informations sur les menaces basées sur les e-mails, faciliter la corrélation des incidents et réduire les temps de réponse aux enquêtes.
Produits et fonctionnalités Mimecast requis :

• Mimecast Secure Email Gateway
• Mimecast Threat Intelligence

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification de l’API Mimecast : vous devez disposer des informations suivantes pour configurer l’intégration :
• mimecastEmail : adresse Email d’un utilisateur administrateur Mimecast dédié
• mimecastPassword : mot de passe de l’utilisateur administrateur Mimecast dédié
• mimecastAppId : ID d’application d’API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAppKey : Clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié
• mimecastSecretKey : clé secrète pour l’utilisateur administrateur Mimecast dédié
• mimecastBaseURL : URL de base de l’API régionale Mimecast

L’ID de l’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié, peuvent être obtenus via la console d’administration Mimecast : Administration | Services | Intégrations d’API et de plateforme.

L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Groupe de ressources : vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser.
• Application Functions : vous devez disposer d’un Azure App inscrit pour que ce connecteur utilise

1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Configuration:

ÉTAPE 1 : Étapes de configuration de l’API Mimecast

Accédez à Portail Azure ---> inscriptions d'applications ---> [your_app] ---> Certificats & secrets ---> Nouveau secret client et créez un nouveau secret (enregistrez immédiatement la valeur dans un endroit sûr, car vous ne pourrez pas l’afficher ultérieurement).

ÉTAPE 2 : Déployer mimecast API Connector

IMPORTANT: Avant de déployer le connecteur d’API Mimecast, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que de la ou des clés d’autorisation de l’API Mimecast ou du jeton.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Activer Mimecast Intelligence pour Microsoft - connecteur Microsoft Sentinel :

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les champs suivants :

• appName : chaîne unique qui sera utilisée comme ID pour l’application dans Azure plateforme
• objectId : Portail Azure ---> Azure Active Directory ---> plus d’informations ---> Profil -----> ID d’objet
• appInsightsLocation(default) : westeurope
• mimecastEmail : adresse Email de l’utilisateur dédié pour cette intégraion
• mimecastPassword : mot de passe pour l’utilisateur dédié
• mimecastAppId : ID d’application de l’application Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAppKey : clé d’application de l’application Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAccessKey : clé d’accès pour l’utilisateur Mimecast dédié
• mimecastSecretKey : clé secrète pour l’utilisateur Mimecast dédié
• mimecastBaseURL : URL de base de l’API Mimecast régionale
• activeDirectoryAppId : Portail Azure ---> inscriptions d'applications ---> [your_app] ID d’application --->
• activeDirectoryAppSecret : Portail Azure --- inscriptions d'applications --->> [your_app] ---> certificats & secrets ---> [your_app_secret]
• workspaceId : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents --- ID d’espace> de travail (ou vous pouvez copier workspaceId à partir de ci-dessus)
• workspaceKey : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> Clé primaire (ou vous pouvez copier workspaceKey à partir de ci-dessus)
• AppInsightsWorkspaceResourceID : Portail Azure ---> espaces de travail Log Analytics ---> [Votre espace de travail] ---> Propriétés ---> ID de ressource

Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

6. Accédez à Portail Azure ---> Groupes de ressources ---> [your_resource_group] ---> [appName](type : Compte de stockage) ---> Explorateur Stockage ---> CONTENEURS d’objets blob ---> points de contrôle TIR ---> Charger et créer un fichier vide sur votre ordinateur nommé checkpoint.txt, puis sélectionnez-le pour le chargement (cela permet de stocker date_range pour les journaux TIR dans un état cohérent).

Configuration supplémentaire :

Connectez-vous à un connecteur de données de plateformes de renseignement sur les menaces. Suivez les instructions de la page du connecteur, puis cliquez sur le bouton Se connecter.

---

Mimecast Secure Email Gateway

Pris en charge par :Mimecast

Le connecteur de données pour Mimecast Secure Email Gateway permet de facilement collecte des journaux à partir de la passerelle de Email sécurisée pour exposer les informations sur les e-mails et l’activité des utilisateurs dans Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord précréés pour permettre aux analystes d’afficher des informations sur les menaces basées sur les e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse d’investigation associés aux fonctionnalités d’alerte personnalisées. Produits et fonctionnalités Mimecast requis :

• Mimecast Cloud Gateway
• Prévention des fuites de données Mimecast

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Seg_Cg_CL	Oui	Oui
Seg_Dlp_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans Microsoft Entra ID et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API dans la référence de l’API REST

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Configuration:

ÉTAPE 1 : Étapes de configuration de l’API Mimecast

Accédez à Portail Azure ---> inscriptions d'applications ---> [your_app] ---> Certificats & secrets ---> Nouveau secret client et créez un nouveau secret (enregistrez immédiatement la valeur dans un endroit sûr, car vous ne pourrez pas l’afficher ultérieurement).

**ÉTAPE 2 : Déployer mimecast API Connector

IMPORTANT: Avant de déployer le connecteur d’API Mimecast, disposez de la ou des clés d’autorisation de l’API Mimecast ou du jeton, facilement disponibles.

ÉTAPE 3 : Étapes d’inscription d’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution de TenableVM Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 4 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de TenableVM Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution de TenableVM Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 5 : Obtenir l’ID d’objet de votre application dans Microsoft Entra ID

Après avoir créé l’inscription de votre application, suivez les étapes de cette section pour obtenir l’ID d’objet :

1. Allez à Microsoft Entra ID.
2. Sélectionnez Applications d’entreprise dans le menu de gauche.
3. Recherchez votre application nouvellement créée dans la liste (vous pouvez effectuer une recherche par le nom que vous avez fourni).
4. Cliquez sur l’application.
5. Dans la page vue d’ensemble, copiez l’ID d’objet. Il s’agit de l’AzureEntraObjectId nécessaire pour l’attribution de rôle de votre modèle ARM.

Déployez mimecast Secure Email Gateway Data Connector :

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Mimecast Secure Email Gateway.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région préférés.

3. Entrez les informations ci-dessous :

   a. Emplacement : emplacement dans lequel les règles de collecte de données et les points de terminaison de collecte de données doivent être déployés

   b. WorkspaceName : entrez Microsoft Sentinel nom d’espace de travail de l’espace de travail Log Analytics

   c. AzureClientID : entrez Azure’ID client que vous avez créé lors de l’inscription de l’application

   d. AzureClientSecret : entrez Azure clé secrète client que vous avez créée lors de la création de la clé secrète client

   e. AzureTenantID : entrez Azure ID de locataire de votre Azure Active Directory

   f. AzureEntraObjectID : entrez l’ID d’objet de votre application Microsoft Entra

   g. MimecastBaseURL : entrez l’URL de base de l’API Mimecast 2.0 (par exemple https://api.services.mimecast.com, )

   h. MimecastClientID : entrez l’ID client Mimecast pour l’authentification

   i. MimecastClientSecret : entrez Mimecast Client Secret pour l’authentification

   j. MimecastCGTableName : entrez le nom de la table utilisée pour stocker les données CG. La valeur par défaut est « Seg_Cg »

   k. MimecastDLPTableName : entrez le nom de la table utilisée pour stocker les données DLP. La valeur par défaut est « Seg_Dlp »

   L. StartDate : entrez la date de début au format « aaaa-mm-jj ». Si vous ne fournissez pas de date, les données des 60 derniers jours sont récupérées automatiquement. Vérifiez que la date est dans le passé et correctement mise en forme

   M. Planification : entrez une expression cron Quartz valide. (Exemple : 0 0 */1 * * *) Ne laissez pas la valeur vide, la valeur minimale est de 10 minutes

   ¡n. LogLevel : ajoutez le niveau de journalisation ou la valeur de gravité du journal. Par défaut, il est défini sur INFO

   O. AppInsightsWorkspaceResourceId : migrez Application Insights classique vers l’espace de travail Log Analytics, qui sera mis hors service le 29 février 2024. Utilisez le panneau « Log Analytics Workspace-->Properties » avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

---

Mimecast Secure Email Gateway (à l’aide de Azure Functions)

Pris en charge par :Mimecast

Le connecteur de données pour Mimecast Secure Email Gateway permet de facilement collecte des journaux à partir de la passerelle de Email sécurisée pour exposer les informations sur les e-mails et l’activité des utilisateurs dans Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord précréés pour permettre aux analystes d’afficher des informations sur les menaces basées sur les e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse d’investigation associés aux fonctionnalités d’alerte personnalisées. Produits et fonctionnalités Mimecast requis :

• Mimecast Secure Email Gateway
• Prévention des fuites de données Mimecast

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
MimecastSIEM_CL	Non	Non
MimecastDLP_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification de l’API Mimecast : vous devez disposer des informations suivantes pour configurer l’intégration :
• mimecastEmail : adresse Email d’un utilisateur administrateur Mimecast dédié
• mimecastPassword : mot de passe de l’utilisateur administrateur Mimecast dédié
• mimecastAppId : ID d’application d’API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAppKey : Clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié
• mimecastSecretKey : clé secrète pour l’utilisateur administrateur Mimecast dédié
• mimecastBaseURL : URL de base de l’API régionale Mimecast

L’ID de l’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié, peuvent être obtenus via la console d’administration Mimecast : Administration | Services | Intégrations d’API et de plateforme.

L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Groupe de ressources : vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser.
• Application Functions : vous devez disposer d’un Azure App inscrit pour que ce connecteur utilise

1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Configuration:

ÉTAPE 1 : Étapes de configuration de l’API Mimecast

Accédez à Portail Azure ---> inscriptions d'applications ---> [your_app] ---> Certificats & secrets ---> Nouveau secret client et créez un nouveau secret (enregistrez immédiatement la valeur dans un endroit sûr, car vous ne pourrez pas l’afficher ultérieurement).

ÉTAPE 2 : Déployer mimecast API Connector

IMPORTANT: Avant de déployer le connecteur d’API Mimecast, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que de la ou des clés d’autorisation de l’API Mimecast ou du jeton.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Déployez mimecast Secure Email Gateway Data Connector :

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les champs suivants :

• appName : chaîne unique qui sera utilisée comme ID pour l’application dans Azure plateforme
• objectId : Portail Azure ---> Azure Active Directory ---> plus d’informations ---> Profil -----> ID d’objet
• appInsightsLocation(default) : westeurope
• mimecastEmail : adresse Email de l’utilisateur dédié pour cette intégraion
• mimecastPassword : mot de passe pour l’utilisateur dédié
• mimecastAppId : ID d’application de l’application Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAppKey : clé d’application de l’application Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAccessKey : clé d’accès pour l’utilisateur Mimecast dédié
• mimecastSecretKey : clé secrète pour l’utilisateur Mimecast dédié
• mimecastBaseURL : URL de base de l’API Mimecast régionale
• activeDirectoryAppId : Portail Azure ---> inscriptions d'applications ---> [your_app] ID d’application --->
• activeDirectoryAppSecret : Portail Azure --- inscriptions d'applications --->> [your_app] ---> certificats & secrets ---> [your_app_secret]
• workspaceId : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents --- ID d’espace> de travail (ou vous pouvez copier workspaceId à partir de ci-dessus)
• workspaceKey : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> Clé primaire (ou vous pouvez copier workspaceKey à partir de ci-dessus)
• AppInsightsWorkspaceResourceID : Portail Azure ---> espaces de travail Log Analytics ---> [Votre espace de travail] ---> Propriétés ---> ID de ressource

Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

6. Accédez à Portail Azure ---> Groupes de ressources ---> [your_resource_group] ---> [appName](type : Compte de stockage) ---> Explorateur Stockage ---> CONTENEURS BLOB ---> points de contrôle SIEM ---> Charger et créer un fichier vide sur votre ordinateur nommé checkpoint.txt, dlp-checkpoint.txt et le sélectionner pour le chargement (cela permet de stocker date_range pour les journaux SIEM dans un état cohérent)

---

Mimecast Targeted Threat Protection

Pris en charge par :Mimecast

Le connecteur de données pour Mimecast Targeted Threat Protection offre aux clients une visibilité sur les événements de sécurité liés aux technologies d’inspection protection ciblée contre les menaces dans Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord précréés pour permettre aux analystes d’afficher des informations sur les menaces basées sur les e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse d’investigation associés aux fonctionnalités d’alerte personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants :

• Protection des URL
• Protection contre l’emprunt d’identité
• Protection des pièces jointes

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Ttp_Url_CL	Oui	Oui
Ttp_Attachment_CL	Oui	Oui
Ttp_Impersonation_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans Microsoft Entra ID et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API dans la référence de l’API REST

Instructions d’installation :

Groupe de ressources

Vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser.

Application Functions

Vous devez disposer d’un Azure App inscrit pour que ce connecteur utilise

1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes d’inscription de l’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution de Mimecast Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 2 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de Mimecast Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise comme paramètre de configuration pour l’exécution de Mimecast Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 3 : Obtenir l’ID d’objet de votre application dans Microsoft Entra ID

Après avoir créé l’inscription de votre application, suivez les étapes de cette section pour obtenir l’ID d’objet :

1. Allez à Microsoft Entra ID.
2. Sélectionnez Applications d’entreprise dans le menu de gauche.
3. Recherchez votre application nouvellement créée dans la liste (vous pouvez effectuer une recherche par le nom que vous avez fourni).
4. Cliquez sur l’application.
5. Dans la page vue d’ensemble, copiez l’ID d’objet. Il s’agit de l’AzureEntraObjectId nécessaire pour l’attribution de rôle de votre modèle ARM.

ÉTAPE 4 : Déployer mimecast API Connector

IMPORTANT: Avant de déployer le connecteur d’API Mimecast, disposez de la ou des clés d’autorisation de l’API Mimecast ou du jeton, facilement disponibles.

modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Mimecast Targeted Threat Protection Data.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région par défaut.

3. Entrez les informations ci-dessous :

   a. Emplacement : emplacement dans lequel les règles de collecte de données et les points de terminaison de collecte de données doivent être déployés

   b. WorkspaceName : entrez Microsoft Sentinel nom d’espace de travail de l’espace de travail Log Analytics

   c. AzureClientID : entrez Azure’ID client que vous avez créé lors de l’inscription de l’application

   d. AzureClientSecret : entrez Azure clé secrète client que vous avez créée lors de la création de la clé secrète client

   e. AzureTenantID : entrez Azure ID de locataire de votre Azure Active Directory

   f. AzureEntraObjectID : entrez l’ID d’objet de votre application Microsoft Entra

   g. MimecastBaseURL : entrez l’URL de base de l’API Mimecast 2.0 (par exemple https://api.services.mimecast.com, )

   h. MimecastClientID : entrez l’ID client Mimecast pour l’authentification

   i. MimecastClientSecret : entrez Mimecast Client Secret pour l’authentification

   j. StartDate : entrez la date de début au format « aaaa-mm-jj ». Si vous ne fournissez pas de date, les données des 60 derniers jours sont récupérées automatiquement. Vérifiez que la date est dans le passé et correctement mise en forme

   k. MimecastTTPAttachmentTableName : entrez le nom de la table utilisée pour stocker les données des pièces jointes TTP. La valeur par défaut est « Ttp_Attachment »

   L. MimecastTTPImpersonationTableName : entrez le nom de la table utilisée pour stocker les données d’emprunt d’identité TTP. La valeur par défaut est « Ttp_Impersonation »

   M. MimecastTTPUrlTableName : entrez le nom de la table utilisée pour stocker les données des pièces jointes TTP. La valeur par défaut est « Ttp_Url »

   ¡n. Planification : entrez une expression cron Quartz valide. (Exemple : 0 0 */1 * * *) Ne laissez pas la valeur vide, la valeur minimale est de 10 minutes

   L. LogLevel : ajoutez le niveau de journalisation ou la valeur de gravité du journal. Par défaut, il est défini sur INFO

   O. AppInsightsWorkspaceResourceId : migrez Application Insights classique vers l’espace de travail Log Analytics, qui sera mis hors service le 29 février 2024. Utilisez le panneau « Log Analytics Workspace-->Properties » avec la valeur de propriété « ID de ressource ». Il s’agit d’un resourceId complet au format « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} »

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

---

Mimecast Targeted Threat Protection (à l’aide de Azure Functions)

Pris en charge par :Mimecast

Le connecteur de données pour Mimecast Targeted Threat Protection offre aux clients une visibilité sur les événements de sécurité liés aux technologies d’inspection protection ciblée contre les menaces dans Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord précréés pour permettre aux analystes d’afficher des informations sur les menaces basées sur les e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse d’investigation associés aux fonctionnalités d’alerte personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants :

• Protection des URL
• Protection contre l’emprunt d’identité
• Protection des pièces jointes

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
MimecastTTPUrl_CL	Non	Non
MimecastTTPAttachment_CL	Non	Non
MimecastTTPImpersonation_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : vous devez disposer des informations suivantes pour configurer l’intégration :
• mimecastEmail : adresse Email d’un utilisateur administrateur Mimecast dédié
• mimecastPassword : mot de passe de l’utilisateur administrateur Mimecast dédié
• mimecastAppId : ID d’application d’API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAppKey : Clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié
• mimecastSecretKey : clé secrète pour l’utilisateur administrateur Mimecast dédié
• mimecastBaseURL : URL de base de l’API régionale Mimecast

L’ID de l’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié, peuvent être obtenus via la console d’administration Mimecast : Administration | Services | Intégrations d’API et de plateforme.

L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Instructions d’installation :

Groupe de ressources

Vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser.

Application Functions

Vous devez disposer d’un Azure App inscrit pour que ce connecteur utilise

1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client

NOTE: Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Configuration:

ÉTAPE 1 : Étapes de configuration de l’API Mimecast

Accédez à Portail Azure ---> inscriptions d'applications ---> [your_app] ---> Certificats & secrets ---> Nouveau secret client et créez un nouveau secret (enregistrez immédiatement la valeur dans un endroit sûr, car vous ne pourrez pas l’afficher ultérieurement).

ÉTAPE 2 : Déployer mimecast API Connector

IMPORTANT: Avant de déployer le connecteur d’API Mimecast, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que de la ou des clés d’autorisation de l’API Mimecast ou du jeton.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Déployez mimecast Targeted Threat Protection Data Connector :

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les champs suivants :

• appName : chaîne unique qui sera utilisée comme ID pour l’application dans Azure plateforme
• objectId : Portail Azure ---> Azure Active Directory ---> plus d’informations ---> Profil -----> ID d’objet
• appInsightsLocation(default) : westeurope
• mimecastEmail : adresse Email de l’utilisateur dédié pour cette intégraion
• mimecastPassword : mot de passe pour l’utilisateur dédié
• mimecastAppId : ID d’application de l’application Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAppKey : clé d’application de l’application Microsoft Sentinel inscrite auprès de Mimecast
• mimecastAccessKey : clé d’accès pour l’utilisateur Mimecast dédié
• mimecastSecretKey : clé secrète pour l’utilisateur Mimecast dédié
• mimecastBaseURL : URL de base de l’API Mimecast régionale
• activeDirectoryAppId : Portail Azure ---> inscriptions d'applications ---> [your_app] ID d’application --->
• activeDirectoryAppSecret : Portail Azure --- inscriptions d'applications --->> [your_app] ---> certificats & secrets ---> [your_app_secret]
• workspaceId : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents --- ID d’espace> de travail (ou vous pouvez copier workspaceId à partir de ci-dessus)
• workspaceKey : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> Clé primaire (ou vous pouvez copier workspaceKey à partir de ci-dessus)
• AppInsightsWorkspaceResourceID : Portail Azure ---> espaces de travail Log Analytics ---> [Votre espace de travail] ---> Propriétés ---> ID de ressource

Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

6. Accédez à Portail Azure ---> Groupes de ressources ---> [your_resource_group] ---> [appName](type : Compte de stockage) ---> Explorateur Stockage ---> CONTENEURS BLOB ---> points de contrôle TTP ---> Charger et créer des fichiers vides sur votre ordinateur nommé attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt, puis sélectionnez-les pour le chargement (cela permet de stocker les date_range pour les journaux TTP dans un état cohérent)

---

MISP2Sentinel

Pris en charge par :Community

Cette solution installe le connecteur MISP2Sentinel qui vous permet d’envoyer automatiquement des indicateurs de menace de MISP à Microsoft Sentinel via l’API REST Upload Indicators. Après avoir installé la solution, configurez et activez ce connecteur de données en suivant les instructions de la vue Gérer la solution.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Instructions d’installation et d’installation

Utilisez la documentation de ce référentiel GitHub pour installer et configurer le misp pour Microsoft Sentinel connecteur :

https://github.com/cudeso/misp2sentinel

---

Journaux MongoDB Atlas

Pris en charge par :MongoDB

Le connecteur MongoDBAtlas Logs permet de charger des journaux de base de données MongoDB Atlas dans Microsoft Sentinel via l’API d’administration MongoDB Atlas. Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur permet d’obtenir une plage de messages de journal de base de données pour les hôtes et le projet spécifiés.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
MDBALogTable_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : l’ID client et la clé secrète client du compte de service MongoDB Atlas sont requis. Pour plus d’informations, consultez Création d’un compte de service.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à « MongoDB Atlas » afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Vérifiez que l’espace de travail est ajouté à Microsoft Sentinel avant de déployer le connecteur.

ÉTAPE 1 : Étapes de configuration de l’API d’administration MongoDB Atlas

1. Suivez ces instructions pour créer un compte de service MongoDB Atlas.
2. Copiez l’ID client et la clé secrète client que vous avez créés, ainsi que l’ID de groupe (projet) et chaque ID de cluster (nom d’hôte) requis pour les étapes ultérieures.
3. Pour plus d’informations, consultez la documentation de l’API MongoDB Atlas .
4. La clé secrète client peut être passée dans le connecteur via un coffre de clés Azure ou directement dans le connecteur.
5. Si vous souhaitez utiliser l’option de coffre de clés, créez un coffre de clés, à l’aide d’une stratégie d’accès au coffre, avec un secret nommé mongodb-client-secret et votre clé secrète client enregistrée en tant que valeur de secret.

ÉTAPE 2 : Déployer le connecteur « MongoDB Atlas Logs » et la fonction Azure associée

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   portal.azure.com

ÉTAPE 3 : Définir les paramètres du connecteur

1. Sélectionnez l’abonnement préféré et un groupe de ressources existant.
2. Entrez un ID de ressource d’espace de travail Log Analytics existant appartenant au groupe de ressources.
3. Cliquez sur Suivant
4. Entrez l’ID de groupe MongoDB, une liste de 10 ID de cluster MongoDB, chacun sur une ligne distincte, et l’ID client MongoDB.
5. Choisissez la méthode d’authentification clé secrète client et copiez la valeur de votre clé secrète client ou Key Vault et copiez le nom de votre coffre de clés. Cliquez sur Suivant
6. Passez en revue les filtres MongoDB. Sélectionnez les journaux dans au moins une catégorie. Cliquez sur Suivant
7. Passez en revue la planification. Cliquez sur Suivant
8. Passez en revue les paramètres, puis cliquez sur Créer.

---

MuleSoft Cloudhub (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données MuleSoft Cloudhub permet de récupérer des journaux d’activité à partir d’applications Cloudhub à l’aide de l’API Cloudhub et d’autres événements dans Microsoft Sentinel via l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
MuleSoft_Cloudhub_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername et MuleSoftPassword sont nécessaires pour effectuer des appels d’API.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Stockage Blob Azure afin d’extraire des journaux dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure coûts. Pour plus d’informations, consultez la page de tarification Azure Functions et Stockage Blob Azure page de tarification.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu MuleSoftCloudhub qui est déployé avec la solution Microsoft Sentinel.

Remarque : ce connecteur de données récupère uniquement les journaux de l’application CloudHub à l’aide de l’API de plateforme et non de l’application CloudHub 2.0

ÉTAPE 1 : Étapes de configuration de l’API MuleSoft Cloudhub

Suivez les instructions pour obtenir les informations d’identification.

1. Obtenez muleSoftEnvId, MuleSoftAppName, MuleSoftUsername et MuleSoftPassword à l’aide de la documentation.
2. Enregistrez les informations d’identification à utiliser dans le connecteur de données.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données MuleSoft Cloudhub, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données MuleSoft Cloudhub à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez muleSoftEnvId, MuleSoftAppName, MuleSoftUsername et MuleSoftPassword , puis déployez. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données MuleSoft Cloudhub avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, MuleSoftXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Protection NC

Pris en charge par :archTIS

NC Protect Data Connector (archtis.com) permet d’ingérer des journaux d’activité et des événements utilisateur dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les journaux d’activité et les événements d’activité des utilisateurs de protection des utilisateurs dans Microsoft Sentinel pour améliorer les fonctionnalités de surveillance et d’investigation

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
NCProtectUAL_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• NC Protect : vous devez disposer d’un instance en cours d’exécution de NC Protect pour O365. Contactez-nous.

Instructions d’installation :

1. Installer NC Protect dans votre location Azure
2. Connectez-vous au site d’administration nc Protect
3. Dans le menu de navigation de gauche, sélectionnez Général -> Surveillance de l’activité utilisateur
4. Cochez la case Activer SIEM, puis cliquez sur le bouton Configurer
5. Sélectionnez Microsoft Sentinel comme Application et terminez la configuration à l’aide des informations ci-dessous.
6. Cliquez sur Enregistrer pour activer la connexion.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Alertes et événements Netskope

Pris en charge par :Netskope

Alertes et événements de sécurité Netskope

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
NetskopeAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• URL de l’organisation Netskope : le connecteur de données Netskope vous oblige à fournir l’URL de votre organisation. Vous pouvez trouver l’URL de votre organisation en vous connectant au portail Netskope.
• Clé API Netskope : le connecteur de données Netskope vous oblige à fournir une clé API valide. Vous pouvez en créer un en suivant la documentation netskope.

Instructions d’installation :

ÉTAPE 1 : créer une clé API Netskope.

Suivez la documentation netskope pour obtenir des conseils sur cette étape.

ÉTAPE 2 : Entrer les détails de votre produit Netskope

Entrez l’URL de votre organisation Netskope & jeton d’API ci-dessous :

• URL de l’organisation : (Entrez l’URL de votre organisation)
• Clé API : (Entrez votre clé API) FACULTATIF : spécifiez l’index utilisé par l’API.

La configuration de l’index est facultative et requise uniquement dans les scénarios avancés. Netskope utilise un index pour récupérer des événements. Dans certains cas avancés (consommation de l’événement dans plusieurs espaces de travail Microsoft Sentinel ou pré-fatiguation de l’index pour récupérer uniquement les données récentes), un client peut souhaiter avoir un contrôle direct sur l’index.

• Index : (NetskopeCCF)

ÉTAPE 3 - Cliquez sur Se connecter

Vérifiez que tous les champs ci-dessus ont été renseignés correctement. Appuyez sur Se connecter pour connecter Netskope à Microsoft Sentinel.

• Activer/désactiver la connexion

---

Netskope Data Connector

Pris en charge par :Netskope

Le connecteur de données Netskope fournit les fonctionnalités suivantes :

1. NetskopeToAzureStorage :

• Obtenez les données Netskope Alerts and Events à partir de Netskope et ingérer dans Azure stockage. 2. StorageToSentinel :
• Obtenez les données Netskope Alerts and Events à partir de Azure stockage et d’ingestion dans la table de journaux personnalisée dans l’espace de travail Log Analytics. 3. WebTxMetrics :
• Récupérez les données WebTxMetrics de Netskope et ingérer dans une table de journaux personnalisée dans l’espace de travail Log Analytics.

Pour plus d’informations sur les API REST, consultez la documentation ci-dessous :

1. Documentation de l’API Netskope :

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure documentation sur le stockage : /azure/storage/common/storage-introduction 3. Documentation Microsoft Log Analytics : /azure/azure-monitor/logs/log-analytics-overview

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
alertscompromisedcredentialdata_CL	Non	Non
alertsctepdata_CL	Non	Non
alertsdlpdata_CL	Non	Non
alertsmalsitedata_CL	Non	Non
alertsmalwaredata_CL	Non	Non
alertspolicydata_CL	Non	Non
alertsquarantinedata_CL	Non	Non
alertsremediationdata_CL	Non	Non
alertssecurityassessmentdata_CL	Non	Non
alertsubadata_CL	Non	Non
eventsapplicationdata_CL	Non	Non
eventsauditdata_CL	Non	Non
eventsconnectiondata_CL	Non	Non
eventsincidentdata_CL	Non	Non
eventsnetworkdata_CL	Non	Non
eventspagedata_CL	Non	Non
Netskope_WebTx_metrics_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans azure active directory() et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : Netskope Tenant et Netskope API Token sont requis. Consultez la documentation pour en savoir plus sur l’API dans les informations de référence sur l’API Rest

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter aux API Netskope afin d’extraire ses données d’alertes et d’événements dans une table de journal personnalisée. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes d’inscription de l’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution du playbook TriggersSync.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 2 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution du playbook TriggersSync. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution du playbook TriggersSync.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 3 : Attribuer le rôle contributeur à l’application dans Microsoft Entra ID

Suivez les étapes de cette section pour attribuer le rôle :

1. Dans le Portail Azure, accédez à Groupe de ressources et sélectionnez votre groupe de ressources.
2. Accédez à Contrôle d’accès (IAM) à partir du volet gauche.
3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
6. Cliquez sur Ajouter des membres, tapez le nom de votre application que vous avez créée et sélectionnez-la.
7. Cliquez maintenant sur Vérifier + attribuer, puis cliquez à nouveau sur Vérifier + attribuer.

Lien de référence :/azure/role-based-access-control/role-assignments-portal

ÉTAPE 4 : Étapes de création/d’obtention des informations d’identification pour le compte Netskope

Suivez les étapes de cette section pour créer/obtenir le nom d’hôte Netskope et le jeton d’API Netskope :

1. Connectez-vous à votre locataire Netskope et accédez au menu Paramètres dans la barre de navigation de gauche.
2. Cliquez sur Outils, puis sur API REST v2
3. À présent, cliquez sur le bouton Nouveau jeton. Ensuite, il vous demandera le nom du jeton, la durée d’expiration et les points de terminaison à partir lesquels vous souhaitez extraire les données.
4. Une fois cette opération effectuée, cliquez sur le bouton Enregistrer, le jeton est généré. Copiez le jeton et enregistrez-le dans un emplacement sécurisé pour une utilisation ultérieure.

ÉTAPE 5 : Étapes de création des fonctions azure pour la collecte de données d’alertes et d’événements Netskope

IMPORTANT: Avant de déployer le connecteur de données Netskope, disposez de l’ID de l’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiées à partir de ce qui suit), ainsi que de la ou des clés d’autorisation de l’API Netskope.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

À l’aide du modèle ARM, déployez les applications de fonction pour l’ingestion des événements netskope et des données d’alertes sur Sentinel.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les informations ci-dessous : Netskope HostName Netskope API Token Sélectionnez Oui dans la liste déroulante Alertes et types d’événements pour le point de terminaison que vous souhaitez extraire les alertes et les événements Clé d’espace de travail d’ID de l’espace de travail au niveau du journal

4. Cliquez sur Vérifier+Créer.

5. Ensuite, après la validation, cliquez sur Créer pour déployer.

---

Netskope Web Transaction Connector (via Stockage Blob)

Pris en charge par :Netskope

Le connecteur Netskope Web Transaction ingère les journaux des transactions web de Netskope Log Streaming dans Microsoft Sentinel via Stockage Blob Azure à l’aide du CCF (Codeless Connector Framework).

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
NetskopeWebTransactions_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations d’abonnement : vous avez besoin d’autorisations pour créer les ressources de flux de données :
• files d’attente de stockage (file d’attente de notification et file d’attente de lettres mortes)
• Rubrique et abonnement Event Grid (pour envoyer des notifications « événement créé par un objet blob » à la file d’attente de notification)
• attributions de rôles (pour accorder l’accès à Microsoft Sentinel application au conteneur d’objets blob et aux files d’attente de stockage.)
• Configuration du réseau du compte de stockage : les restrictions réseau (règles de pare-feu/IP) sur le compte Stockage Blob Azure ne sont pas prises en charge pour ce connecteur en raison de Azure restrictions et limitations du pare-feu de stockage :
• Les règles de réseau IPn’ont aucun effetsur les demandes provenant de la même région Azure que le compte de stockage.
• Les règles de réseau IPne peuvent pas restreindrel’accès aux services Azure déployés dans la même région, car ces services utilisent des adresses IP Azure privées pour la communication.
• Les règles de point de terminaison de service de réseau virtuel ne s’appliquent pas aux clients dans une région jumelée.

Vérifiez que le panneau Mise en réseau du compte de stockage est défini sur Activé à partir de tous les réseaux.

• Attributions de rôles de compte de stockage : les rôles RBAC Azure suivants doivent être attribués au principal du service d’application d’entreprise Microsoft Sentinel (affiché ci-dessous) sur le compte de stockage qui contient votre conteneur d’objets blob :
• Contributeur aux données Blob du stockage : requis pour lire les données d’objets blob à partir du conteneur.
• Contributeur aux données de file d’attente de stockage : requis pour la gestion des messages de notification et de file d’attente de lettres mortes.

Pour attribuer ces rôles : accédez au compte de stockage → Access Control (IAM) → Ajouter une attribution de rôle, recherchez l’ID de principal de service indiqué ci-dessous et attribuez les deux rôles.

• Collecte de données de Netskope vers votre conteneur d’objets blob : suivez les étapes décrites dans la documentation Netskope Log Streaming pour configurer Netskope afin de diffuser en continu les journaux des transactions web vers votre conteneur Stockage Blob Azure.

Instructions d’installation :

Connecter netskope WebTx Logs à Microsoft Sentinel

Pour activer les journaux Netskope WebTx pour Microsoft Sentinel, fournissez les informations requises ci-dessous, puis cliquez sur Se connecter.

• URL du conteneur d’objets blob à partir de laquelle vous souhaitez collecter des données :
• Nom du dossier d’objets blob dans le conteneur. Facultatif.:
• Emplacement du compte de stockage du conteneur d’objets blob :
• Nom du groupe de ressources du compte de stockage du conteneur d’objets blob :
• ID d’abonnement au compte de stockage du conteneur d’objets blob :
• Nom de la rubrique Event Grid du compte de stockage du conteneur d’objets blob s’il existe. sinon, restez vide.:
• Activer/désactiver la connexion

---

Netskope Web Transactions Data Connector

Pris en charge par :Netskope

Le connecteur de données Netskope Web Transactions fournit les fonctionnalités d’une image Docker pour extraire les données Netskope Web Transactions de google pubsublite, traiter les données et ingérer les données traitées dans Log Analytics. Dans le cadre de ce connecteur de données, deux tables seront formées dans Log Analytics, l’une pour les données de transactions web et l’autre pour les erreurs rencontrées pendant l’exécution.

Pour plus d’informations sur les transactions web, consultez la documentation ci-dessous :

1. Documentation netskope Web Transactions :

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
NetskopeWebtxData_CL	Non	Non
NetskopeWebtxErrors_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans Microsoft Entra ID et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Compute : des autorisations de lecture et d’écriture sur Azure machines virtuelles sont requises. Pour plus d’informations, consultez Azure machines virtuelles.
• Informations d’identification et autorisations TransactionEvents : Le locataire Netskope et le jeton d’API Netskope sont requis. Pour plus d’informations, consultez Événements de transaction.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.

Instructions d’installation :

NOTE: Ce connecteur fournit la fonctionnalité d’ingestion des données Netskope Web Transactions à l’aide d’une image Docker à déployer sur une machine virtuelle (Azure machine virtuelle/machine virtuelle locale). Pour plus d’informations, consultez la page de tarification des machines virtuelles Azure.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes de création/d’obtention des informations d’identification pour le compte Netskope

Suivez les étapes de cette section pour créer/obtenir le nom d’hôte Netskope et le jeton d’API Netskope :

1. Connectez-vous à votre locataire Netskope et accédez au menu Paramètres dans la barre de navigation de gauche.
2. Cliquez sur Outils, puis sur API REST v2
3. À présent, cliquez sur le bouton Nouveau jeton. Ensuite, il vous demandera le nom du jeton, la durée d’expiration et les points de terminaison à partir lesquels vous souhaitez extraire les données.
4. Une fois cette opération effectuée, cliquez sur le bouton Enregistrer, le jeton est généré. Copiez le jeton et enregistrez-le dans un emplacement sécurisé pour une utilisation ultérieure.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur de données basé sur Docker afin d’ingérer des données Netskope Web Transactions

IMPORTANT: Avant de déployer le connecteur de données Netskope, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiées à partir de ce qui suit), ainsi que de la ou des clés d’autorisation de l’API Netskope [Vérifiez que le jeton dispose d’autorisations pour les événements de transaction].

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : Utilisation d’un modèle Azure Resource Manager (ARM) pour déployer une machine virtuelle [Recommandé]

À l’aide du modèle ARM, déployez une machine virtuelle Azure, installez les prérequis et démarrez l’exécution.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les informations ci-dessous : Nom de l’image Docker (mgulledge/netskope-microsoft-sentinel-plugin :netskopewebtransactions) Netskope HostName Netskope API Token Seek Timestamp (Timestamp d’époque que vous souhaitez rechercher le pointeur pubsublite, peut être laissé vide) Nombre de nouvelles tentatives de la clé de l’espace de travail Id de l’espace de travail Nombre de nouvelles tentatives (Nombre de nouvelles tentatives pour les erreurs liées au jeton avant le redémarrage de l’exécution.)
   Délai de veille d’interruption (nombre de secondes à mettre en veille avant nouvelle tentative) Délai d’inactivité (nombre de secondes à attendre pour les données des transactions web avant de redémarrer l’exécution) Type d’authentification du nom de la machine virtuelle Administration mot de passe ou d’étiquette DNS de clé Préfixe de la version du système d’exploitation Ubuntu Taille de la machine virtuelle Nom du groupe de sécurité réseau Nom du groupe de sécurité réseau Type de sécurité

4. Cliquez sur Vérifier+Créer.

5. Ensuite, après la validation, cliquez sur Créer pour déployer.

Option 2 : Déploiement manuel sur une machine virtuelle créée précédemment

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données docker sur une machine virtuelle créée précédemment.

1. Installer docker et extraire une image docker

NOTE: Assurez-vous que la machine virtuelle est basée sur Linux (de préférence Ubuntu).

1. Tout d’abord, vous devez connecter ssh à la machine virtuelle.

2. Maintenant, installez le moteur Docker.

3. À présent, extrayez l’image Docker à partir du hub docker à l’aide de la commande « sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin :netskopewebtransactions ».

4. Maintenant, pour exécuter l’image docker, utilisez la commande : « sudo docker run -it -v $(pwd)/docker_persistent_volume :/app mgulledge/netskope-microsoft-sentinel-plugin :netskopewebtransactions ». Vous pouvez remplacer mgulledge/netskope-microsoft-sentinel-plugin :netskopewebtransactions par l’ID d’image. Ici, docker_persistent_volume est le nom du dossier qui serait créé sur la machine virtuelle dans laquelle les fichiers seront stockés.

5. Configurer les paramètres

6. Une fois l’image Docker en cours d’exécution, elle demande les paramètres requis.

7. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (respectant la casse) : Netskope HostName Netskope API Token Seek Timestamp (L’horodatage d’époque que vous souhaitez rechercher le pointeur pubsublite, peut être laissé vide) Id d’espace de travail Nombre de nouvelles tentatives d’interruption de l’espace de travail (Nombre de nouvelles tentatives pour les erreurs liées au jeton avant le redémarrage de l’exécution.)
   Temps de veille d’interruption (nombre de secondes à mettre en veille avant de réessayer) Délai d’inactivité (nombre de secondes à attendre pour les données des transactions web avant de redémarrer l’exécution)

8. L’exécution a démarré, mais elle est en mode interactif, de sorte que l’interpréteur de commandes ne peut pas être arrêté. Pour l’exécuter en tant que processus en arrière-plan, arrêtez l’exécution actuelle en appuyant sur Ctrl+C, puis utilisez la commande « sudo docker run -d -v $(pwd)/docker_persistent_volume :/app mgulledge/netskope-microsoft-sentinel-plugin :netskopewebtransactions ».

9. Arrêter le conteneur Docker

10. Utilisez la commande « sudo docker container ps » pour répertorier les conteneurs Docker en cours d’exécution. Notez votre ID de conteneur.

11. Maintenant, arrêtez le conteneur à l’aide de la commande « sudo docker stop <container-id> ».

---

Groupes de sécurité réseau

Pris en charge par :Microsoft Corporation

Azure les groupes de sécurité réseau (NSG) vous permettent de filtrer le trafic réseau vers et depuis Azure ressources dans un réseau virtuel Azure. Un groupe de sécurité réseau inclut des règles qui autorisent ou refusent le trafic vers un sous-réseau de réseau virtuel, une interface réseau ou les deux.

Lorsque vous activez la journalisation pour un groupe de sécurité réseau, vous pouvez collecter les types d’informations de journal des ressources suivants :

• Événement: Les entrées sont journalisées pour lesquelles des règles de groupe de sécurité réseau sont appliquées aux machines virtuelles, en fonction de l’adresse MAC.
• Compteur de règles : Contient des entrées pour le nombre de fois où chaque règle de groupe de sécurité réseau est appliquée pour refuser ou autoriser le trafic. Les status de ces règles sont collectées toutes les 300 secondes.

Ce connecteur vous permet de diffuser en continu vos journaux de diagnostics de groupe de sécurité réseau dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité dans toutes vos instances. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
AzureDiagnostics	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

NordPass

Pris en charge par :NordPass

L’intégration de NordPass à Microsoft Sentinel SIEM via l’API vous permet de transférer automatiquement les données du journal d’activité de NordPass vers Microsoft Sentinel et d’obtenir des informations en temps réel, telles que l’activité des éléments, toutes les tentatives de connexion et les notifications de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
NordPassEventLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Vérifiez que le groupe de ressources et l’espace de travail Log Analytics sont créés et situés dans la même région afin de pouvoir déployer le Azure Functions.
• Ajoutez Microsoft Sentinel à l’espace de travail Log Analytics créé.
• Générez une URL et un jeton d’API Microsoft Sentinel dans le panneau de Administration NordPass pour terminer l’intégration Azure Functions. Notez que vous aurez besoin du compte NordPass Enterprise pour cela.
• Important: Ce connecteur utilise Azure Functions pour récupérer les journaux d’activité de NordPass dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, reportez-vous à la page de tarification Azure Functions.

Instructions d’installation :

Pour poursuivre la configuration Microsoft Sentinel

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Notez qu’après le déploiement réussi, le système extrait les données du journal d’activité toutes les 1 minute par défaut.

---

Connecteur de partage de données Obsidian

Pris en charge par :Obsidian Security

Le connecteur de partage de données Obsidian permet de lire des données d’événement brutes à partir du partage de données Obsidian dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ObsidianActivity_CL	Non	Non
ObsidianThreat_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Ce connecteur lit les données des tables utilisées par Obsidian Datasharing dans un espace de travail Microsoft Analytics. Si l’option de transfert de données est activée dans Obsidian Datasharing, les données d’événement brutes sont envoyées à l’API d’ingestion Microsoft Sentinel.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création de tables Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Envoyer vos journaux dans l’espace de travail

Utilisez les paramètres suivants pour configurer votre machine afin qu’elle envoie les journaux à l’espace de travail.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• Nom du Stream de l’activité : <valeur de variable fournie au moment de l’installation>
• Nom du Stream de la menace : <valeur de variable fournie au moment de l’installation>

---

Okta Single Sign-On (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Okta Single Sign-On (SSO) permet d’ingérer des journaux d’audit et d’événements de l’API Okta Sysem Log dans Microsoft Sentinel. Le connecteur de données repose sur Microsoft Sentinel framework de connecteur sans code et utilise l’API Okta System Log pour extraire les événements. Le connecteur prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité reçues dans des colonnes personnalisées afin que les requêtes n’ont pas besoin de les analyser à nouveau, ce qui améliore les performances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OktaSSO	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Jeton d’API Okta : jeton d’API Okta. Suivez les instructions suivantes pour créer un Consultez la documentation pour en savoir plus sur l’API de journal système Okta.

Instructions d’installation :

Pour activer le Sign-On unique Okta pour Microsoft Sentinel, fournissez les informations requises ci-dessous, puis cliquez sur Se connecter.

• Grille des connecteurs de données (configurer dans le portail)

---

Onapsis Defend : intégrer la détection des menaces SAP sans correspondance & Intel à Microsoft Sentinel

Pris en charge par :Onapsis

Donnez aux équipes de sécurité une visibilité approfondie de l’activité d’exploit unique, de zéro jour et d’acteur de menace ; comportement suspect d’un utilisateur ou d’un initié ; téléchargements de données sensibles ; violations de contrôle de sécurité ; et bien plus encore - le tout enrichi par les experts SAP chez Onapsis.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Onapsis_Defend_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle Éditeur de métriques de surveillance sur les règles de collecte de données. Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur.

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Nous allons créer des ressources de règle de collecte de données (DCR) et de point de terminaison de collecte de données (DCE). Nous allons également créer une inscription d’application Microsoft Entra et lui attribuer les autorisations requises.

Le déploiement automatisé des ressources Azure en cliquant sur « Déployer les ressources du connecteur Push » déclenche la création de ressources DCR et DCE. Il crée ensuite une inscription d’application Microsoft Entra avec une clé secrète client et accorde des autorisations sur la DCR. Cette configuration permet d’envoyer les données de manière sécurisée à la DCR à l’aide des informations d’identification d’un client OAuth v2.

2. Conserver les détails du point de terminaison de collecte de données et les informations d’authentification dans Onapsis Defend Integration

Partagez l’URL du point de terminaison de collecte de données et les informations d’authentification avec l’administrateur Onapsis Defend Integration pour configurer Onapsis Defend Integration pour envoyer des données au point de terminaison de collecte de données.

• ID de locataire | Utilisez cette valeur pour configurer en tant qu’ID de locataire : <valeur de variable fournie au moment de l’installation>
• ID d’application Entra | Utilisez cette valeur pour l’ID client : <valeur de variable fournie au moment de l’installation>
• secret d’application Entra | Utilisez cette valeur pour la valeur de variable Token : <fournie au moment de l’installation>
• LogIngestionURL | Utilisez cette valeur pour le paramètre URL : <valeur de variable fournie au moment de l’installation>
• ID immuable DCR | Utilisez cette valeur pour le paramètre DCR_ID : <valeur de variable fournie au moment de l’installation>

---

Plateforme IAM OneLogin (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données OneLogin permet d’ingérer des événements oneLogin IAM Platform courants dans Microsoft Sentinel via l’API REST à l’aide de l’API Événements OneLogin et de l’API Utilisateurs OneLogin. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OneLoginEventsV2_CL	Oui	Oui
OneLoginUsersV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Informations d’identification de l’API OneLogin IAM : pour créer des informations d’identification d’API, suivez le lien de document fourni ici, cliquez ici. Veillez à avoir un type de compte de propriétaire de compte ou d’administrateur pour créer les informations d’identification de l’API. Une fois que vous avez créé les informations d’identification de l’API, vous obtenez votre ID client et votre clé secrète client.

Instructions d’installation :

Connecter OneLogin IAM Platform à Microsoft Sentinel

Pour ingérer des données de OneLogin IAM vers Microsoft Sentinel, vous devez cliquer sur le bouton Ajouter un domaine ci-dessous, puis vous obtenez une fenêtre contextuelle pour renseigner les détails, fournir les informations requises, puis cliquer sur Se connecter. Vous pouvez voir les points de terminaison de domaine connectés dans la grille.

• Grille des connecteurs de données (configurer dans le portail)

---

OneTrust

Pris en charge par :OneTrust, LLC

Le connecteur OneTrust pour Microsoft Sentinel offre la possibilité d’avoir une visibilité en temps quasi réel de l’emplacement où les données sensibles ont été localisées ou corrigées dans Google Cloud et d’autres sources de données prises en charge par OneTrust.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OneTrustMetadataV3_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Ce connecteur lit les données des tables utilisées par OneTrust dans un espace de travail Microsoft Analytics. Si l’option de transfert de données de OneTrust est activée, les données d’événement brutes peuvent être envoyées à l’API d’ingestion Microsoft Sentinel.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création de tables Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Envoyer vos journaux dans l’espace de travail

Utilisez les paramètres suivants pour configurer votre machine afin qu’elle envoie les journaux à l’espace de travail.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• OneTrust Metadata Stream Name : <valeur de variable fournie au moment de l’installation>

---

Open Systems Data Connector

Pris en charge par :Open Systems

L’API Open Systems Logs Microsoft Sentinel Connector permet d’ingérer des journaux Open Systems dans Microsoft Sentinel à l’aide de l’API Open Systems Logs.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OpenSystemsZtnaLogs_CL	Oui	Oui
OpenSystemsFirewallLogs_CL	Non	Non
OpenSystemsAuthenticationLogs_CL	Non	Non
OpenSystemsProxyLogs_CL	Non	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Container Apps, DCR et DDES : les autorisations nécessaires pour déployer Azure Container Apps, les environnements managés, les règles de collecte de données (DCR) et les points de terminaison de collecte de données (DC) sont nécessaires. Cela est généralement couvert par le fait d’avoir le rôle « Contributeur » sur l’abonnement ou le groupe de ressources.
• Autorisations d’attribution de rôle : les autorisations permettant de créer des attributions de rôles (en particulier « Serveur de publication de métriques de surveillance » sur les DCR) sont requises pour le déploiement de l’utilisateur ou du principal de service.
• Informations d’identification requises pour le modèle ARM : lors du déploiement, vous devez fournir : Point de terminaison et chaîne de connexion de l’API Journaux des systèmes ouverts, ainsi que les informations d’identification du principal du service (ID client, clé secrète client, ID d’objet/principal).
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Conditions préalables personnalisées si nécessaire, sinon supprimez cette balise de douane : Description des prérequis personnalisés

Instructions d’installation :

ÉTAPE 1 : Conditions préalables

Vérifiez que vous disposez des informations et autorisations suivantes avant de continuer :

1. Ouvrez le point de terminaison de l’API Journaux des systèmes et la chaîne de connexion.
2. Informations d’identification du principal de service (ID client, clé secrète client, ID d’objet/principal).
3. Autorisations pour déployer Azure Container Apps, les environnements managés, les règles de collecte de données (DCR), les points de terminaison de collecte de données (DC) et créer des attributions de rôles (généralement un rôle « Contributeur » sur l’abonnement ou le groupe de ressources).

ÉTAPE 2 : Déployer le connecteur

Déployez le modèle ARM pour configurer les ressources de traitement des données, y compris la règle de collecte de données et les composants associés.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous. Cela vous amènera à la Portail Azure.

   aka.ms

2. Dans le Portail Azure, sélectionnez l’abonnement, le groupe de ressources et la région souhaités.

3. Fournissez les paramètres requis, y compris ceux collectés à l’étape des prérequis (détails de l’API Open Systems Logs, informations d’identification du principal de service, etc.), lorsque vous y êtes invité par l’Assistant Déploiement.

4. Passez en revue les termes, cliquez sur Vérifier + créer, puis sur Créer pour démarrer le déploiement.

ÉTAPE 3 : Vérification post-déploiement

Après un déploiement réussi :

1. Vérifiez que l’application conteneur Azure exécutant le processeur est dans un état « En cours d’exécution ».
2. Recherchez les données entrantes dans les OpenSystemsZtnaLogs_CLtables , OpenSystemsFirewallLogs_CLOpenSystemsAuthenticationLogs_CL, et OpenSystemsProxyLogs_CL de votre espace de travail Log Analytics. L’affichage des journaux après l’installation initiale peut prendre un certain temps.
3. Utilisez les exemples de requêtes fournis dans l’onglet « Étapes suivantes » de cette page de connecteur de données pour afficher et analyser vos journaux.

---

OpenAI (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données OpenAI vous permet d’ingérer des journaux d’audit, des données d’achèvement de conversation ou les deux à partir de votre organization OpenAI dans Microsoft Sentinel via l’API OpenAI. Chaque type de données utilise un pollinisateur d’API REST distinct et nécessite un type de clé API différent : les journaux d’audit (actions utilisateur, gestion des clés API, modifications organization, événements de sécurité) nécessitent une clé API d’administration de niveau organization, tandis que les achèvements de conversation (utilisation du modèle, consommation de jetons, métriques de performances) nécessitent une clé API au niveau du projet. Vous pouvez configurer un ou les deux types de données indépendamment. Les journaux d’audit sont collectés dans la table de OpenAIAuditLogs_CL personnalisée (alias de l’analyseur OpenAIAuditLogs). Les achèvements de conversation sont normalisés dans la table ASIM standard ASIM ASimAgentEventLogs (alias de l’analyseur OpenAIChatCompletions) pour la surveillance de la sécurité, l’analyse de la conformité et la surveillance de l’utilisation. Pour plus d’informations, reportez-vous à la documentation de l’API OpenAI .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OpenAIAuditLogs	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Accès à l’API OpenAI : chaque type de données nécessite un type de clé API différent. Une clé API d’administration de niveau organization est requise pour les journaux d’audit . Ceux-ci peuvent être créés dans vos paramètres de organization OpenAI. Une clé API au niveau du projet est requise pour les exécutions de conversation : celles-ci peuvent être créées sous un projet spécifique dans le tableau de bord OpenAI. Vous pouvez configurer les journaux d’audit, les achèvements de conversation ou les deux indépendamment.

Instructions d’installation :

Informations de connexion

Détails sur les connexions utilisées pour collecter des données à partir de l’API OpenAI.

• Journaux d’audit (OpenAIAuditLogs) :
• Utilisez des clés API d’administration de niveau organization.
• La journalisation d’audit doit être activée dans vos paramètres de organization OpenAI. Les propriétaires d’organisation peuvent accéder à OpenAI pour activer la journalisation d’auditOrganization settingsData retention>Data controls>.
• Une fois la journalisation d’audit OpenAI activée, elle ne peut pas être désactivée sans contacter le support OpenAI.
• Saisie semi-automatique de conversation (ASimAgentEventLogs) :
• Utilisez des clés API au niveau du projet.
• Seules les saisies semi-automatiques de conversation créées avec le store paramètre défini true sur seront collectées.
• Les achèvements de conversation sont normalisés dans la table standard ASimAgentEventLogs ASIM.
• La suppression des saisies semi-instantanées stockées pendant que ce connecteur est actif peut vous obliger à vous déconnecter et à vous reconnecter pour réinitialiser l’état de collecte de données.

Ajouter une connexion aux journaux d’audit OpenAI

Entrez vos informations d’identification d’API OpenAI pour collecter les données des journaux d’audit à partir de l’API OpenAI.

Ajouter une connexion de saisie semi-automatique de conversation OpenAI

Entrez vos informations d’identification d’API OpenAI pour collecter les données de saisie semi-automatique de conversation à partir de l’API OpenAI.

• Grille des connecteurs de données (configurer dans le portail)

---

Oracle Cloud Infrastructure (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Oracle Cloud Infrastructure (OCI) permet d’ingérer des journaux OCI à partir de Stream OCI dans Microsoft Sentinel à l’aide de l’API REST de streaming OCI.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OCI_LogsV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API de streaming OCI : l’accès à l’API de streaming OCI via une clé de signature API est requis.

Instructions d’installation :

Connectez-vous à l’API de streaming OCI pour commencer à collecter les journaux des événements dans Microsoft Sentinel

1. Connectez-vous à la console OCI et accédez au menu de navigation.
2. Dans le menu de navigation, accédez à « Analytique & AI » -> « Streaming ».
3. Cliquez sur « Créer Stream ».
4. Sélectionnez un « pool Stream » existant ou créez-en un.
5. Entrez les détails suivants :
   • « nom Stream »
   • « Rétention »
   • « Nombre de partitions »
   • « Taux d’écriture total »
   • « Taux de lecture total » (en fonction de votre volume de données)
6. Dans le menu de navigation, accédez à « Journalisation » -> « Connecteurs de service ».
7. Cliquez sur « Créer un connecteur de service ».
8. Entrez les détails suivants :
   • « Nom du connecteur »
   • « Description »
   • « Compartiment de ressources »
9. Sélectionnez « Source » : « Journalisation ».
10. Sélectionnez « Cible » : « Streaming ».
11. (Facultatif) Configurez « Groupe de journaux », « Filtres » ou utilisez une « requête de recherche personnalisée » pour diffuser uniquement les journaux requis.
12. Configurez « Cible » en sélectionnant le flux créé précédemment.
13. Cliquez sur « Créer ».
14. Suivez la documentation pour créer une clé privée et un fichier de configuration de clé API. Enregistrez le fichier Pem, l’expression secrète (facultatif, il n’est pas défini lors de l’utilisation de la console OCI pour générer la paire de clés de signature de l’API) et l’empreinte digitale dans un emplacement sécurisé pour une utilisation lors de la connexion.

• Grille des connecteurs de données (configurer dans le portail)

---

Alertes de sécurité Orca

Pris en charge par :Orca Security

Le connecteur Alertes de sécurité Orca vous permet d’exporter facilement les journaux d’alertes vers Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
OrcaAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Suivez les instructions pour intégrer les journaux d’alertes de sécurité Orca à Microsoft Sentinel.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Palo Alto Cortex XDR

Pris en charge par :Microsoft Corporation

Le connecteur de données Palo Alto Cortex XDR permet d’ingérer des journaux de l’API Palo Alto Cortex XDR dans Microsoft Sentinel. Le connecteur de données repose sur Microsoft Sentinel framework de connecteur sans code. Il utilise l’API Palo Alto Cortex XDR pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de les analyser à nouveau, ce qui améliore les performances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
PaloAltoCortexXDR_Incidents_CL	Oui	Oui
PaloAltoCortexXDR_Endpoints_CL	Oui	Oui
PaloAltoCortexXDR_Audit_Management_CL	Oui	Oui
PaloAltoCortexXDR_Audit_Agent_CL	Oui	Oui
PaloAltoCortexXDR_Alerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Étapes de configuration pour l’API Palo Alto Cortex XDR Suivez les instructions pour obtenir les informations d’identification. vous pouvez également suivre ce guide pour générer une clé API.

1. Récupérer l’URL de l’API 1.1. Connectez-vous à Palo Alto Cortex XDR [Console de gestion] avec Administration informations d’identification de l’utilisateur 1.2. Dans la [Console de gestion], cliquez sur [Paramètres] -> [Configurations] 1.3. Sous [Intégrations], cliquez sur [Clés API]. 1.4. Dans la page [Paramètres] cliquez sur [Copier l’URL de l’API] dans le coin supérieur droit.

2. Récupérer le jeton d’API 2.1. Connectez-vous à Palo Alto Cortex XDR [Console de gestion] avec Administration informations d’identification utilisateur 2.2. Dans la [Console de gestion], cliquez sur [Paramètres] -> [Configurations] 2.3. Sous [Intégrations], cliquez sur [Clés API]. 2.4. Dans la page [Paramètres], cliquez sur [Nouvelle clé] dans le coin supérieur droit. 2.5. Choisissez niveau de sécurité, rôle, Standard, puis cliquez sur [Générer] 2.6. Copiez le jeton d’API, une fois qu’il a généré le [ID de jeton d’API] se trouve sous la colonne ID

• URL de l’API de base : (https://api-example.xdr.au.paloaltonetworks.com)
• ID de clé API : (ID d’API)
• Jeton d’API : (jeton d’API)
• Activer/désactiver la connexion

---

Palo Alto Cortex Xpanse (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Palo Alto Cortex Xpanse ingère des alertes dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CortexXpanseAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter Palo Alto Xpanse à Microsoft Sentinel

Pour ingérer des données de Palo Alto Cortex Xpanse vers Microsoft Sentinel, cliquez sur Ajouter un domaine. Renseignez les informations requises dans la fenêtre contextuelle, puis cliquez sur Se connecter. Vous verrez des points de terminaison de domaine connectés dans la grille ci-dessous. Pour obtenir l’ID d’authentification et la clé API, accédez à Paramètres → Configuration → Intégrations → clés API dans le portail Cortex Xpanse et générez de nouvelles informations d’identification.

• Grille des connecteurs de données (configurer dans le portail)

---

Palo Alto Prisma Cloud CSPM (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Palo Alto Prisma Cloud CSPM vous permet de vous connecter à votre instance Palo Alto Prisma Cloud CSPM et d’ingérer des alertes (https://pan.dev/prisma-cloud/api/cspm/alerts/) & journaux d’audit(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
PaloAltoPrismaCloudAlertV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter les événements CSPM Palo Alto Prisma Cloud à Microsoft Sentinel

Pour plus d’informations sur l’obtention de la clé d’accès cloud Prisma, de la clé secrète et de l’URL de base, reportez-vous au tutoriel sur leconnecteur, fournissez les informations requises ci-dessous, puis cliquez sur Se connecter.

• Clé d’accès Prisma Cloud : (Entrez la clé d’accès)
• Clé secrète Prisma Cloud : (Entrez la clé secrète)
• URL de base prisma Cloud : (https://api2.eu.prismacloud.io)
• Activer/désactiver la connexion
• Grille des connecteurs de données (configurer dans le portail)

---

Palo Alto Prisma Cloud CWPP (à l’aide de l’API REST)

Pris en charge par :Microsoft Corporation

Le connecteur de données CWPP Palo Alto Prisma Cloud vous permet de vous connecter à votre instance CWPP Palo Alto Prisma Cloud et d’ingérer des alertes dans Microsoft Sentinel. Le connecteur de données repose sur l’infrastructure de connecteur sans code de Microsoft Sentinel et utilise l’API Prisma Cloud pour extraire les événements de sécurité et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité reçues dans des colonnes personnalisées afin que les requêtes n’ont pas besoin de les analyser à nouveau, ce qui améliore les performances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
PrismaCloudCompute_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Clé API PrismaCloudCompute : un nom d’utilisateur et un mot de passe de l’API CwPP Monitor Palo Alto Prisma Cloud sont requis. Pour plus d’informations, consultez API SIEM PrismaCloudCompute.

Instructions d’installation :

Connecter palo Alto Prisma Cloud CWPP Security Events à Microsoft Sentinel

Pour activer les événements de sécurité CWPP Palo Alto Prisma Cloud pour Microsoft Sentinel, fournissez les informations requises ci-dessous et cliquez sur Se connecter.

• Chemin d’accès à la console : (europe-west3.cloud.twistlock.com/{sasid})
• Clé d’accès Prisma (API) : (Clé d’accès Prisma (API))
• Secret : (Secret)
• Activer/désactiver la connexion

---

Pathlock Inc. : Détection des menaces et réponse pour SAP

Pris en charge par :Pathlock Inc.

L’intégration td &R (Pathlock Threat Detection and Response) à Microsoft Sentinel Solution pour SAP offre une visibilité unifiée et en temps réel des événements de sécurité SAP, ce qui permet aux organisations de détecter et d’agir sur les menaces dans tous les paysages SAP. Cette intégration prête à l’emploi permet aux centres d’opérations de sécurité (SOC) de mettre en corrélation les alertes spécifiques à SAP avec les données de télémétrie à l’échelle de l’entreprise, créant ainsi une intelligence actionnable qui connecte la sécurité informatique aux processus métier.

Le connecteur de Pathlock est spécialement conçu pour SAP et transfère uniquement les événements de sécurité par défaut, ce qui réduit le volume de données et le bruit tout en conservant la possibilité de transférer toutes les sources de journaux si nécessaire. Chaque événement est enrichi avec le contexte du processus métier, ce qui permet à Microsoft Sentinel Solution pour l’analytique SAP de distinguer les modèles opérationnels des menaces réelles et de hiérarchiser ce qui importe vraiment.

Cette approche axée sur la précision permet aux équipes de sécurité de réduire considérablement les faux positifs, de concentrer les investigations et d’accélérer le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR). La bibliothèque de Pathlock se compose de plus de 1 500 signatures de détection spécifiques à SAP sur plus de 70 sources de journaux, la solution découvre des comportements d’attaque complexes, des faiblesses de configuration et des anomalies d’accès.

En combinant l’intelligence du contexte métier à l’analytique avancée, Pathlock permet aux entreprises de renforcer la précision de la détection, de rationaliser les actions de réponse et de maintenir un contrôle continu dans leurs environnements SAP, sans ajouter de complexité ou de couches de supervision redondantes.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ABAPAuditLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle Éditeur de métriques de surveillance sur les règles de collecte de données. Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur.

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Nous allons créer des ressources de règle de collecte de données (DCR) et de point de terminaison de collecte de données (DCE). Nous allons également créer une inscription d’application Microsoft Entra et lui attribuer les autorisations requises.

Le déploiement automatisé des ressources Azure en cliquant sur « Déployer les ressources du connecteur Push » déclenche la création de ressources DCR et DCE. Il crée ensuite une inscription d’application Microsoft Entra avec une clé secrète client et accorde des autorisations sur la DCR. Cette configuration permet d’envoyer les données de manière sécurisée à la DCR à l’aide des informations d’identification d’un client OAuth v2.

2. Conservez les détails du point de terminaison de collecte de données et les informations d’authentification dans votre instance centrale des contrôles d’application de cybersécurité de Pathlock : détection et réponse aux menaces

Partagez l’URL du point de terminaison de collecte de données et les informations d’authentification avec l’administrateur pathlock pour configurer le transfert plug-and-play dans Threat Detection and Response afin d’envoyer des données au point de terminaison de collecte de données. N’hésitez pas à contacter Pathlock si une assistance est nécessaire.

• Utilisez cette valeur pour configurer en tant qu’ID de locataire dans les informations d’identification LogIngestionAPI. : <valeur de variable fournie au moment de l’installation>
• ID d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’application : <valeur de variable fournie au moment de l’installation>
• Utilisez cette valeur pour configurer le paramètre LogsIngestionURL lors du déploiement de la variable IFlow. : <valeur de variable fournie au moment de l’installation>
• ID immuable DCR : <valeur de variable fournie au moment de l’installation>

---

Journaux d’activité Perimeter 81

Pris en charge par :Perimeter 81

Le connecteur Perimeter 81 Activity Logs vous permet de connecter facilement vos journaux d’activité Perimeter 81 à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Perimeter81_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Notez les valeurs ci-dessous et suivez les instructions fournies ici pour connecter vos journaux d’activité Perimeter 81 à Microsoft Sentinel.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Dispositifs de phosphore

Pris en charge par :Phosphorus Inc.

Phosphorus Device Connector permet à Phosphorus d’ingérer des journaux de données d’appareil dans Microsoft Sentinel via l’API REST Phosphorus. Le connecteur fournit une visibilité sur les appareils inscrits dans Phosphore. Ce connecteur de données extrait les informations des appareils ainsi que ses alertes correspondantes.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Phosphorus_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Informations d’identification/autorisations de l’API REST : La clé API Phosphore est requise. Vérifiez que la clé API associée à l’utilisateur dispose des autorisations Gérer les paramètres activées.

Suivez ces instructions pour activer les autorisations Gérer les paramètres.

1. Se connecter à l’application Phosphorus
2. Accédez à « Paramètres » -> « Groupes »
3. Sélectionnez le groupe dont l’utilisateur d’intégration fait partie
4. Accédez à « Actions du produit » :> activez l’autorisation « Gérer les paramètres ».

Instructions d’installation :

ÉTAPE 1 : Étapes de configuration de l’API Phosphore

Suivez ces instructions pour créer une clé API Phosphore.

1. Connectez-vous à votre instance Phosphore
2. Accédez à Paramètres -> API
3. Si la clé API n’a pas encore été créée, appuyez sur le bouton Ajouter pour créer la clé API
4. La clé API peut maintenant être copiée et utilisée pendant la configuration du connecteur de l’appareil Phosphore

Connecter l’application Phosphore à Microsoft Sentinel

ÉTAPE 2 - Renseignez les détails ci-dessous

IMPORTANT: Avant de déployer le connecteur de données de l’appareil Phosphorus, disposez du nom de domaine de l’instance Phosphorus, ainsi que de la ou des clés API Phosphorus

---

Ping One (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Ce connecteur ingère les journaux d’activité d’audit de la plateforme PingOne Identity dans Microsoft Sentinel à l’aide d’une infrastructure de connecteur sans code.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
PingOne_AuditActivitiesV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter le connecteur Ping One à Microsoft Sentinel

Avant de vous connecter à PingOne, vérifiez que les conditions préalables suivantes sont remplies. Reportez-vous au document pour obtenir des instructions d’installation détaillées, notamment sur la façon d’obtenir les informations d’identification du client et l’ID d’environnement.

1. Informations d’identification du client Vous aurez besoin des informations d’identification du client, notamment votre ID client et votre clé secrète client.

2. ID d’environnement
   Pour générer un jeton et collecter des journaux à partir du point de terminaison des activités d’audit

• Grille des connecteurs de données (configurer dans le portail)

---

Connecteur de données Prancer

Pris en charge par :Prancer PenSuiteAI Integration

Prancer Data Connector offre la possibilité d’ingérer des données De prancer (CSPM)[https://docs.prancer.io/web/CSPM/] et PAC à traiter via Microsoft Sentinel. Pour plus d’informations, reportez-vous à la documentation de Prancer .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
prancer_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Inclure des conditions préalables personnalisées si la connectivité nécessite - sinon supprimer les coutumes : Description de tout prérequis personnalisé

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API REST Prancer afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

ÉTAPE 1 : Suivez la documentation sur le site de documentation prancer afin de configurer une analyse avec un connecteur cloud Azure.

ÉTAPE 2 : Une fois l’analyse créée, accédez au menu « Intégrations de troisième partie » pour l’analyse et sélectionnez Sentinel.

ÉTAPE 3 : Créer suivez l’Assistant Configuration pour sélectionner l’emplacement dans Azure les résultats doivent être envoyés.

ÉTAPE 4 : Les données doivent commencer à être alimentées dans Microsoft Sentinel à des fins de traitement.

---

Microsoft Defender Threat Intelligence Premium

Pris en charge par :Microsoft Corporation

Microsoft Sentinel vous permet d’importer des informations sur les menaces générées par Microsoft pour activer la surveillance, les alertes et la chasse. Utilisez ce connecteur de données pour importer des indicateurs de compromission (ICS) à partir de Premium Microsoft Defender Threat Intelligence (MDTI) dans Microsoft Sentinel. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL et des hachages de fichiers, etc. Remarque : Il s’agit d’un connecteur payant. Pour utiliser et ingérer des données à partir de celle-ci, achetez la référence SKU « ACCÈS API MDTI » dans l’Espace partenaires.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Proofpoint On Demand Email Security (via l’infrastructure de connecteur sans code)

Pris en charge par :Proofpoint, Inc.

Le connecteur de données Proofpoint On Demand Email Security offre la possibilité d’obtenir des données Proofpoint on Demand Email Protection, permet aux utilisateurs d’case activée la traçabilité des messages, la surveillance de l’activité des e-mails, des menaces et de l’exfiltration de données par des attaquants et des initiés malveillants. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir des fichiers journaux d’événements par incréments horaires pour l’activité récente.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ProofpointPODMailLog_CL	Oui	Oui
ProofpointPODMessage_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Informations d’identification/autorisations de l’API Websocket : ProofpointClusterID et ProofpointToken sont requis. Pour plus d’informations, consultez API.

Instructions d’installation :

Étapes de configuration de l’API Websocket Pod Proofpoint

L’API PoD Log n’autorise pas l’utilisation du même jeton pour plusieurs sessions en même temps. Vérifiez donc que votre jeton n’est utilisé nulle part.

Le service d’API Websocket Proofpoint nécessite une licence de transfert Syslog à distance. Reportez-vous à la documentation sur l’activation et l’case activée API PoD Log. Vous devez fournir votre ID de cluster et votre jeton de sécurité.

1. Récupérez l’ID de cluster 1.1. Connectez-vous au proofpoint [Console de gestion] avec Administration informations d’identification de l’utilisateur

   1.2. Dans la console de gestion, l’ID de cluster s’affiche dans le coin supérieur droit.

2. Récupérez le jeton d’API 2.1. Connectez-vous au proofpoint [Console de gestion] avec Administration informations d’identification de l’utilisateur

2.2. Dans la console de gestion, cliquez sur Paramètres -> Gestion des clés API

2.3. Sous Gestion des clés API, cliquez sur l’onglet Journalisation des poD .

2.4. Obtenir ou créer une clé API.

• ID du cluster : (cluster_id)
• Clé API : (clé API)
• Activer/désactiver la connexion

---

Proofpoint On Demand Email Security (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Proofpoint On Demand Email Security offre la possibilité d’obtenir des données Proofpoint on Demand Email Protection, permet aux utilisateurs d’case activée la traçabilité des messages, la surveillance de l’activité des e-mails, des menaces et de l’exfiltration de données par des attaquants et des initiés malveillants. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir des fichiers journaux d’événements par incréments horaires pour l’activité récente.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ProofpointPODMailLog_CL	Oui	Oui
ProofpointPODMessage_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Informations d’identification/autorisations de l’API Websocket : ProofpointClusterID et ProofpointToken sont requis. Pour plus d’informations, consultez API.

Instructions d’installation :

Étapes de configuration de l’API Websocket Pod Proofpoint

L’API PoD Log n’autorise pas l’utilisation du même jeton pour plusieurs sessions en même temps. Vérifiez donc que votre jeton n’est utilisé nulle part.

Le service d’API Websocket Proofpoint nécessite une licence de transfert Syslog à distance. Reportez-vous à la documentation sur l’activation et l’case activée API PoD Log. Vous devez fournir votre ID de cluster et votre jeton de sécurité.

1. Récupérez l’ID de cluster 1.1. Connectez-vous au proofpoint [Console de gestion] avec Administration informations d’identification de l’utilisateur

   1.2. Dans la console de gestion, l’ID de cluster s’affiche dans le coin supérieur droit.

2. Récupérez le jeton d’API 2.1. Connectez-vous au proofpoint [Console de gestion] avec Administration informations d’identification de l’utilisateur

2.2. Dans la console de gestion, cliquez sur Paramètres -> Gestion des clés API

2.3. Sous Gestion des clés API, cliquez sur l’onglet Journalisation des poD .

2.4. Obtenir ou créer une clé API.

• ID du cluster : (cluster_id)
• Clé API : (clé API)
• Activer/désactiver la connexion

---

Proofpoint TAP (via l’infrastructure de connecteur sans code)

Pris en charge par :Proofpoint, Inc.

Le connecteur Proofpoint Targeted Attack Protection (TAP) permet d’ingérer des journaux et des événements Proofpoint TAP dans Microsoft Sentinel. Le connecteur fournit une visibilité des événements Message et Clic dans Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ProofPointTAPMessagesDeliveredV2_CL	Oui	Oui
ProofPointTAPMessagesBlockedV2_CL	Oui	Oui
ProofPointTAPClicksPermittedV2_CL	Oui	Oui
ProofPointTAPClicksBlockedV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Clé API Proofpoint TAP : un principal de service et un secret d’API Proofpoint TAP sont requis pour accéder à l’API SIEM de Proofpoint. Pour plus d’informations, consultez API SIEM Proofpoint.

Instructions d’installation :

Étapes de configuration de l’API TAP Proofpoint

1. Connectez-vous au tableau de bord Proofpoint TAP
2. Accédez à Paramètres et accédez à l’onglet Applications connectées
3. Cliquez sur Créer des informations d’identification.
4. Fournissez un nom, puis cliquez sur Générer
5. Copier les valeurs du principal du service et du secret

NOTE: Ce connecteur dépend d’un analyseur basé sur kusto Function pour fonctionner comme prévu ProofpointTAPEvent qui est déployé avec la solution Microsoft Sentinel.

• Principal du service : (123456)
• Secret : (123456)
• Activer/désactiver la connexion

---

Proofpoint TAP (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur Proofpoint Targeted Attack Protection (TAP) permet d’ingérer des journaux et des événements Proofpoint TAP dans Microsoft Sentinel. Le connecteur fournit une visibilité des événements Message et Clic dans Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ProofPointTAPMessagesDeliveredV2_CL	Oui	Oui
ProofPointTAPMessagesBlockedV2_CL	Oui	Oui
ProofPointTAPClicksPermittedV2_CL	Oui	Oui
ProofPointTAPClicksBlockedV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Clé API Proofpoint TAP : un principal de service et un secret d’API Proofpoint TAP sont requis pour accéder à l’API SIEM de Proofpoint. Pour plus d’informations, consultez API SIEM Proofpoint.

Instructions d’installation :

Étapes de configuration de l’API TAP Proofpoint

1. Connectez-vous au tableau de bord Proofpoint TAP
2. Accédez à Paramètres et accédez à l’onglet Applications connectées
3. Cliquez sur Créer des informations d’identification.
4. Fournissez un nom, puis cliquez sur Générer
5. Copier les valeurs du principal du service et du secret

NOTE: Ce connecteur dépend d’un analyseur basé sur kusto Function pour fonctionner comme prévu ProofpointTAPEvent qui est déployé avec la solution Microsoft Sentinel.

• Principal du service : (123456)
• Secret : (123456)
• Activer/désactiver la connexion

---

QscoutAppEventsConnector (via l’infrastructure de connecteur sans code)

Pris en charge par :Quokka

Ingérer des événements d’application Qscout dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
QscoutAppEvents_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• ID d’organisation Qscout : l’API nécessite votre ID de organization dans Qscout.
• Clé API de l’organisation Qscout : l’API nécessite votre clé API organization dans Qscout.

Instructions d’installation :

NOTE: Ce connecteur utilise CCF (Codeless Connector Framework) pour se connecter au flux d’événements d’application Qscout et ingérer des données dans Microsoft Sentinel

Fournissez les valeurs requises ci-dessous :

• ID d’organisation Qscout : (123456)
• Clé API de l’organisation Qscout : (abcdxyz)
• Activer/désactiver la connexion

---

Base de connaissances Qualys (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Ingérer les données de vulnérabilité de la base de connaissances Qualys dans Microsoft Sentinel à l’aide de la version 4.0 de l’API Qualys.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
QualysKnowledgeBase	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API Qualys : nécessite un compte d’utilisateur Qualys avec un accès en lecture aux points de terminaison de la base de connaissances.

Instructions d’installation :

Étape 1 : Définir les informations d’identification Fournissez vos informations d’identification d’API Qualys pour activer l’ingestion des données à partir de la base de connaissances Qualys.

Pour collecter des données à partir d’une machine virtuelle Qualys, vous devez fournir les ressources suivantes :

• Informations d’identification de l’API : nom d’utilisateur et mot de passe d’un compte disposant d’un accès en lecture à l’API de la base de connaissances. Vous trouverez les autorisations exactes nécessaires dans la documentation de l’API Qualys.

• URL du serveur d’API : URL du serveur d’API Qualys spécifique à votre région. Vous trouverez l’URL exacte du serveur d’API pour votre région ici

• URL du serveur d’API : (Entrez l’URL du serveur d’API)

• Nom d’utilisateur : (Entrez nom d’utilisateur Qualys)

• Mot de passe : (Entrez votre mot de passe ou jeton Qualys) Étape 2 : Définir des filtres facultatifs

Configurez des filtres facultatifs pour personnaliser les vulnérabilités ingérées. Pour en savoir plus sur les filtres disponibles, consultez la documentation de l’API Qualys.

2a. Filtrer par état des correctifs Choisissez pour afficher uniquement les vulnérabilités qui peuvent être corrigées ou qui ne peuvent pas être corrigées.

2b. Filtrer par méthode de découverte et types d’authentification Choisissez de recevoir uniquement les vulnérabilités affectées à une certaine méthode de découverte ou ayant des types d’authentification spécifiques.

• Types d’authentification de découverte : (par exemple, Windows, Oracle, Unix, SNMP (séparé par des virgules)) Étape 3 : Vérifier et activer Vérifier vos paramètres de configuration et permettre au connecteur de commencer à ingérer les données de la base de connaissances Qualys dans Microsoft Sentinel.

• Activer/désactiver la connexion

---

Qualys VM KnowledgeBase (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur Qualys Vulnerability Management (VM) KnowledgeBase (Kb) offre la possibilité d’ingérer les données de vulnérabilité les plus récentes de la base de connaissances Qualys dans Microsoft Sentinel.

Ces données peuvent être utilisées pour mettre en corrélation et enrichir les détections de vulnérabilités détectées par le connecteur de données Qualys Vulnerability Management (VM).

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
QualysKB_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Clé API Qualys : un nom d’utilisateur et un mot de passe de l’API de machine virtuelle Qualys sont requis. Pour plus d’informations, consultez API de machine virtuelle Qualys.

Instructions d’installation :

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, qui est déployé dans le cadre de la solution. Pour afficher le code de la fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions, recherchez l’alias QualysVM Knowledgebase et chargez le code de la fonction ou cliquez ici, sur la deuxième ligne de la requête, entrez le ou les noms d’hôte de vos appareils de base de connaissances QualysVM et tous les autres identificateurs uniques pour le flux d’activité. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu. Suivez les étapes pour utiliser l’alias de fonction Kusto, QualysKB

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes de configuration de l’API Qualys

1. Connectez-vous à la console Qualys Vulnerability Management avec un compte d’administrateur, sélectionnez l’onglet Utilisateurs et le sous-onglet Utilisateurs.
2. Cliquez sur le menu déroulant Nouveau et sélectionnez Utilisateurs.
3. Créez un nom d’utilisateur et un mot de passe pour le compte d’API.
4. Sous l’onglet Rôles d’utilisateur, vérifiez que le rôle de compte est défini sur Gestionnaire et que l’accès est autorisé à l’interface utilisateur graphique et à l’API.
5. Déconnectez-vous du compte administrateur et connectez-vous à la console avec les nouvelles informations d’identification d’API pour validation, puis déconnectez-vous du compte d’API.
6. Reconnectez-vous à la console à l’aide d’un compte d’administrateur et modifiez les rôles d’utilisateur des comptes d’API, en supprimant l’accès à l’interface graphique utilisateur.
7. Enregistrez toutes les modifications.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur Qualys KB, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du nom d’utilisateur et du mot de passe de l’API Qualys.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Qualys KB à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID de l’espace de travail, la clé de l’espace de travail, le nom d’utilisateur de l’API, le mot de passe de l’API, la mise à jour de l’URI et tous les paramètres de filtre d’URI supplémentaires (cette valeur doit inclure un symbole « & » entre chaque paramètre et ne doit pas inclure d’espaces)

• Entrez l’URI qui correspond à votre région. La liste complète des URL du serveur d’API est disponible ici
• Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.
5. Cliquez sur Acheter pour déployer.

• Remarque : Si le déploiement a échoué en raison du nom du compte de stockage pris, remplacez le nom de la fonction par une valeur unique, puis redéployez.

Option 2 - Déploiement manuel de Azure Functions

Cette méthode fournit des instructions pas à pas pour déployer manuellement le connecteur Qualys KB avec Azure Function.

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des sept (7) paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : apiUsername apiPassword workspaceID workspaceKey uri filterParameters logAnalyticsUri (facultatif)

• Entrez l’URI qui correspond à votre région. La liste complète des URL du serveur d’API est disponible ici. La uri valeur doit suivre le schéma suivant : https://<API Server>/api/2.0
• Ajoutez tous les paramètres de filtre supplémentaires, pour la filterParameters variable, qui doivent être ajoutés à l’URI. La filterParameter valeur doit inclure un symbole « & » entre chaque paramètre et ne doit pas inclure d’espaces.
• Remarque : Si vous utilisez Azure Key Vault, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.
• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud délégué. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Gestion des vulnérabilités Qualys (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Qualys Vulnerability Management (VM) permet d’ingérer des données de détection d’hôte de vulnérabilité dans Microsoft Sentinel via l’API Qualys. Le connecteur fournit une visibilité sur les données de détection de l’hôte à partir d’analyses de vulerabilité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
QualysHostDetectionV3_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API et rôles : vérifiez que l’utilisateur de la machine virtuelle Qualys dispose d’un rôle Lecteur ou supérieur. Si le rôle est Lecteur, vérifiez que l’accès à l’API est activé pour le compte. Le rôle d’auditeur n’est pas pris en charge pour accéder à l’API. Pour plus d’informations, reportez-vous au document Comparaison des rôles utilisateur et API de détection d’hôte de machine virtuelle Qualys.

Instructions d’installation :

Connecter Qualys Vulnerability Management à Microsoft Sentinel

REMARQUE : Pour collecter des données pour les détections basées sur l’hôte, développez la colonne DetectionList dans la table.

Pour collecter des données à partir d’une machine virtuelle Qualys, vous devez fournir les ressources suivantes

1. Informations d’identification de l’API Pour collecter des données à partir d’une machine virtuelle Qualys, vous aurez besoin des informations d’identification de l’API Qualys, notamment votre nom d’utilisateur et votre mot de passe.

2. URL du serveur d’API Pour collecter des données à partir d’une machine virtuelle Qualys, vous aurez besoin de l’URL du serveur d’API Qualys spécifique à votre région. Vous trouverez l’URL exacte du serveur d’API pour votre région ici

• Nom d’utilisateur de l’API Qualys : (Entrez UserName)
• Mot de passe de l’API Qualys : (Entrez le mot de passe)
• URL du serveur d’API Qualys : (Entrez l’URL du serveur d’API)

3. Limite de troncation Configurez le nombre maximal d’enregistrements hôtes à récupérer par appel d’API (plage de 20 à 5 000). Des valeurs plus élevées peuvent améliorer les performances, mais avoir un impact sur les temps de réponse de l’API.

• Activer/désactiver la connexion

---

Radiflow iSID via AMA

Pris en charge par :Radiflow

iSID permet une surveillance sans interruption des réseaux ICS distribués pour les changements de topologie et de comportement, à l’aide de plusieurs packages de sécurité, chacun offrant une fonctionnalité unique relative à un type spécifique d’activité réseau

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
RadiflowEvent	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu [RadiflowEvent] qui est déployé avec la solution Microsoft Sentinel.

1. Veuillez suivre les étapes de configuration du connecteur de données

Étape A. Configurer le common event format (CEF) via le connecteur de données AMA

Remarque : les journaux CEF sont collectés uniquement à partir des agents Linux

1. Accédez à Microsoft Sentinel panneau Configuration de l’espace de travail ---> ---> Connecteur de données.

2. Recherchez le connecteur de données « Common Event Format (CEF) via AMA » et ouvrez-le.

3. Vérifiez s’il n’existe aucune DCR configurée pour collecter les fonctionnalités requises des journaux, créez une règle de collecte de données (DCR).

   Remarque :- Il est recommandé d’installer la version 1.27 minimale de l’agent AMA En savoir plus et de vous assurer qu’il n’y a pas de DCR en double, car cela peut provoquer une duplicatie du journal.

4. Exécutez la commande fournie dans la page CEF via le connecteur de données AMA pour configurer le collecteur CEF sur l’ordinateur.

Étape B. Configurer iSID pour envoyer des journaux à l’aide de CEF

Configurez le transfert de journaux à l’aide de CEF :

1. Accédez à la section Notifications système du menu Configuration.

2. Sous Syslog, sélectionnez +Ajouter.

3. Dans la boîte de dialogue Nouveau serveur Syslog, spécifiez le nom, l’adresse IP du serveur distant, le port, le transport et sélectionnez Format - CEF.

4. Appuyez sur Appliquer pour quitter la boîte de dialogue Ajouter Syslog.

Étape C. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour case activée si les journaux sont reçus à l’aide du schéma CommonSecurityLog.

La connexion peut prendre environ 20 minutes avant que la connexion diffuse des données vers votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python --version

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur

• Exécutez la commande suivante pour valider votre connectivité : : <valeur de variable fournie au moment de l’installation>

**2. Sécuriser votre machine **

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organization

Pour en savoir plus >

---

Rapports de gestion des vulnérabilités de la plateforme Rapid7 Insight (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données de rapport de machine virtuelle Rapid7 Insight permet d’ingérer les rapports d’analyse et les données de vulnérabilité dans Microsoft Sentinel via l’API REST à partir de la plateforme Rapid7 Insight (gérée dans le cloud). Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
NexposeInsightVMCloud_assets_CL	Non	Non
NexposeInsightVMCloud_vulnerabilities_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification de l’API REST : InsightVMAPIKey est requis pour l’API REST. Pour plus d’informations, consultez API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API de machine virtuelle Insight afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme insightVMAssets attendu et InsightVMVulnerabilities qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Étapes de configuration pour le cloud de machine virtuelle Insight

Suivez les instructions pour obtenir les informations d’identification.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données d’espace de travail, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (peut être copiée à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Rapport de gestion des vulnérabilités Rapid7 Insight à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez InsightVMAPIKey, choisissez InsightVMCloudRegion et déployez. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Rapport de gestion des vulnérabilités Rapid7 Insight avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
3. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) :
   InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceId LogKeyAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

3. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Rapports de gestion des vulnérabilités de la plateforme Rapid7 Insight (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données de rapport de machine virtuelle Rapid7 Insight permet d’ingérer les rapports d’analyse et les données de vulnérabilité dans Microsoft Sentinel via l’API REST à partir de la plateforme Rapid7 Insight (gérée dans le cloud). Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Rapid7InsightVMCloudAssets	Oui	Oui
Rapid7InsightVMCloudVulnerabilities	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Informations d’identification de l’API REST : InsightVMAPIKey est requis pour l’API REST. Pour plus d’informations, consultez API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification

Instructions d’installation :

Suivez les instructions pour configurer le connecteur Rapid7 InsightVM.

Remarque : Remarque : Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme insightVMAssets attendu et InsightVMVulnerabilities qui est déployé avec la solution Microsoft Sentinel.

1. Étapes de configuration pour le cloud de machines virtuelles Rapid7 Insight

Suivez les instructions pour obtenir les informations d’identification.

1. Dans Rapid7 InsightVM, générez une clé API.
2. Notez votre région et votre clé API.

• Région : (us, eu, etc.)
• Clé API : (clé API)

2. Se connecter

Activez le connecteur de machine virtuelle Rapid7 Insight.

• Activer/désactiver la connexion

---

Red Sift Events (CCF Push)

Pris en charge par :Red Sift

Le connecteur Red Sift offre la possibilité d’ingérer des événements d’authentification Red Sift et d’envoyer par e-mail des événements d’investigation dans Microsoft Sentinel à l’aide du modèle push CCF avec DCE + DCR.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
RedSiftAuth_CL	Non	Non
RedSiftEmailForensics_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur.

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Déployez la DCE, la DCR, la table personnalisée et l’inscription d’application Entra utilisées pour les informations d’identification du client OAuth.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création de tables Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Configurer le webhook Red Sift

Utilisez les paramètres suivants pour configurer Red Sift afin d’envoyer des événements à Microsoft Sentinel. Utilisez le nom de flux approprié pour chaque type d’événement.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• Authentification Events Stream Name : <valeur de variable fournie au moment de l’installation>
• Email Forensics Events Stream Name : <valeur de variable fournie au moment de l’installation>

---

Connecteur RSA ID Plus Administration Logs

Pris en charge par l’équipe desupport rsa

Le connecteur RSA ID Plus AdminLogs permet d’ingérer des événements d’audit de console cloud Administration dans Microsoft Sentinel à l’aide des API cloud Administration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
RSAIDPlus_AdminLogs_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Authentification de l’ID RSA plus api : pour accéder aux API Administration, un jeton JWT encodé en Base64URL valide, signé avec la clé API Administration héritée du client, est nécessaire.

Instructions d’installation :

NOTE: Ce connecteur utilise CCF (Codeless Connector Framework) pour se connecter à l’API RSA ID Plus Cloud Administration afin d’extraire les journaux dans Microsoft Sentinel.

ÉTAPE 1 : Créer un client d’API Administration hérité dans la console cloud Administration.

Suivez les étapes mentionnées dans cette page.

ÉTAPE 2 : générez le jeton JWT codé en Base64URL.

Suivez les étapes mentionnées dans cette page sous l’en-tête « API d’administration héritée ».

ÉTAPE 3 : Configurez l’API cloud Administration pour commencer à ingérer Administration journaux d’événements dans Microsoft Sentinel.

Fournissez les valeurs requises ci-dessous :

• URL de l’API Administration : (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs>)
• Jeton JWT : (Entrez votre jeton JWT)

ÉTAPE 4 : cliquez sur Se connecter.

Vérifiez que tous les champs ci-dessus ont été correctement renseignés. Appuyez sur Se connecter pour démarrer le connecteur.

• Activer/désactiver la connexion

---

Connecteur de données Rubrik Security Cloud (à l’aide de Azure Functions)

Pris en charge par :Rubrik

Le connecteur de données Rubrik Security Cloud permet aux équipes des opérations de sécurité d’intégrer les insights des services d’observabilité des données de Rubrik dans Microsoft Sentinel. Les insights incluent l’identification du comportement anormal du système de fichiers associé aux rançongiciels et à la suppression en masse, l’évaluation du rayon d’explosion d’une attaque par ransomware et les opérateurs de données sensibles pour hiérarchiser et examiner plus rapidement les incidents potentiels.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Rubrik_Anomaly_Data_CL	Oui	Oui
Rubrik_Ransomware_Data_CL	Oui	Oui
Rubrik_ThreatHunt_Data_CL	Oui	Oui
Rubrik_Events_Data_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter au webhook Rubrik qui envoie ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Rubrik Microsoft Sentinel, disposez de l’ID de l’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Rubrik.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les informations ci-dessous : Nom de la fonction Id de l’espace de travail Clé AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Rubrik Microsoft Sentinel avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, RubrikXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.8 ou version ultérieure.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (respectant la casse) : WorkspaceID WorkspaceKey AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure’environnement cloud GovUS, spécifiez la valeur au format suivant : https://< CustomerId.ods.opinsights.azure.us>.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

Étapes postérieures au déploiement

1) Obtenir le point de terminaison de l’application de fonction

1. Accédez à Azure page Vue d’ensemble de la fonction et cliquez sur l’onglet « Fonctions ».
2. Cliquez sur la fonction appelée « RubrikHttpStarter ».
3. Accédez à « GetFunctionurl » et copiez l’URL de la fonction.

2) Ajoutez un webhook dans RubrikSecurityCloud pour envoyer des données à Microsoft Sentinel.

Suivez les instructions du Guide de l’utilisateur rubrik pour ajouter un webhook afin de commencer à recevoir des informations d’événement.

1. Sélectionnez le Microsoft Sentinel comme fournisseur de webhook
2. Entrez le nom de webhook souhaité
3. Entrez la partie URL de function-url copiée comme point de terminaison d’URL de webhook et remplacez {functionname} par « RubrikAnomalyOrchestrator », pour rubrik Microsoft Sentinel Solution
4. Sélectionnez EventType comme Anomalie
5. Sélectionnez les niveaux de gravité suivants : Critique, Avertissement, Information
6. Choisissez plusieurs types de journaux, si vous le souhaitez, lors de l’exécution de « RubrikEventsOrchestrator »
7. Répétez les mêmes étapes pour ajouter des webhooks pour l’analyse de détection des anomalies, la chasse aux menaces et d’autres événements.

REMARQUE : lors de l’ajout de webhooks pour l’analyse de détection des anomalies, la chasse aux menaces et d’autres événements, remplacez {functionname} par « RubrikRansomwareOrchestrator », « RubrikThreatHuntOrchestrator » et « RubrikEventsOrchestrator » respectivement dans l’URL de fonction copiée.

Nous en avons terminé avec la configuration du webhook rubrik. Une fois les événements de webhook déclenchés, vous devriez être en mesure de voir les événements Anomalie, Analyse de la détection des anomalies, Chasse aux menaces et Autres événements à partir de Rubrik dans la table de l’espace de travail LogAnalytics respective appelée « Rubrik_Anomaly_Data_CL », « Rubrik_Ransomware_Data_CL », « Rubrik_ThreatHunt_Data_CL » et « Rubrik_Events_Data_CL ».

---

Sécurité SaaS

Pris en charge par :Valence Security

Connecte la plateforme de sécurité SaaS Valence Azure Log Analytics via l’interface de l’API REST

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ValenceAlert_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Étape 1 : Lire la documentation détaillée

Le processus d’installation est documenté en détail dans le base de connaissances de Valence Security. L’utilisateur doit consulter cette documentation plus en détail pour comprendre l’installation et le débogage de l’intégration.

Étape 2 : Récupérer les informations d’identification d’accès à l’espace de travail

La première étape d’installation consiste à récupérer votre ID d’espace de travail et votre clé primaire à partir de la plateforme Microsoft Sentinel. Copiez les valeurs indiquées ci-dessous et enregistrez-les pour la configuration de l’intégration du redirecteur de journal d’API.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Étape 3 : Configurer l’intégration Sentinel sur la plateforme de sécurité Valence

En tant qu’administrateur de Valence Security Platform, accédez à l’écran de configuration, cliquez sur Se connecter dans le carte d’intégration SIEM, puis choisissez Microsoft Sentinel. Collez les valeurs de l’étape précédente, puis cliquez sur Se connecter. Valence teste la connexion de sorte que lorsque la réussite est signalée, la connexion a fonctionné.

---

Journaux d’audit Salesforce (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Salesforce Audit Logs permet d’ingérer des modifications administratives et des modifications de configuration à partir de votre organisation Salesforce dans Microsoft Sentinel via l’API REST. Le connecteur permet d’ingérer des événements de piste d’audit et d’historique de connexion dans Microsoft Sentinel qui effectuent le suivi des modifications apportées à la configuration de votre organisation, ce qui vous aide à maintenir la visibilité de la sécurité et de la conformité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SalesforceAuditTrail	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API Salesforce Service Cloud : l’accès à l’API Salesforce Service Cloud via une application connectée est requis.

Instructions d’installation :

Connecter Salesforce à Microsoft Sentinel

Suivez Créer une application connectée dans Salesforce pour OAuth et Configurer une application connectée pour le flux d’informations d’identification du client OAuth 2.0 pour créer une application connectée avec accès à l’API Salesforce Service Cloud. Grâce à ces instructions, vous devez obtenir la clé du consommateur et la clé secrète du consommateur. Pour Nom de domaine Salesforce, accédez à Configuration, tapez Mon domaine dans la zone Recherche rapide, puis sélectionnez Mon domaine pour afficher les détails de votre domaine. Veillez à entrer le nom de domaine sans barre oblique de fin (par exemple, https://your-domain.my.salesforce.com). Remplissez le formulaire ci-dessous avec ces informations.

• Grille des connecteurs de données (configurer dans le portail)

---

SalesForce Real-Time Event Monitoring Connector (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur Salesforce Real-Time Event Monitoring (RTEM) permet d’ingérer des informations sur vos événements salesforce en temps réel à l’aide d’Object pour le stockage d’événements dans Microsoft Sentinel via l’API REST. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir des données d’événements en temps réel pour l’activité récente.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SalesForceRealTimeEventMonitoring_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Accès à l’API Salesforce Event Monitoring : l’accès à l’API Salesforce Event Monitoring via une application connectée est requis.

Instructions d’installation :

Connectez-vous à Salesforce Event Monitoring pour commencer à collecter les journaux d’activité de surveillance des événements en temps réel dans Microsoft Sentinel

Suivez Créer une application connectée dans Salesforce pour OAuth et Configurer une application connectée pour le flux d’informations d’identification du client OAuth 2.0 pour créer une application connectée avec accès à l’API Salesforce Event Monitoring. Grâce à ces instructions, vous devez obtenir la clé du consommateur et la clé secrète du consommateur. Pour Nom de domaine Salesforce, accédez à Configuration, tapez Mon domaine dans la zone Recherche rapide, puis sélectionnez Mon domaine pour afficher les détails de votre domaine. Veillez à entrer le nom de domaine sans barre oblique de fin (par exemple, https://your-domain.my.salesforce.com). Remplissez le formulaire ci-dessous avec ces informations.

Remarque : Abonnement au module complémentaire requis : votre compte Salesforce doit inclure des abonnements au module complémentaire Salesforce Shield ou Salesforce Event Monitoring pour que ce connecteur fonctionne.

• Grille des connecteurs de données (configurer dans le portail)

---

Salesforce Service Cloud (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Salesforce Service Cloud permet d’ingérer des informations sur vos événements opérationnels Salesforce dans Microsoft Sentinel via l’API REST. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir des fichiers journaux d’événements par incréments horaires pour l’activité récente.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SalesforceServiceCloudV3_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Accès à l’API Salesforce Service Cloud : l’accès à l’API Salesforce Service Cloud via une application connectée est requis.

Instructions d’installation :

Connectez-vous à l’API Salesforce Service Cloud pour commencer à collecter les journaux des événements dans Microsoft Sentinel

Suivez Créer une application connectée dans Salesforce pour OAuth et Configurer une application connectée pour le flux d’informations d’identification du client OAuth 2.0 pour créer une application connectée avec accès à l’API Salesforce Service Cloud. Grâce à ces instructions, vous devez obtenir la clé du consommateur et la clé secrète du consommateur. Pour Nom de domaine Salesforce, accédez à Configuration, tapez Mon domaine dans la zone Recherche rapide, puis sélectionnez Mon domaine pour afficher les détails de votre domaine. Veillez à entrer le nom de domaine sans barre oblique de fin (par exemple, https://your-domain.my.salesforce.com). Remplissez le formulaire ci-dessous avec ces informations.

Remarque : La solution 3.2.0 et les versions ultérieures utilisent la table SalesforceServiceCloudV3_CL. L’analyseur a été mis à jour en conséquence.

• Grille des connecteurs de données (configurer dans le portail)

---

Samsung Knox Asset Intelligence

Pris en charge par :Samsung Electronics Co., Ltd.

Samsung Knox Asset Intelligence Data Connector vous permet de centraliser vos événements et journaux de sécurité mobiles afin d’afficher des insights personnalisés à l’aide du modèle Classeur et d’identifier les incidents en fonction des modèles de règles d’analyse.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Samsung_Knox_Audit_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• application Entra : une application Entra doit être inscrite et approvisionnée avec le rôle « Éditeur de métriques Microsoft » et configurée avec un certificat ou une clé secrète client comme informations d’identification pour un transfert de données sécurisé. Pour en savoir plus sur la création, l’inscription et la configuration des informations d’identification Entra, consultez le didacticiel Ingestion des journaux.

Instructions d’installation :

Ce connecteur de données utilise l’API d’ingestion des journaux Microsoft pour envoyer des événements de sécurité dans Microsoft Sentinel à partir de la solution Samsung Knox Asset Intelligence (KAI).

ÉTAPE 1 : Créer et inscrire une application Entra

Remarque : Ce connecteur de données peut prendre en charge l’authentification basée sur un certificat ou une clé secrète client. Pour l’authentification basée sur les certificats, vous pouvez télécharger le certificat signé par l’autorité de certification Samsung (clé publique) à partir du portail de documentation KAI. Pour l’authentification basée sur la clé secrète client, vous pouvez créer le secret lors de l’inscription de l’application Entra. Veillez à copier la valeur de clé secrète client dès qu’elle est générée.

IMPORTANT: Enregistrez les valeurs de l’ID de locataire (répertoire) et de l’ID client (application). Si l’authentification basée sur la clé secrète client est activée, enregistrez la clé secrète client (valeur secrète) associée à l’application Entra.

ÉTAPE 2 : Automatiser le déploiement de ce connecteur de données à l’aide du modèle Azure Resource Manager (ARM) ci-dessous

IMPORTANT: Avant de déployer le connecteur de données, copiez le nom de l’espace de travail ci-dessous associé à votre Microsoft Sentinel (également votre instance Log Analytics).

• Nom de l’espace de travail : <valeur de variable fournie au moment de l’installation>

1. Cliquez sur le bouton ci-dessous pour installer Samsung Knox Intelligence Solution.

   aka.ms\n2. Fournissez les champs obligatoires suivants : Nom de l’espace de travail Log Analytics, Emplacement de l’espace de travail Log Analytics, Abonnement à l’espace de travail Log Analytics (ID) et Groupe de ressources de l’espace de travail Log Analytics.

ÉTAPE 3 : Obtenir Microsoft Sentinel détails de la collecte de données

Une fois le modèle ARM déployé, accédez à Règles https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionrulesde collecte de données ? et enregistrez les valeurs associées à l’ID immuable (DCR) et au point de terminaison de collecte de données (DCE).

IMPORTANT: Pour activer l’intégration de bout en bout, des informations relatives à Microsoft Sentinel DCE et DCR sont requises pour la configuration dans le portail Samsung Knox Asset Intelligence (ÉTAPE 4).

Vérifiez que l’application Entra créée à l’ÉTAPE 1 dispose des autorisations nécessaires pour utiliser la DCR créée afin d’envoyer des données au DCE. Reportez-vous à /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-the-dcr pour attribuer des autorisations en conséquence.

ÉTAPE 4 : Se connecter à la solution Samsung Knox Asset Intelligence pour configurer Microsoft Sentinel pour envoyer (push) certains événements de sécurité Knox en tant qu’alertes

1. Connectez-vous au portail d’administration Knox Asset Intelligence et accédez à Paramètres du tableau de bord. cette option est disponible dans le coin supérieur droit du portail.

Remarque : Vérifiez que l’utilisateur de connexion a accès aux autorisations « Sécurité » et « Gérer la vue du tableau de bord et la collecte de données ».

2. Cliquez sur l’onglet Sécurité pour afficher les paramètres des journaux d’intégration Microsoft Sentinel et de sécurité Knox.

3. Dans la page Intégration des opérations de sécurité, activez « Activer l’intégration Microsoft Sentinel » et entrez les valeurs appropriées dans les champs obligatoires.

a. En fonction de la méthode d’authentification utilisée, reportez-vous aux informations enregistrées à partir de l’étape 1 lors de l’inscription de l’application Entra.

b. Pour Microsoft Sentinel DCE et DCR, reportez-vous aux informations enregistrées à partir de l’étape 3.

4. Cliquez sur « Tester la connexion » et vérifiez que la connexion est réussie.

5. Avant de pouvoir enregistrer, configurez les journaux de sécurité Knox en sélectionnant Essential ou Advanced configuration (par défaut : Essential).

6. Pour terminer l’intégration Microsoft Sentinel, cliquez sur « Enregistrer ».

---

SAP BTP

Pris en charge par :Microsoft Corporation

SAP BTP (SAP Business Technology Platform) regroupe la gestion des données, l’analytique, l’intelligence artificielle, le développement d’applications, l’automatisation et l’intégration dans un environnement unifié.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SAPBTPAuditLog_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• ID client et clé secrète client pour l’API de récupération d’audit : activez l’accès à l’API dans BTP.

Instructions d’installation :

Étape 1 : Étapes de configuration de l’API de récupération d’audit SAP BTP

Suivez les étapes fournies par SAP , consultez API de récupération des journaux d’audit pour les comptes globaux dans l’environnement Cloud Foundry. Notez l’URL (URL de l’API de récupération d’audit), uaa.url (URL du compte d’utilisateur et du serveur d’authentification) et l’uaa.clientid associé.

NOTE: Vous pouvez intégrer en masse des sous-comptes BTP à l’aide des outils fournis.

Connecter des événements de SAP BTP à Microsoft Sentinel

Se connecter à l’aide des informations d’identification du client OAuth

Sous-comptes

Chaque ligne représente un sous-compte connecté

• Grille des connecteurs de données (configurer dans le portail)

---

Sap Enterprise Threat Detection, édition cloud

Pris en charge par :SAP

Le connecteur de données SAP Enterprise Threat Detection, cloud edition (ETD) permet l’ingestion des alertes de sécurité d’ETD dans Microsoft Sentinel, prenant en charge la corrélation croisée, les alertes et la chasse aux menaces.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SAPETDAlerts_CL	Oui	Oui
SAPETDInvestigations_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• ID client et clé secrète client pour l’API de récupération ETD : activez l’accès à l’API dans ETD.

Instructions d’installation :

Étape 1 : Étapes de configuration de l’API d’extraction d’audit SAP ETD

Suivez les étapes fournies par SAP , consultez la documentation ETD. Notez l’URL (URL de l’API de récupération d’audit), uaa.url (URL du compte d’utilisateur et du serveur d’authentification) et l’uaa.clientid associé.

NOTE: Vous pouvez intégrer un ou plusieurs sous-comptes ETD en suivant les étapes fournies par SAP , consultez la documentation ETD. Ajoutez une connexion pour chaque sous-compte.

POINTE: Utilisez la série de blogs partagés pour obtenir des informations supplémentaires.

Connecter des événements de SAP ETD à Microsoft Sentinel

Se connecter à l’aide des informations d’identification du client OAuth

Comptes ETD

Chaque ligne représente un compte ETD connecté

• Grille des connecteurs de données (configurer dans le portail)

---

SAP LogServ (RISE), édition privée S/4HANA Cloud

Pris en charge par :SAP

SAP LogServ est un service SAP Enterprise Services cloud (ECS) destiné à la collecte, au stockage, au transfert et à l’accès aux journaux. LogServ centralise les journaux de tous les systèmes, applications et services ECS utilisés par un client inscrit.
Les principales fonctionnalités sont les suivantes :
Collecte de journaux en temps quasi réel : avec la possibilité d’intégrer dans Microsoft Sentinel en tant que solution SIEM.
LogServ complète la surveillance et les détections des menaces de la couche Application SAP existantes dans Microsoft Sentinel avec les types de journaux appartenant à SAP ECS en tant que fournisseur de système. Cela inclut les journaux tels que : Journal d’audit de sécurité SAP (AS ABAP), base de données HANA, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, système d’exploitation, passerelle SAP, base de données tierce, réseau, DNS, proxy, pare-feu

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SAPLogServ_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle Éditeur de métriques de surveillance sur les règles de collecte de données. Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur.

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Nous allons créer des ressources de règle de collecte de données (DCR) et de point de terminaison de collecte de données (DCE). Nous allons également créer une inscription d’application Microsoft Entra et lui attribuer les autorisations requises.

Le déploiement automatisé des ressources Azure en cliquant sur « Déployer les ressources du connecteur Push » déclenche la création de ressources DCR et DCE. Il crée ensuite une inscription d’application Microsoft Entra avec une clé secrète client et accorde des autorisations sur la DCR. Cette configuration permet d’envoyer les données de manière sécurisée à la DCR à l’aide des informations d’identification d’un client OAuth v2.

2. Conserver les détails du point de terminaison de collecte de données et les informations d’authentification dans SAP LogServ

Partagez l’URL du point de terminaison de collecte de données et les informations d’authentification avec l’administrateur SAP LogServ pour configurer SAP LogServ afin qu’il envoie des données au point de terminaison de collecte de données.

Pour en savoir plus, consultez cette série de blog.

• Utilisez cette valeur pour configurer en tant qu’ID de locataire dans les informations d’identification LogIngestionAPI. : <valeur de variable fournie au moment de l’installation>
• ID d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’application : <valeur de variable fournie au moment de l’installation>
• Utilisez cette valeur pour configurer le paramètre LogsIngestionURL lors du déploiement de la variable IFlow. : <valeur de variable fournie au moment de l’installation>
• ID immuable DCR : <valeur de variable fournie au moment de l’installation>

---

SAP S/4HANA Cloud Public Edition

Pris en charge par :SAP

Le connecteur de données SAP S/4HANA Cloud Public Edition (GROW avec SAP) permet l’ingestion du journal d’audit de sécurité de SAP dans la solution Microsoft Sentinel pour SAP, en prenant en charge la corrélation croisée, les alertes et la chasse aux menaces. Vous recherchez d’autres mécanismes d’authentification ? Voir ici.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ABAPAuditLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• ID client et clé secrète client pour l’API de récupération d’audit : activez l’accès à l’API dans BTP.
• Microsoft Sentinel pour le package de contenu SAP (plus de 60 règles analytiques, classeurs, analyseurs, etc.) : Déployer à partir de Microsoft Sentinel hub de contenu.

Instructions d’installation :

Étape 1 : Étapes de configuration pour SAP S/4HANA Cloud Public Edition

Pour vous connecter à SAP S/4HANA Cloud Public Edition, vous avez besoin des éléments suivants :

1. Configurer une disposition de communication pour le scénario de communication SAP_COM_0750

2. URL de l’API client SAP S/4HANA Cloud Public Edition

3. Utilisateur de communication valide (nom d’utilisateur et mot de passe) pour votre système cloud SAP S/4HANA

4. Autorisations appropriées pour accéder aux données du journal d’audit via les services OData

NOTE: Ce connecteur prend en charge l’authentification de base. Vous recherchez d’autres mécanismes d’authentification ? Voir ici

Connecter des événements de SAP S/4HANA Cloud Public Edition à Microsoft Sentinel Solution pour SAP

Se connecter à l’aide de l’authentification de base

Connexions S/4HANA Cloud Public Edition

Chaque ligne représente un système S/4HANA Cloud Public Edition connecté

• Grille des connecteurs de données (configurer dans le portail)

---

Solution SecurityBridge pour SAP

Pris en charge par :SecurityBridge

SecurityBridge améliore la sécurité SAP en s’intégrant en toute transparence à Microsoft Sentinel, ce qui permet la surveillance en temps réel et la détection des menaces dans les environnements SAP. Cette intégration permet aux centres d’opérations de sécurité (SOC) de consolider les événements de sécurité SAP avec d’autres données organisationnelles, en fournissant une vue unifiée du paysage des menaces. Tirant parti de l’analytique basée sur l’IA et des Security Copilot de Microsoft, SecurityBridge identifie les modèles d’attaque sophistiqués et les vulnérabilités au sein des applications SAP, notamment l’analyse du code ABAP et les évaluations de configuration. La solution prend en charge les déploiements évolutifs sur des paysages SAP complexes, qu’il s’agisse d’environnements locaux, dans le cloud ou hybrides. En comblant le fossé entre les équipes informatiques et les équipes de sécurité SAP, SecurityBridge permet aux organisations de détecter, d’examiner et de répondre de manière proactive aux menaces, ce qui améliore la posture de sécurité globale.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ABAPAuditLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle Éditeur de métriques de surveillance sur les règles de collecte de données. Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur.

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Nous allons créer des ressources de règle de collecte de données (DCR) et de point de terminaison de collecte de données (DCE). Nous allons également créer une inscription d’application Microsoft Entra et lui attribuer les autorisations requises.

Le déploiement automatisé des ressources Azure en cliquant sur « Déployer les ressources du connecteur Push » déclenche la création de ressources DCR et DCE. Il crée ensuite une inscription d’application Microsoft Entra avec une clé secrète client et accorde des autorisations sur la DCR. Cette configuration permet d’envoyer les données de manière sécurisée à la DCR à l’aide des informations d’identification d’un client OAuth v2.

2. Conserver les détails du point de terminaison de collecte de données et les informations d’authentification dans SecurityBridge

Partagez l’URL du point de terminaison de collecte de données et les informations d’authentification avec l’administrateur SecurityBridge pour configurer Securitybridge pour envoyer des données au point de terminaison de collecte de données.

Pour en savoir plus, consultez notre page kb https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface

• Utilisez cette valeur pour configurer en tant qu’ID de locataire dans les informations d’identification LogIngestionAPI. : <valeur de variable fournie au moment de l’installation>
• ID d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’application : <valeur de variable fournie au moment de l’installation>
• Utilisez cette valeur pour configurer le paramètre LogsIngestionURL lors du déploiement de la variable IFlow. : <valeur de variable fournie au moment de l’installation>
• ID immuable DCR : <valeur de variable fournie au moment de l’installation>
• Sentinel pour l’ID de Stream SAP : <valeur de variable fournie au moment de l’installation>
• ID SecurityBridge_CL Stream : <valeur de variable fournie au moment de l’installation>

---

Semperis Lightning Logs

Pris en charge par :Semperis

Le connecteur Semperis Lightning utilise Azure Functions pour ingérer des données de sécurité d’identité Semperis Lightning dans Microsoft Sentinel. Le connecteur déploie une fonction Azure et collecte des données dans des tables Log Analytics personnalisées à des fins d’investigation et de repérage des menaces.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
LightningTier0Nodes_CL	Non	Non
LightningAttackPaths_CL	Non	Non
LightningIOEResults_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification de l’API Semperis Lightning : une clé d’API Lightning Semperis et une zone sélectionnée (na ou eu) sont nécessaires pour authentifier le connecteur à Semperis Lightning.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à Semperis Lightning et extraire des données dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés d’autorisation d’API et d’espace de travail dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

Vérifiez que l’espace de travail est ajouté à Microsoft Sentinel avant de déployer le connecteur.

ÉTAPE 1 : Configurer l’accès à Semperis Lightning

1. Connectez-vous à votre locataire Semperis Lightning.
2. Créez ou récupérez une clé API Semperis valide pour l’accès au connecteur.
3. Confirmez votre valeur de zone Semperis (na pour Amérique du Nord ou eu pour l’Europe) à utiliser pendant le déploiement.

ÉTAPE 2 : déployer le connecteur « Semperis Lightning Logs » et la fonction Azure associée

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

ÉTAPE 3 : Définir les paramètres du connecteur

1. Sélectionnez l’abonnement préféré et un groupe de ressources existant.
2. Entrez un ID de ressource d’espace de travail Log Analytics existant appartenant au groupe de ressources.
3. Cliquez sur Suivant.
4. Entrez votre clé API Semperis et sélectionnez la zone Semperis.
5. Si vous le souhaitez, ajustez la planification du connecteur (valeur par défaut : toutes les 1 heure).
6. Passez en revue les paramètres, puis cliquez sur Créer.

---

SentinelOne (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données SentinelOne permet d’ingérer des journaux de l’API SentinelOne dans Microsoft Sentinel. Le connecteur de données repose sur Microsoft Sentinel framework de connecteur sans code. Il utilise l’API SentinelOne pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de les analyser à nouveau, ce qui améliore les performances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SentinelOneActivities_CL	Oui	Oui
SentinelOneAgents_CL	Oui	Oui
SentinelOneGroups_CL	Oui	Oui
SentinelOneThreats_CL	Oui	Oui
SentinelOneAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Étapes de configuration de l’API SentinelOne Suivez les instructions pour obtenir les informations d’identification. Vous pouvez également suivre le guide pour générer une clé API.

1. Récupérer SentinelOne Management URL 1.1. Connectez-vous à SentinelOne [console de gestion] avec Administration informations d’identification de l’utilisateur 1.2. Dans la [Console de gestion] copiez le lien URL ci-dessus sans le chemin d’URL.

2. Récupérer le jeton d’API 2.1. Connectez-vous à SentinelOne [console de gestion] avec Administration informations d’identification de l’utilisateur 2.2. Dans [Console de gestion], cliquez sur [Paramètres] 2.3. Dans la vue [Paramètres], cliquez sur [UTILISATEURS]. 2.4. Dans la page [UTILISATEURS] cliquez sur [Utilisateurs du service] -> [Actions] -> [Créer un utilisateur de service]. 2.5. Choisissez [Date d’expiration] et [étendue] (par site), puis cliquez sur [Créer un utilisateur]. 2.6. Une fois l'[Utilisateur de service] créé, copiez le [jeton d’API] à partir de la page et appuyez sur [Enregistrer]

• URL de gestion SentinelOne : (https://example.sentinelone.net/)
• Jeton d’API : (jeton d’API)
• Activer/désactiver la connexion

---

Sécurité web séraphique

Pris en charge par :Seraphic Security

Le connecteur de données Seraphic Web Security offre la possibilité d’ingérer des événements et des alertes Seraphic Web Security dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SeraphicWebSecurity_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Clé API Seraphic : clé API pour Microsoft Sentinel connecté à votre locataire Seraphic Web Security. Pour obtenir cette clé API pour votre locataire, visitez la page Intégrations dans votre console Seraphic.

Instructions d’installation :

Connecter Seraphic Web Security

Insérez le nom de l’intégration, l’URL d’intégration Seraphic et le nom de votre espace de travail pour Microsoft Sentinel :

---

Console silverfort Administration

Pris en charge par :Silverfort

La solution de connecteur Silverfort ITDR Administration Console permet l’ingestion des événements Silverfort et la connexion à Microsoft Sentinel. Silverfort fournit des événements basés sur syslog et une journalisation à l’aide du format CEF (Common Event Format). En transférant vos données SILVERFORT ITDR Administration Console CEF vers Microsoft Sentinel, vous pouvez tirer parti de la recherche & de la corrélation, des alertes et de l’enrichissement du renseignement sur les menaces de Sentinels sur les données Silverfort. Pour plus d’informations, contactez Silverfort ou consultez la documentation Silverfort.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommonSecurityLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

1. Linux configuration de l’agent Syslog

Installez et configurez l’agent Linux pour collecter vos messages Syslog CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer un ordinateur Linux

Sélectionnez ou créez un ordinateur Linux que Microsoft Sentinel utiliserez comme proxy entre votre solution de sécurité et Microsoft Sentinel cette machine peut se trouver sur votre environnement local, Azure ou d’autres clouds.

1.2 Installer le collecteur CEF sur l’ordinateur Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages à votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.

• Exécutez la commande suivante pour installer et appliquer le collecteur CEF :< valeur de variable fournie au moment de l’installation>

2. Transférer les journaux CEF (Common Event Format) à l’agent Syslog

Définissez votre solution de sécurité pour envoyer des messages Syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux au port 514 TCP sur l’adresse IP de l’ordinateur.

3. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour case activée si les journaux sont reçus à l’aide du schéma CommonSecurityLog.

La connexion peut prendre environ 20 minutes avant que la connexion diffuse des données vers votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur

• Exécutez la commande suivante pour valider votre connectivité : : <valeur de variable fournie au moment de l’installation>

**4. Sécuriser votre machine **

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organization

Pour en savoir plus >

---

SlackAudit (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données SlackAudit permet d’ingérer des journaux d’audit Slack dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous à la documentation de l’API .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SlackAuditV2_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• UserName, SlackAudit API Key & Type d’action : pour générer le jeton d’accès, créez une application dans Slack, puis ajoutez les étendues nécessaires et configurez l’URL de redirection. Pour obtenir des instructions détaillées sur la génération du jeton d’accès, du nom d’utilisateur et de la limite de noms d’action, reportez-vous au lien.

Instructions d’installation :

**Connecter SlackAudit à Microsoft Sentinel

**

Pour ingérer des données de SlackAudit vers Microsoft Sentinel, vous devez cliquer sur le bouton Ajouter un domaine ci-dessous, puis afficher une fenêtre contextuelle pour renseigner les détails, fournir les informations requises, puis cliquer sur Se connecter. Vous pouvez voir les noms d’utilisateur et les actions connectées dans la grille.

• Grille des connecteurs de données (configurer dans le portail)

---

Snowflake (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Snowflake permet d’ingérer les journaux d’historique des connexions Snowflake, les journaux de l’historique des requêtes, les journaux d’octroi d’utilisateurs, les journaux d’octroi de rôle, les journaux d’historique de chargement, les journaux d’historique des actualisations d’affichage matérialisé, les journaux d’activité des rôles, les journaux des tables, les journaux des métriques de stockage de tables, les journaux des utilisateurs dans Microsoft Sentinel à l’aide de l’API Snowflake SQL. Pour plus d’informations, consultez la documentation de l’API SQL Snowflake .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SnowflakeLogin_CL	Oui	Oui
SnowflakeQuery_CL	Oui	Oui
SnowflakeUserGrant_CL	Oui	Oui
SnowflakeRoleGrant_CL	Oui	Oui
SnowflakeLoad_CL	Oui	Oui
SnowflakeMaterializedView_CL	Oui	Oui
SnowflakeRoles_CL	Oui	Oui
SnowflakeTables_CL	Oui	Oui
SnowflakeTableStorageMetrics_CL	Oui	Oui
SnowflakeUsers_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter Snowflake à Microsoft Sentinel

REMARQUE : pour vous assurer que les données sont présentées dans des colonnes distinctes pour chaque champ, exécutez l’analyseur à l’aide de la fonction Snowflake()

Pour collecter des données à partir de Snowflake, vous devez fournir les ressources suivantes

1. Identificateur de compte Pour collecter des données à partir de Snowflake, vous avez besoin de l’identificateur de compte Snowflake.

2. Jeton d’accès programmatique Pour collecter des données à partir de Snowflake, vous aurez besoin du jeton d’accès programmatique Snowflake

Pour obtenir des instructions détaillées sur la récupération de l’identificateur de compte et du jeton d’accès par programme, reportez-vous au didacticiel sur le connecteur.

• Grille des connecteurs de données (configurer dans le portail)

---

Connecteur de données des journaux d’audit SOC Prime Platform

Pris en charge par :SOC Prime

Le connecteur de données soc Prime Audit Logs permet d’ingérer les journaux de l’API SOC Prime Platform dans Microsoft Sentinel. Le connecteur de données repose sur Microsoft Sentinel framework de connecteur sans code. Il utilise l’API SOC Prime Platform pour extraire les journaux d’audit de la plateforme SOC Prime et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée, ce qui améliore les performances.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SOCPrimeAuditLogs_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Étapes de configuration pour l’API SOC Prime Platform Suivez les instructions pour obtenir les informations d’identification. vous pouvez également suivre ce guide pour générer une clé API personnelle.

Récupérer la clé API

1. Se connecter à soc Prime Platform
2. Cliquez sur l’icône [Compte] -> [Paramètres de la plateforme] -> [API]
3. Cliquez sur [Ajouter une nouvelle clé]
4. Dans le modal qui s’affiche, donnez à votre clé un nom explicite, définissez la date d’expiration et les API de produit auxquelles la clé donne accès
5. Cliquez sur [Générer]
6. Copiez la clé et enregistrez-la dans un endroit sûr. Vous ne pourrez plus l’afficher une fois que vous fermez cette fenêtre modale

• Clé API SOC Prime : (clé API)
• Activer/désactiver la connexion

---

Connecteur de données Sonrai

Pris en charge par :N/A

Utilisez ce connecteur de données pour intégrer à Sonrai Security et obtenir des tickets Sonrai envoyés directement à Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Sonrai_Tickets_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Connecteur de données de sécurité Sonrai

1. Accédez au tableau de bord Sécurité De Sonrai.
2. Dans le volet inférieur gauche, cliquez sur Intégrations.
3. Sélectionnez Microsoft Sentinel dans la liste des intégrations disponibles.
4. Remplissez le formulaire à l’aide des informations fournies ci-dessous.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Sophos Endpoint Protection (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Sophos Endpoint Protection permet d’ingérer des événements Sophos et des alertes Sophos dans Microsoft Sentinel. Pour plus d’informations, reportez-vous à la documentation de Sophos Central Administration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SophosEPEvents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API Sophos Endpoint Protection : l’accès à l’API Sophos Endpoint Protection via un principal de service est requis.

Instructions d’installation :

Connectez-vous à l’API Sophos Endpoint Protection pour commencer à collecter les journaux des événements et des alertes dans Microsoft Sentinel

Suivez les instructions de Sophos pour créer un principal de service avec accès à l’API Sophos. Il aura besoin du rôle ReadOnly du principal du service. Grâce à ces instructions, vous devez obtenir l’ID client, la clé secrète client, l’ID de locataire et la région de données. Remplissez le formulaire ci-dessous avec ces informations.

• ID de locataire Sophos : (ID de locataire Sophos)
• Sophos Tenant Data Region : (eu01, eu02, us01, us02 ou us03)
• Grille des connecteurs de données (configurer dans le portail)

---

Symantec Integrated Cyber Defense Exchange

Pris en charge par :Microsoft Corporation

Le connecteur Symantec ICDx vous permet de connecter facilement vos journaux de solutions de sécurité Symantec à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Cela vous donne plus d’informations sur le réseau de votre organization et améliore vos fonctionnalités d’opération de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SymantecICDx_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Configurer et connecter Symantec ICDx

1. Dans la barre de navigation ICDx, cliquez sur Configuration.
2. En haut de l’écran Configuration, cliquez sur Redirecteurs, puis en regard de Microsoft Sentinel (Log Analytics), cliquez sur Ajouter.
3. Dans la fenêtre Microsoft Sentinel (Log Analytics) qui s’ouvre, cliquez sur Afficher les options avancées. Consultez la documentation pour définir des fonctionnalités avancées.
4. Veillez à définir un nom pour le redirecteur et, sous Azure Destination, définissez les champs obligatoires suivants :

• ID de l’espace de travail : collez l’ID d’espace de travail à partir de la page du connecteur du portail Microsoft Sentinel.
• Clé primaire : collez la clé primaire à partir de la page du connecteur du portail Microsoft Sentinel.
• Nom du journal personnalisé : tapez le nom du journal personnalisé dans l’espace de travail Microsoft Portail Azure Log Analytics vers lequel vous allez transférer les événements. La valeur par défaut est SymantecICDx.

5. Cliquez sur Enregistrer et pour démarrer le redirecteur, accédez à Options > Plus, puis cliquez sur Démarrer.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Synqly Integration Connector

Pris en charge par :Synqly

Le connecteur Synqly permet d’envoyer (push) des événements de sécurité à partir des intégrations Synqly dans Microsoft Sentinel à l’aide de l’API d’ingestion des journaux Azure. Les événements sont automatiquement normalisés dans les tables ASIM (Advanced Security Information Model) pour une utilisation avec Microsoft Sentinel des requêtes d’analyse, de classeurs et de repérage.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra ID : rôle développeur d’applications (ou supérieur) pour créer des inscriptions d’applications.
• Microsoft Azure : rôle Propriétaire ou Administrateur de l’accès utilisateur sur le groupe de ressources pour déployer DCR et attribuer le rôle Éditeur de métriques de surveillance.

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Ce connecteur permet l’ingestion basée sur l’envoi (push) d’événements de sécurité à partir des intégrations Synqly dans Microsoft Sentinel. Les événements sont automatiquement normalisés en tables ASIM (Advanced Security Information Model).

Déployer les ressources du connecteur en cliquant sur « Déployer » crée une règle de collecte de données (DCR), un point de terminaison de collecte de données (DCE) et Entra application avec les autorisations nécessaires pour envoyer des données de manière sécurisée à Microsoft Sentinel.

2. Accorder des autorisations supplémentaires (en fonction du cas d’usage)

Des rôles supplémentaires peuvent être nécessaires en fonction de la façon dont vous prévoyez d’utiliser Synqly avec Microsoft Sentinel.

Connecteur récepteur (écriture seule) : aucune autorisation supplémentaire n’est nécessaire. Connecteur SIEM (lecture/écriture) : affecter Microsoft Sentinel contributeur rôle de l’application Entra via l’interface utilisateur Azure dans votre espace de travail Log Analytics.

Consultez la documentation Synqly pour obtenir des guides de configuration détaillés.

3. Envoyer vos journaux dans l’espace de travail

Fournissez ces paramètres à votre intégration Synqly. Le service Synqly gère automatiquement les détails techniques de l’ingestion des données, y compris la mise en forme des événements vers l’un des 10 schémas ASIM pris en charge (Authentication, AuditEvent, Dhcp, Dns, FileEvent, NetworkSession, ProcessEvent, RegistryEvent, UserManagement, WebSession).

Important : les événements avec des types de schéma non pris en charge sont supprimés en mode silencieux par Azure. Si les données attendues n’apparaissent pas, vérifiez auprès de votre fournisseur d’intégration Synqly que les événements sont envoyés avec l’un des types de schémas pris en charge répertoriés ci-dessus.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• nom de Stream : <valeur de variable fournie au moment de l’installation>

---

Syslog via AMA

Pris en charge par :Microsoft Corporation

Syslog est un protocole de journalisation des événements commun à Linux. Les applications envoient des messages qui peuvent être stockés sur l’ordinateur local ou remis à un collecteur Syslog. Lorsque l’Agent pour Linux est installé, il configure le démon Syslog local pour transférer les messages à l’agent. L’agent envoie ensuite le message à l’espace de travail.

Pour en savoir plus >

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Syslog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Informations d’identification compromises tacitRed

Pris en charge par :Data443 Risk Mitigation, Inc.

Ingérer les résultats des informations d’identification compromises de TacitRed à l’aide du Common Connector Framework (CCF).

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
TacitRed_Findings_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Clé API TacitRed : clé API stockée dans Azure Key Vault ou fournie au moment du déploiement.

Instructions d’installation :

Connecter les informations d’identification compromises TacitRed

Pour activer le connecteur TacitRed, fournissez votre clé API ci-dessous, puis cliquez sur Se connecter.

Pour renforcer la sécurité, vous pouvez activer l’intégration Key Vault pour stocker et récupérer la clé API.

• Clé API TacitRed : (Entrez votre clé API TacitRed)
• Activer/désactiver la connexion

---

Talon Insights

Pris en charge par :Talon Security

Le connecteur Talon Security Logs vous permet de connecter facilement vos événements Talon et journaux d’audit à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Talon_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Notez les valeurs ci-dessous et suivez les instructions fournies ici pour connecter vos événements et journaux d’audit Talon Security à Microsoft Sentinel.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Connecteur Push CCF de Tanium

Pris en charge par :Tanium Inc.

Ces données alimentent Microsoft Sentinel classeurs et playbooks afin que les analystes puissent enrichir les incidents, visualiser les risques et l’intégrité des points de terminaison, et automatiser les workflows d’investigation et de réponse. Pour plus d’informations sur Tanium, accédez à https://www.tanium.com/contact-us/

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
TaniumComplyCompliance_CL	Non	Non
TaniumComplyVulnerabilities_CL	Non	Non
TaniumDefenderHealth_CL	Non	Non
TaniumDiscoverUnmanagedAssets_CL	Non	Non
TaniumHighUptime_CL	Non	Non
TaniumPatchCoverageStatus_CL	Non	Non
TaniumPatchListApplicability_CL	Non	Non
TaniumPatchListCompliance_CL	Non	Non
TaniumSCCMClientHealth_CL	Non	Non
TaniumThreatResponse_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR).

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Ce connecteur permet à votre serveur Tanium d’envoyer des données d’inventaire de base directement à Microsoft Sentinel via l’API d’ingestion Azure Monitor.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création d’une table Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet d’envoyer les données Tanium en toute sécurité à la DCR à l’aide d’un jeton Entra.

2. Configurer les connexions Tanium

Utilisez les paramètres suivants pour configurer vos connexions Tanium pour envoyer des données à l’espace de travail.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• Journaux des résultats de conformité Stream Nom : <valeur de variable fournie au moment de l’installation>
• Nom des journaux des vulnérabilités de conformité Stream : <valeur de variable fournie au moment de l’installation>
• Nom du Stream des journaux d’intégrité Defender : <valeur de variable fournie au moment de l’installation>
• Découvrir les journaux d’intégrité des ressources non managées Stream Nom : <valeur de variable fournie au moment de l’installation>
• Journaux d’activité élevés Stream Nom : <valeur de variable fournie au moment de l’installation>
• Journaux d’état de couverture des correctifs Stream Nom : <valeur de variable fournie au moment de l’installation>
• Journaux d’application de la liste des correctifs Stream Nom : <valeur de variable fournie au moment de l’installation>
• Journaux de conformité de la liste des correctifs Stream Nom : <valeur de variable fournie au moment de l’installation>
• SCCM Nom Stream journaux d’intégrité du client : <valeur de variable fournie au moment de l’installation>
• Journaux des alertes de réponse aux menaces Stream Nom : <valeur de variable fournie au moment de l’installation>

3. Créer la connexion dans Tanium

Une fois que vous avez correctement déployé le connecteur de données dans Azure, créez la connexion requise dans votre serveur Tanium dans le module Connect. Pour plus d’informations sur le module Connect, consultez l’aide de Tanium.

1. Téléchargez le fichier d’importation de connexion.
2. Remplacez les espaces réservés par les paramètres affichés ci-dessus.
3. Dans votre serveur Tanium, ouvrez le module Connect.
4. Utilisez la fonctionnalité d’importation pour importer de nouvelles connexions.

---

Team Cymru Scout Data Connector (à l’aide de Azure Functions)

Pris en charge par :Team Cymru

Le connecteur de données TeamCymruScout permet aux utilisateurs d’apporter des données d’utilisation de compte, de domaine et de domaine team Cymru Scout dans Microsoft Sentinel à des fins d’enrichissement.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Cymru_Scout_Domain_Data_CL	Non	Non
Cymru_Scout_IP_Data_Foundation_CL	Non	Non
Cymru_Scout_IP_Data_Details_CL	Non	Non
Cymru_Scout_IP_Data_Communications_CL	Non	Non
Cymru_Scout_IP_Data_PDNS_CL	Non	Non
Cymru_Scout_IP_Data_Fingerprints_CL	Non	Non
Cymru_Scout_IP_Data_OpenPorts_CL	Non	Non
Cymru_Scout_IP_Data_x509_CL	Non	Non
Cymru_Scout_IP_Data_Summary_Details_CL	Non	Non
Cymru_Scout_IP_Data_Summary_PDNS_CL	Non	Non
Cymru_Scout_IP_Data_Summary_OpenPorts_CL	Non	Non
Cymru_Scout_IP_Data_Summary_Certs_CL	Non	Non
Cymru_Scout_IP_Data_Summary_Fingerprints_CL	Non	Non
Cymru_Scout_Account_Usage_Data_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Autorisation d’attribuer un rôle à l’application inscrite : l’autorisation d’attribuer un rôle à l’application inscrite dans Microsoft Entra ID est requise.
• Team Cymru Scout Credentials/permissions : Les informations d’identification du compte Team Cymru Scout (nom d’utilisateur, mot de passe) sont requises.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Team Cymru Scout afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes de création d’une clé API Team Cymru Scout

Suivez ces instructions pour créer une clé API Team Cymru Scout.

1. Reportez-vous au document Clés API pour générer une clé API à utiliser comme autre forme d’autorisation.

ÉTAPE 2 : Étapes d’inscription d’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution de TeamCymruScout Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 3 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de TeamCymruScout Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise comme paramètre de configuration pour l’exécution de TeamCymruScout Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 4 : Obtenir l’ID d’objet de votre application dans Microsoft Entra ID

Après avoir créé l’inscription de votre application, suivez les étapes de cette section pour obtenir l’ID d’objet :

1. Allez à Microsoft Entra ID.
2. Sélectionnez Applications d’entreprise dans le menu de gauche.
3. Recherchez votre application nouvellement créée dans la liste (vous pouvez effectuer une recherche par le nom que vous avez fourni).
4. Cliquez sur l’application.
5. Dans la page vue d’ensemble, copiez l’ID d’objet. Il s’agit de l’AzureEntraObjectId nécessaire pour l’attribution de rôle de votre modèle ARM.

ÉTAPE 5 : Attribuer le rôle Contributeur à l’application dans Microsoft Entra ID

Suivez les étapes de cette section pour attribuer le rôle :

1. Dans le Portail Azure, accédez à Groupe de ressources et sélectionnez votre groupe de ressources.
2. Accédez à Contrôle d’accès (IAM) à partir du volet gauche.
3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
6. Cliquez sur Ajouter des membres, tapez le nom de votre application que vous avez créée et sélectionnez-la.
7. Cliquez maintenant sur Vérifier + attribuer, puis cliquez à nouveau sur Vérifier + attribuer.

Lien de référence :/azure/role-based-access-control/role-assignments-portal

ÉTAPE 6 : Charger des fichiers csv avec des indicteurs dans watchlist

Suivez les étapes de cette section pour charger des fichiers csv contenant des indicateurs dans watchlist :

1. Dans la Portail Azure, accédez à Microsoft Sentinel et sélectionnez votre espace de travail.
2. Accédez à Watchlist sous la section Configuration dans le volet gauche.
3. Cliquez sur TeamCymruScoutDomainData, puis sélectionnez Mise à jour en bloc dans La watchlist de mise à jour.
4. Chargez vos fichiers CSV avec des indicateurs de domaine dans Charger l’entrée de fichier, puis cliquez sur Suivant : Vérifier+Créer.
5. Une fois la validation réussie, cliquez sur Mettre à jour.
6. Suivez les mêmes étapes pour mettre à jour la watchlist TeamCymruScoutIPData pour les indicateurs IP.

Lien de référence :Mettre à jour en bloc une watchlist

ÉTAPE 7 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données TeamCymruScout, disposez de l’ID de l’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiées à partir de ce qui suit), ainsi que des informations d’identification TeamCymruScout.

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données TeamCymruScout.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les informations ci-dessous : Location WorkspaceName Function Name TeamCymruScoutBaseURL AuthenticationURL AuthenticationType Username Password APIKey IPValues DomainValues APIType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données TeamCymruScout avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, CymruScoutXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.12 ou version ultérieure.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (respectant la casse) : CymruScoutBaseURL AuthenticationType TeamCymruScoutUsername TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_TABLES

12. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Exposition de l’identité tenable

Pris en charge par :Tenable

Le connecteur Tenable Identity Exposure permet d’ingérer les journaux Indicateurs d’exposition, Indicateurs d’attaque et Trailflow dans Microsoft Sentinel. Les différents livres de travail et analyseurs de données vous permettent de manipuler plus facilement les journaux et de surveiller votre environnement Active Directory. Les modèles analytiques vous permettent d’automatiser les réponses concernant différents événements, expositions et attaques.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Tenable_IE_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à la configuration TenableIE : autorisations pour configurer le moteur d’alerte syslog

Instructions d’installation :

Ce connecteur de données dépend de afad_parser basée sur une fonction Kusto pour fonctionner comme prévu, qui est déployée avec la solution Microsoft Sentinel.

1. Configurer le serveur Syslog

Vous aurez d’abord besoin d’un serveur Syslog Linux auquel TenableIE enverra des journaux. En règle générale, vous pouvez exécuter rsyslog sur Ubuntu. Vous pouvez ensuite configurer ce serveur comme vous le souhaitez, mais il est recommandé de pouvoir générer des journaux TenableIE dans un fichier distinct.

Configurez rsyslog pour accepter les journaux à partir de votre adresse IP TenableIE. Sélectionnez l’une des options suivantes :

Option 1 : Utilisation de la directive AllowedSender

Cette configuration limite les hôtes qui peuvent envoyer des journaux à votre serveur syslog au niveau du réseau. Il est plus sécurisé, car il rejette les connexions non autorisées avant de les traiter.

1. Téléchargez le fichier de configuration : 80-tenable-allowedsender.conf
2. Exécuter en mode sudo : sudo -i
3. Définissez votre adresse IP TenableIE : export TENABLE_IE_IP={Enter your IP address}
4. Exécuter les commandes à partir du fichier de configuration téléchargé
5. Redémarrez rsyslog : systemctl restart rsyslog

Option 2 : Filtrer les journaux par adresse IP source (pour les environnements avec plusieurs sources syslog)

Cette configuration accepte tous les journaux entrants, mais traite uniquement ceux de l’adresse IP TenableIE spécifiée. Il est particulièrement utile lorsque plusieurs serveurs ou applications syslog envoient des journaux au même serveur syslog et que vous souhaitez traiter de manière sélective uniquement les journaux TenableIE.

1. Téléchargez le fichier de configuration : 80-tenable-filter.conf
2. Exécuter en mode sudo : sudo -i
3. Définissez votre adresse IP TenableIE : export TENABLE_IE_IP={Enter your IP address}
4. Exécuter les commandes à partir du fichier de configuration téléchargé
5. Redémarrez rsyslog : systemctl restart rsyslog

2. Installer et intégrer l’agent Microsoft pour Linux

L’agent OMS reçoit les événements syslog TenableIE et les publie dans Microsoft Sentinel :

Choisissez l’emplacement d’installation de l’agent :

Installer l’agent sur Azure Linux machine virtuelle

Sélectionnez l’ordinateur sur lequel installer l’agent, puis cliquez sur Se connecter.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Installer l’agent sur un ordinateur non Azure Linux

Téléchargez l’agent sur l’ordinateur approprié et suivez les instructions.

• Install Agent : <valeur de variable fournie au moment de l’installation>

3. Vérifier les journaux de l’agent sur le serveur Syslog

tail -f /var/opt/microsoft/omsagent/log/omsagent.log

4. Configurer TenableIE pour envoyer des journaux à votre serveur Syslog

Sur votre portail TenableIE , accédez à Système, Configuration , puis Syslog. À partir de là, vous pouvez créer une alerte Syslog pour votre serveur Syslog.

Une fois cette opération effectuée, case activée que les journaux sont correctement collectés sur votre serveur dans un fichier distinct (pour ce faire, vous pouvez utiliser le bouton Tester la configuration dans la configuration d’alerte Syslog dans TenableIE). Si vous avez utilisé le modèle de démarrage rapide, le serveur Syslog écoute par défaut le port 514 dans UDP et le port 1514 dans TCP, sans TLS.

Remarque : Les deux options de configuration de l’étape 1 configurent le serveur syslog pour écouter sur le port 514 pour les connexions UDP et TCP.

5. Configurer les journaux personnalisés

Configurez l’agent pour collecter les journaux.

1. Dans Microsoft Sentinel, accédez à Configuration -> Paramètres - Paramètres de> l’espace de travail -> Journaux personnalisés.
2. Cliquez sur Ajouter un journal personnalisé.
3. Chargez un exemple TenableIE.log fichier Syslog à partir de l’ordinateur Linux exécutant le serveur Syslog, puis cliquez sur Suivant.
4. Si ce n’est déjà le cas, définissez le délimiteur d’enregistrement sur Nouvelle ligne, puis cliquez sur Suivant.
5. Sélectionnez Linux et entrez le chemin du fichier Syslog, puis cliquez sur + puis sur Suivant. L’emplacement par défaut du fichier est /var/log/TenableIE.log si vous avez une version <Tenable 3.1.0, vous devez également ajouter cet emplacement /var/log/AlsidForAD.logde fichier Linux .
6. Définissez le nom sur Tenable_IE_CL (Azure ajoute automatiquement _CL à la fin du nom, il ne doit y en avoir qu’un seul, assurez-vous que le nom n’est pas Tenable_IE_CL_CL).
7. Cliquez sur Suivant, vous verrez un CV, puis cliquez sur Créer

6. Profitez-en !

Vous devez maintenant être en mesure de recevoir des journaux dans la table Tenable_IE_CL . Les données des journaux peuvent être analysées à l’aide de la fonction afad_parser(), utilisée par tous les exemples de requête, classeurs et modèles analytiques.

---

Gestion des vulnérabilités tenable (à l’aide de Azure Functions)

Pris en charge par :Tenable

Le connecteur de données TVM permet d’ingérer des données de ressources, de vulnérabilité, de conformité, de ressources WAS et de vulnérabilités WAS dans Microsoft Sentinel à l’aide des API REST TVM. Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur offre la possibilité d’obtenir des données qui permettent d’examiner les risques potentiels pour la sécurité, d’obtenir des informations sur vos ressources informatiques, de diagnostiquer les problèmes de configuration et bien plus encore

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Tenable_VM_Asset_CL	Oui	Oui
Tenable_VM_Vuln_CL	Oui	Oui
Tenable_VM_Compliance_CL	Oui	Oui
Tenable_WAS_Asset_CL	Oui	Oui
Tenable_WAS_Vuln_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : une TenableAccessKey et une TenableSecretKey sont requises pour accéder à l’API REST Tenable. Pour plus d’informations, consultez API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Durable Functions pour se connecter à l’API TenableVM afin d’extraire des ressources, des vulnérabilités et de la conformité (si cette option est sélectionnée) à intervalles réguliers dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur TenableVM pour les vulnérabilités et d’un analyseur TenableVM pour les ressources basées sur une fonction Kusto pour fonctionner comme prévu, qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Étapes de configuration pour TenableVM

Suivez les instructions pour obtenir les informations d’identification d’API requises.

ÉTAPE 2 : Étapes d’inscription d’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution de TenableVM Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 3 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de TenableVM Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise en tant que paramètre de configuration pour l’exécution de TenableVM Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 4 : Obtenir l’ID d’objet de votre application dans Microsoft Entra ID

Après avoir créé l’inscription de votre application, suivez les étapes de cette section pour obtenir l’ID d’objet :

1. Allez à Microsoft Entra ID.
2. Sélectionnez Applications d’entreprise dans le menu de gauche.
3. Recherchez votre application nouvellement créée dans la liste (vous pouvez effectuer une recherche par le nom que vous avez fourni).
4. Cliquez sur l’application.
5. Dans la page vue d’ensemble, copiez l’ID d’objet. Il s’agit de l’AzureEntraObjectId nécessaire pour l’attribution de rôle de votre modèle ARM.

ÉTAPE 5 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et l’application de fonction Azure associée

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Rapport de gestion des vulnérabilités TenableVM à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources, la fonctionNom de l’application et l’emplacement par défaut.

3. Entrez les informations ci-dessous :

   a. WorkspaceName : entrez le nom de l’espace de travail Log Analytics.

   b. TenableAccessKey : entrez la clé d’accès pour l’utilisation de l’API Tenable.

   c. TenableSecretKey : entrez La clé secrète tenable pour l’authentification.

   d. AzureClientID : entrez Azure’ID client.

   e. AzureClientSecret : entrez Azure clé secrète client.

   f. TenantID : entrez l’ID de locataire obtenu à partir des étapes ci-dessus.

   g. AzureEntraObjectId : entrez Azure’ID d’objet obtenu à partir des étapes ci-dessus.

   h. LowestSeveritytoStore : gravité de vulnérabilité la plus faible à stocker. Valeurs autorisées : Info, Faible, Moyen, Élevé, Critique. La valeur par défaut est Info.

   i. ComplianceDataIngestion : sélectionnez true si vous souhaitez activer l’ingestion des données de conformité à partir d’une machine virtuelle Tenable. La valeur par défaut est False.

   j. WASAssetDataIngestion : sélectionnez true si vous souhaitez activer l’ingestion de données de ressource WAS à partir d’une machine virtuelle Tenable. La valeur par défaut est False.

   k. WASVulnerabilityDataIngestion : sélectionnez true si vous souhaitez activer l’ingestion des données de vulnérabilité WAS à partir d’une machine virtuelle Tenable. La valeur par défaut est False.

   L. LowestSeveritytoStoreWAS : gravité de vulnérabilité la plus faible à stocker pour WAS. Valeurs autorisées : Info, Faible, Moyen, Élevé, Critique. La valeur par défaut est Info.

   M. TenableExportScheduleInMinutes : planifiez en minutes la création d’un travail d’exportation à partir d’une machine virtuelle Tenable. La valeur par défaut est 1440.

   ¡n. AssetTableName : entrez le nom de la table utilisée pour stocker les journaux des données de ressources.

   O. VulnTableName : entrez le nom de la table utilisée pour stocker les journaux des données de vulnérabilité.

   P. ComplianceTableName : entrez le nom de la table utilisée pour stocker les journaux des données de conformité.

   Q. WASAssetTableName : entrez le nom de la table utilisée pour stocker les journaux des données de ressources WAS.

   R. WASVulnTableName : entrez le nom de la table utilisée pour stocker les journaux des données de vulnérabilité WAS.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Rapport de gestion des vulnérabilités TenableVM avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, TenableVMXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.12.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) :

    a. WorkspaceName : entrez le nom de l’espace de travail Log Analytics.

    b. TenableAccessKey : entrez la clé d’accès pour l’utilisation de l’API Tenable.

    c. TenableSecretKey : entrez La clé secrète tenable pour l’authentification.

    d. AzureClientID : entrez Azure’ID client.

    e. AzureClientSecret : entrez Azure clé secrète client.

    f. TenantID : entrez l’ID de locataire obtenu à partir des étapes ci-dessus.

    g. AzureEntraObjectId : entrez Azure’ID d’objet obtenu à partir des étapes ci-dessus.

    h. LowestSeveritytoStore : gravité de vulnérabilité la plus faible à stocker. Valeurs autorisées : Info, Faible, Moyen, Élevé, Critique. La valeur par défaut est Info.

    i. ComplianceDataIngestion : sélectionnez true si vous souhaitez activer l’ingestion des données de conformité à partir d’une machine virtuelle Tenable. La valeur par défaut est False.

    j. WASAssetDataIngestion : sélectionnez true si vous souhaitez activer l’ingestion de données de ressource WAS à partir d’une machine virtuelle Tenable. La valeur par défaut est False.

    k. WASVulnerabilityDataIngestion : sélectionnez true si vous souhaitez activer l’ingestion des données de vulnérabilité WAS à partir d’une machine virtuelle Tenable. La valeur par défaut est False.

    L. LowestSeveritytoStoreWAS : gravité de vulnérabilité la plus faible à stocker pour WAS. Valeurs autorisées : Info, Faible, Moyen, Élevé, Critique. La valeur par défaut est Info.

    M. TenableExportScheduleInMinutes : planifiez en minutes la création d’un travail d’exportation à partir d’une machine virtuelle Tenable. La valeur par défaut est 1440.

    ¡n. AssetTableName : entrez le nom de la table utilisée pour stocker les journaux des données de ressources.

    O. VulnTableName : entrez le nom de la table utilisée pour stocker les journaux des données de vulnérabilité.

    P. ComplianceTableName : entrez le nom de la table utilisée pour stocker les journaux des données de conformité.

    Q. WASAssetTableName : entrez le nom de la table utilisée pour stocker les journaux des données de ressources WAS.

    R. WASVulnTableName : entrez le nom de la table utilisée pour stocker les journaux des données de vulnérabilité WAS.

    s. PyTenableUAVendor : la valeur doit être définie sur Microsoft.

    T. PyTenableUAProduct : la valeur doit être définie sur Microsoft Sentinel.

    U. PyTenableUABuild : la valeur doit être définie sur 3.1.0.

12. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Microsoft Defender basée sur le locataire pour le cloud

Pris en charge par :Microsoft Corporation

Microsoft Defender pour le cloud est un outil de gestion de la sécurité qui vous permet de détecter et de répondre rapidement aux menaces sur les charges de travail Azure, hybrides et multiclouds. Ce connecteur vous permet de diffuser en continu vos alertes de sécurité MDC à partir de Microsoft 365 Defender dans Microsoft Sentinel, ce qui vous permet de tirer parti des avantages des corrélations XDR qui connectent les points entre vos ressources, appareils et identités cloud, et d’afficher les données dans des classeurs, des requêtes et d’examiner et de répondre aux incidents. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityAlert	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Connecter des Microsoft Defender basées sur un locataire pour le cloud à Microsoft Sentinel

Après avoir connecté ce connecteur, toutes vos alertes Microsoft Defender pour les abonnements cloud sont envoyées à cet espace de travail Microsoft Sentinel.

Vos alertes Microsoft Defender pour le cloud sont connectées pour être diffusées via Microsoft 365 Defender. Pour bénéficier du regroupement automatisé des alertes en incidents, connectez le connecteur d’incidents Microsoft 365 Defender. Les incidents peuvent être consultés dans la file d’attente des incidents.

---

TheHive (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données TheHive permet d’ingérer les données de la plateforme de réponse aux incidents de sécurité TheHive dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur permet d’obtenir des cas, des tâches et des alertes à partir de TheHive et de les visualiser dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
TheHiveData	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Accès à l’APIHive : l’accès à l’APIHive version 4 et ultérieure est requis pour l’API TheHive.

Instructions d’installation :

1. Configuration

Suivez les instructions pour configurer le connecteur TheHive.

• URL de baseHive : (L’URL de base instance (par exemple, https://thehive.example.com)) Obtenez la clé API à partir de vos paramètres de profil utilisateur TheHive. (ou un utilisateur dédié créé à cet effet)

• Clé API : (clé API pour l’API TheHive)

2. Se connecter

Activez le connecteur TheHive.

• Activer/désactiver la connexion

---

Theom

Pris en charge par :Theom

Theom Data Connector permet aux organisations de connecter leur environnement Theom à Microsoft Sentinel. Cette solution permet aux utilisateurs de recevoir des alertes sur les risques liés à la sécurité des données, de créer et d’enrichir des incidents, de case activée des statistiques et de déclencher des playbooks SOAR dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
TheomAlerts_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

1. Dans la console De l’interface utilisateur Theom, cliquez sur Gérer -> Alertes dans la barre latérale.
2. Sélectionnez Sentinel onglet.
3. Cliquez sur le bouton Actif pour activer la configuration.
4. Entrez Primary la clé en tant que Authorization Token
5. Entrez Endpoint URL en tant que https://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01
6. Cliquez sur SAVE SETTINGS

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Renseignement sur les menaces - TAXII

Pris en charge par :Microsoft Corporation

Microsoft Sentinel s’intègre aux sources de données TAXII 2.0 et 2.1 pour permettre la surveillance, les alertes et la chasse à l’aide de vos informations sur les menaces. Utilisez ce connecteur pour envoyer les types d’objets STIX pris en charge à partir de serveurs TAXII à Microsoft Sentinel. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL et des hachages de fichiers. Pour plus d’informations, consultez la documentation >Microsoft Sentinel .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Plateformes de renseignement sur les menaces

Pris en charge par :Microsoft Corporation

Microsoft Sentinel s’intègre à Microsoft Graph API de sécurité sources de données pour permettre la surveillance, les alertes et la chasse à l’aide de vos informations sur les menaces. Utilisez ce connecteur pour envoyer des indicateurs de menace à Microsoft Sentinel à partir de votre plateforme de renseignement sur les menaces (TIP), comme Threat Connect, Palo Alto Networks MindMeld, MISP ou d’autres applications intégrées. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL et des hachages de fichiers. Pour plus d’informations, consultez la documentation >Microsoft Sentinel .

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

API de chargement Threat Intelligence (préversion)

Pris en charge par :Microsoft Corporation

Microsoft Sentinel offre une API de plan de données pour intégrer le renseignement sur les menaces à partir de votre plateforme de renseignement sur les menaces (TIP), comme Threat Connect, Palo Alto Networks MineMeld, MISP ou d’autres applications intégrées. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL, des hachages de fichiers et des adresses e-mail. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

**Vous pouvez connecter vos sources de données de renseignement sur les menaces à Microsoft Sentinel par : **

Utilisation d’une plateforme de renseignement sur les menaces (TIP) intégrée, telle que Threat Connect, Palo Alto Networks MineMeld, MISP, etc.

Appel de l’API de plan de données Microsoft Sentinel directement à partir d’une autre application.

• Remarque : L’état du connecteur n’apparaît pas comme « Connecté », car les données sont ingérées en effectuant un appel d’API.

**Suivez ces étapes pour vous connecter à votre renseignement sur les menaces : **

1. Obtenir Microsoft Entra ID jeton d’accès

Pour envoyer une demande aux API, vous devez acquérir Microsoft Entra ID jeton d’accès. Vous pouvez suivre les instructions de cette page : /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

• Remarque : Demandez Microsoft Entra ID jeton d’accès avec la valeur d’étendue : [variables('managementUri')]

2. Envoyer des objets STIX à Sentinel

Vous pouvez envoyer les types d’objets STIX pris en charge en appelant notre API de chargement. Pour plus d’informations sur l’API, cliquez ici.

Méthode HTTP : POST

Point de terminaison : https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects :upload ?api-version=2024-02-01-preview

WorkspaceID : espace de travail dans lequel les objets STIX sont chargés.

Valeur d’en-tête 1 : « Authorization » = « Bearer [Microsoft Entra ID Access Token from step 1] »

Valeur d’en-tête 2 : « Content-Type » = « application/json »

Corps : le corps est un objet JSON contenant un tableau d’objets STIX.

---

Transmettre le connecteur de sécurité (à l’aide de Azure Functions)

Pris en charge par :Transmit Security

Le connecteur de données [Transmettre la sécurité] permet d’ingérer des événements de transmission API de sécurité courants dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous à la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
TransmitSecurityActivity_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• ID client de l’API REST : TransmitSecurityClientID est requis. Consultez la documentation pour en savoir plus sur l’API sur .https://developer.transmitsecurity.com/
• Clé secrète client de l’API REST : TransmitSecurityClientSecret est requis. Consultez la documentation pour en savoir plus sur l’API sur .https://developer.transmitsecurity.com/

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter au API de sécurité de transmission afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : étapes de configuration de l’API de sécurité de transmission

Suivez les instructions pour obtenir les informations d’identification.

1. Connectez-vous au portail de sécurité de transmission.
2. Configurer une application de gestion. Donnez un nom approprié à l’application, par exemple MyAzureSentinelCollector.
3. Enregistrez les informations d’identification du nouvel utilisateur à utiliser dans le connecteur de données.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Transmettre la sécurité, disposez de l’ID de l’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données De sécurité de transmission à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources.

3. Entrez les éléments TransmitSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityPullEndpoint, TransmitSecurityTokenEndpoint et déployez.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Transmettre la sécurité avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur dans les fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction.

   Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure.

   Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions.

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sélectionnez Variables d’environnement.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) :

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityPullEndpoint
    • TransmitSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour un cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois tous les paramètres d’application entrés, cliquez sur Appliquer.

---

Sécurité du point de terminaison Trellix (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Trellix Endpoint Security vous permet d’ingérer des événements de sécurité de Trellix ePO (ePolicy Orchestrator) dans Microsoft Sentinel. Ce connecteur utilise l’authentification des informations d’identification du client OAuth2 et gère automatiquement la pagination pour collecter des données complètes sur la sécurité des points de terminaison, notamment les détections de menaces, les informations de l’analyseur, les détails du système source et cible et les actions de réponse aux menaces.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
TrellixEvents	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

1. Configuration de l’API

Configurez votre connexion à l’API ePO Trellix.

• URL de base de l’API : (https://api.manage.trellix.com) Authentification

Fournissez votre clé API pour l’authentification. Celui-ci est envoyé dans l’en-tête x-api-key.

• Clé API : (Entrez votre clé API)

Remarque : La clé API sera stockée et utilisée en toute sécurité pour l’authentification avec l’API ePO Trellix.

2. Configuration de l’authentification

Configurez les informations d’identification d’authentification OAuth2.

• Point de terminaison de jeton : (https://iam.cloud.trellix.com/iam/v1.0/token) Configuration OAuth2 Configurez les informations d’identification du client OAuth2 pour l’accès à l’API. En savoir plus sur le modèle d’autorisation de l’API Trellix à l’adresse https://developer.manage.trellix.com/public/mvision/docs/umam

• ID client : (votre ID client)

• Clé secrète client : (votre clé secrète client)

Remarque : L’authentification OAuth2 fournit un accès sécurisé à vos points de terminaison d’API.

3. Activer le connecteur

Activer le connecteur Trellix Endpoint Security

Activation du connecteur

Passez en revue votre configuration et activez le connecteur pour commencer à collecter des événements de sécurité.

• Activer/désactiver la connexion après la connexion

Après la connexion, surveillez le connecteur status dans la page Connecteurs de données. Les données doivent commencer à apparaître dans les 5 à 10 minutes.

---

Trend Vision One (à l’aide de Azure Functions)

Pris en charge par :Trend Micro

Le connecteur Trend Vision One vous permet de connecter facilement vos données d’alerte Workbench à Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation. Cela vous donne plus d’informations sur les réseaux/systèmes de votre organization et améliore vos fonctionnalités d’opération de sécurité.

Le connecteur Trend Vision One est pris en charge dans Microsoft Sentinel dans les régions suivantes : Australie Est, Australie Sud-Est, Brésil Sud, Canada Centre, Canada Est, Inde Centre, USA Centre, Asie Est, USA Est, USA Est 2, France Centre, Japon Est, Corée Centre, USA Centre Nord, Europe Nord, Norvège Est, Afrique du Sud Nord, USA Centre Sud, Asie Sud-Est, Suède Centre, Suède Centre, Suisse Nord, Émirats arabes unis Nord, Royaume-Uni Sud, Royaume-Uni Ouest, Europe Ouest, USA Ouest 2, USA Ouest 3.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
TrendMicro_XDR_WORKBENCH_CL	Non	Non
TrendMicro_XDR_RCA_Task_CL	Non	Non
TrendMicro_XDR_RCA_Result_CL	Non	Non
TrendMicro_XDR_OAT_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API Trend Vision One : un jeton d’API Trend Vision One est requis. Consultez la documentation pour en savoir plus sur l’API Trend Vision One.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Trend Vision One afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes de configuration de l’API Trend Vision One

Suivez ces instructions pour créer un compte et un jeton d’authentification d’API.

ÉTAPE 2 : utilisez l’option de déploiement ci-dessous pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur Trend Vision One, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du jeton d’autorisation de l’API Trend Vision One, facilement disponibles.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Déploiement de modèle Azure Resource Manager (ARM)

Cette méthode fournit un déploiement automatisé du connecteur Trend Vision One à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez un nom de fonction, un ID d’espace de travail, une clé d’espace de travail, un jeton d’API et un code de région uniques.

• Remarque : fournissez le code de région approprié en fonction de l’emplacement où votre instance Trend Vision One est déployée : us, eu, au, in, sg, jp
• Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.
5. Cliquez sur Acheter pour déployer.

---

Tropico Security - Alertes

Pris en charge par :TROPICO Security

Ingérer des alertes de sécurité à partir de Tropico Security Platform au format de recherche de sécurité OCSF.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
{{graphQueriesTableName}}	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Connecter Tropico Security Platform

Entrez votre clé API en lecture seule à partir de Tropico Settings.

• Clé API : (trop_xxxx...)
• Activer/désactiver la connexion

---

Tropico Security - Événements

Pris en charge par :TROPICO Security

Ingérer des événements de sécurité à partir de Tropico Security Platform au format de recherche de sécurité OCSF.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
{{graphQueriesTableName}}	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Connecter Tropico Security Platform

Entrez votre clé API en lecture seule à partir de Tropico Settings.

• Clé API : (trop_xxxx...)
• Activer/désactiver la connexion

---

Tropico Security - Incidents

Pris en charge par :TROPICO Security

Ingérer des incidents de session d’attaquant à partir de Tropico Security Platform.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
{{graphQueriesTableName}}	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Connecter Tropico Security Platform

Entrez votre clé API en lecture seule à partir de Tropico Settings.

• Clé API : (trop_xxxx...)
• Activer/désactiver la connexion

---

Chargeur de journaux upwind (API d’ingestion)

Pris en charge par :Upwind

Le connecteur de données Upwind Logs Loader ingère les ressources de plateforme de calcul de la plateforme de sécurité cloud Upwind dans une table personnalisée Microsoft Sentinel à l’aide d’une fonction Azure et de l’API d’ingestion Azure Monitor (DCE/DCR).

Upwind fournit une sécurité cloud basée sur le runtime, en corrélatant la posture du cloud avec le contexte de charge de travail en direct. Ce connecteur expose votre inventaire upwind (ressources de plateforme de calcul sur AWS, GCP et Azure) directement dans Microsoft Sentinel pour la corrélation, la chasse et l’enrichissement des incidents.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
UpwindLogsAssets_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification de l’API Upwind : un ID client et une clé secrète client de l’API Upwind sont requis. Obtenez-les à partir de votre plateforme Upwind sous Paramètres → clés API. Les informations d’identification du client sont utilisées pour s’authentifier auprès https://auth.upwind.io/oauth/token de afin d’obtenir un jeton du porteur.
• Upwind Organization ID (ID d’organisation Upwind) : votre ID d’organisation Upwind est requis. Recherchez-la dans la plateforme Upwind sous Paramètres → Organisation.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions et l’API d’ingestion Azure Monitor (DCE/DCR) pour pousser les journaux Upwind dans Microsoft Sentinel. Le modèle ARM crée automatiquement le point de terminaison de collecte de données, la table de journal personnalisée (UpwindLogsAssets_CL), la règle de collecte de données et l’attribution de rôle. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions et Azure Page de tarification Monitor.

(Facultatif) Pendant le déploiement, choisissez Key Vault comme méthode d’authentification pour stocker en toute sécurité votre clé secrète client Upwind. Vous pouvez fournir un nom de Key Vault existant ou laisser le modèle en créer un. Une identité managée affectée par l’utilisateur est automatiquement configurée avec les stratégies d’accès Key Vault requises.

ÉTAPE 1 : Obtenir les informations d’identification de l’API Upwind

1. Connectez-vous à la plateforme Upwind.
2. Accédez à Paramètres → Clés API.
3. Créez une clé API et notez l’ID client et la clé secrète client.
4. Accédez à Paramètres → Organisation et notez votre ID d’organisation.

ÉTAPE 2 : Déployer l’application de fonction Azure

Cliquez sur Déployer pour Azure et renseignez les paramètres. Le modèle crée automatiquement le DCE, UpwindLogs_CL la table, la DCR, l’attribution de rôle et l’application de fonction.

aka.ms

Paramètres à renseigner :

Paramètre	Description
WorkspaceName	Nom de votre espace de travail Log Analytics/Microsoft Sentinel
UpwindOrgId	ID d’organisation upwind de l’étape 1
UpwindClientId	ID client de l’API Upwind de l’étape 1
UpwindClientSecret	Clé secrète client de l’API Upwind de l’étape 1
AppInsightsWorkspaceResourceID	ID de ressource complet de l’espace de travail Log Analytics (à partir de l’espace de travail Log Analytics → Propriétés)

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>

---

Signaux comportementaux de l’agent IA Vaikora

Pris en charge par :Data443 Risk Mitigation, Inc.

Ingérer des signaux comportementaux de l’agent IA de l’API Vaikora dans Microsoft Sentinel à l’aide du CCF (Codeless Connector Framework). Surveillez les actions de l’agent, les décisions de stratégie, les scores d’anomalie et les niveaux de risque pour détecter les activités d’IA suspectes dans votre environnement.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Vaikora_AgentSignals_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Clé API Vaikora : clé API Vaikora (vk_xxxxx) avec accès en lecture au point de terminaison actions. Obtenez-le à partir de votre tableau de bord Vaikora sous Paramètres > Clés API.

Instructions d’installation :

Connecter les signaux comportementaux de l’agent VAikora AI

Pour activer le connecteur Vaikora, entrez votre clé API Vaikora ci-dessous, puis cliquez sur Se connecter. L’ID de l’agent est facultatif ; utilisez-la pour étendre l’ingestion à un seul agent ou laissez-la vide pour ingérer les actions de tous les agents que la clé peut voir.

Votre clé API est disponible dans le tableau de bord Vaikora sous Paramètres > Clés API. L’ID d’agent est l’UUID affiché sur la page de détails de chaque agent.

• Clé API Vaikora : (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
• ID de l’agent Vaikora (facultatif) : (Laissez vide pour surveiller tous les agents)
• Activer/désactiver la connexion

---

Événements de configuration Valimail Enforce

Pris en charge par :Valimail

Le connecteur de données Valimail Configuration Events permet d’ingérer les événements de configuration du domaine de messagerie à partir de l’API de création de rapports de Valimail dans Microsoft Sentinel. Le connecteur de données repose sur Microsoft Sentinel framework de connecteur sans code.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ValimailEnforceEvents_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Étapes de configuration pour l’API Valimail Events Suivez les instructions du guide pour générer un ensemble d’informations d’identification de l’API de création de rapports. Stockez l’ID client créé et les clés d’ID d’application.

• Slug de compte client : (slug de compte)
• ID client d’API : (informations d’identification de l’ID client)
• ID de l’application API : (informations d’identification de l’ID d’application)
• Activer/désactiver la connexion

---

Connecteur Push Varonis Purview

Pris en charge par :Varonis

Le connecteur Varonis Purview permet de synchroniser les ressources de Varonis vers Microsoft Purview.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
VaronisResources_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur

Instructions d’installation :

1. Exécutez cette commande pour configurer l’ingestion pour Varonis Resoources

Cela crée les tables Log Analytics nécessaires, la règle de collecte de données (DCR) et une application Entra pour envoyer des données à la DCR en toute sécurité.

La configuration automatisée et l’ingestion sécurisée des données avec Entra’application en cliquant sur « Déployer » déclenchent la création de tables Log Analytics et d’une règle de collecte de données (DCR). Il crée ensuite une application Entra, lie la DCR à celle-ci et définit le secret entré dans l’application. Cette configuration permet l’envoi sécurisé des données à la DCR à l’aide d’un jeton Entra.

2. Envoyer vos journaux dans l’espace de travail

Utilisez les paramètres suivants pour configurer le connecteur Varonis Purview dans votre tableau de bord d’intégrations Varonis.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application d’inscription d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’inscription d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• Ressources Stream Nom : <valeur de variable fournie au moment de l’installation>

---

Varonis SaaS

Pris en charge par :Varonis

Varonis SaaS permet d’ingérer des alertes Varonis dans Microsoft Sentinel.

Varonis hiérarchise la visibilité approfondie des données, les fonctionnalités de classification et la correction automatisée pour l’accès aux données. Varonis crée une seule vue hiérarchisée des risques pour vos données, ce qui vous permet d’éliminer de manière proactive et systématique les risques liés aux menaces internes et aux cyberattaques.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
VaronisAlerts_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter au service Varonis DatAlert afin d’extraire des alertes dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

Pour Azure fonction et l’installation des services associés, utilisez :

portal.azure.com

ÉTAPE 1 : obtenir les informations d’identification de l’API de point de terminaison Varonis DatAlert.

Pour générer l’ID client et la clé API :

1. Lancez l’interface web Varonis.
2. Accédez à Configuration -> Clés API. La page Clés API s’affiche.
3. Cliquez sur Créer une clé API. Les paramètres Ajouter une nouvelle clé API s’affichent à droite.
4. Renseignez le nom et la description.
5. Cliquez sur le bouton Générer une clé.
6. Copiez le secret de clé API et enregistrez-le dans un emplacement pratique. Vous ne pourrez plus le copier.

Pour plus d’informations, veuillez case activée : Documentation Varonis

ÉTAPE 2 : déployez le connecteur et la fonction Azure associée.

• Nom de l’espace de travail : <valeur de variable fournie au moment de l’installation>

Utilisez cette méthode pour le déploiement automatisé du connecteur de données à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure.

   portal.azure.com

2. Sélectionnez l’abonnement, le groupe de ressources, la région, le type de compte de stockage par défaut.

3. Entrez Nom de l’espace de travail Log Analytics, Nom de domaine complet Varonis, Clé API Varonis SaaS.

4. Cliquez sur Vérifier + créer, créer.

---

Vectra XDR (à l’aide de Azure Functions)

Pris en charge par :Vectra Support

Le connecteur Vectra XDR permet d’ingérer des données de détections, d’audits, de scoring d’entités, de verrouillage, d’intégrité et d’entités dans Microsoft Sentinel via l’API REST Vectra. Pour plus d’informations, https://support.vectra.ai/s/article/KB-VS-1666 reportez-vous à la documentation de l’API.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Detections_Data_CL	Oui	Oui
Audits_Data_CL	Oui	Oui
Entity_Scoring_Data_CL	Oui	Oui
Lockdown_Data_CL	Oui	Oui
Health_Data_CL	Oui	Oui
Entities_Data_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : l’ID client Vectra et la clé secrète client sont requis pour la collecte de données d’intégrité, de scoring d’entité, d’entités, de détections, de verrouillage et d’audit. Consultez la documentation pour en savoir plus sur l’API sur .https://support.vectra.ai/s/article/KB-VS-1666

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Vectra afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

REMARQUE : Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu. Suivez ces étapes pour Analyseur de détections, Analyseur d’audit, Analyseur de scoring d’entités, Analyseur de verrouillage et Analyseur d’intégrité pour créer l’alias de fonctions Kusto, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown et VectraHealth.

ÉTAPE 1 : Étapes de configuration des informations d’identification de l’API Vectra

Suivez ces instructions pour créer un ID client Vectra et une clé secrète client.

1. Connectez-vous à votre portail Vectra
2. Accédez à Gérer -> Clients d’API
3. Dans la page Clients d’API, sélectionnez « Ajouter un client API » pour créer un client.
4. Ajoutez le nom du client, sélectionnez Rôle, puis cliquez sur Générer des informations d’identification pour obtenir vos informations d’identification client.
5. Veillez à enregistrer votre ID client et votre clé secrète pour la conservation. Vous aurez besoin de ces deux informations pour obtenir un jeton d’accès à partir de l’API Vectra. Un jeton d’accès est nécessaire pour effectuer des requêtes à tous les points de terminaison de l’API Vectra.

ÉTAPE 2 : Étapes d’inscription d’application pour l’application dans Microsoft Entra ID

Cette intégration nécessite une inscription d’application dans le Portail Azure. Suivez les étapes de cette section pour créer une application dans Microsoft Entra ID :

1. Connectez-vous au Portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez inscriptions d'applications > Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.
6. Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) et l’ID de locataire. L’ID client et l’ID de locataire sont requis comme paramètres de configuration pour l’exécution de Vectra Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 3 : Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de Vectra Data Connector. Suivez les étapes de cette section pour créer une clé secrète client :

1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
2. Sélectionnez Certificats & secrets > secrets client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page. La valeur de secret est requise comme paramètre de configuration pour l’exécution de Vectra Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 4 : Obtenir l’ID d’objet de votre application dans Microsoft Entra ID

Après avoir créé l’inscription de votre application, suivez les étapes de cette section pour obtenir l’ID d’objet :

1. Allez à Microsoft Entra ID.
2. Sélectionnez Applications d’entreprise dans le menu de gauche.
3. Recherchez votre application nouvellement créée dans la liste (vous pouvez effectuer une recherche par le nom que vous avez fourni).
4. Cliquez sur l’application.
5. Dans la page vue d’ensemble, copiez l’ID d’objet. Il s’agit de l’AzureEntraObjectId nécessaire pour l’attribution de rôle de votre modèle ARM.

ÉTAPE 5 : Attribuer le rôle Contributeur à l’application dans Microsoft Entra ID

Suivez les étapes de cette section pour attribuer le rôle :

1. Dans le Portail Azure, accédez à Groupe de ressources et sélectionnez votre groupe de ressources.
2. Accédez à Contrôle d’accès (IAM) à partir du volet gauche.
3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
6. Cliquez sur Ajouter des membres, tapez le nom de votre application que vous avez créée et sélectionnez-la.
7. Cliquez maintenant sur Vérifier + attribuer, puis cliquez à nouveau sur Vérifier + attribuer.

Lien de référence :/azure/role-based-access-control/role-assignments-portal

ÉTAPE 6 : Créer un coffre de clés

Suivez ces instructions pour créer un coffre de clés.

1. Dans la Portail Azure, accédez à Coffres de clés, puis cliquez sur Créer.
2. Sélectionnez Subsciption, Resource Group (Groupe de ressources) et indiquez le nom unique du coffre de clés.

ÉTAPE 7 : Créer une stratégie d’accès dans KeyVault

Suivez ces instructions pour créer une stratégie d’accès dans KeyVault.

1. Accédez aux coffres de clés, sélectionnez votre coffre de clés, accédez à Stratégies d’accès dans le panneau latéral gauche, puis cliquez sur Créer.
2. Sélectionnez toutes les clés & autorisations de secrets. Cliquez sur Suivant.
3. Dans la section principal, recherchez par nom d’application qui a été généré à l’étape 2. Cliquez sur Suivant.

Remarque : Vérifiez que le modèle d’autorisation dans la configuration d’accès de Key Vault est défini sur « Stratégie d’accès au coffre »

ÉTAPE 8 - Choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Vectra, disposez des informations d’identification d’autorisation de l’API Vectra.

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Vectra.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les informations ci-dessous : Nom de la fonction Nom de l’espace de travail Vectra URL de base (https://< vectra-portal-url>) ID du client Vectra - Clé secrète client Vectra d’intégrité - Id client Vectra de scoring d’entité - ID client Vectra de scoring d’entité - Détections Vectra Clé secrète clienttra - Détections id client Vectra - Audits Vectra Client Secret - Audits Vectra Client ID - Verrouillage de la clé secrète client Vectra - Id client de verrouillage Vectra - Host-Entity clé secrète client Vectra - Host-Entity ID client Vectra - Account-Entity Clé secrète client Vectra : Account-Entity Key Vault nom Azure ID client Azure ID de locataire de la clé secrète client Azure Entra ObjectID StartTime (au format MM/DD/AAAA HH :MM :SS) Include Score Diminuer les audits nom de la table Détections de table Nom de la table de score d’entité Nom nom de la table d’intégrité Nom de la table Nom de la table d’intégrité Nom de la table Exclure les détails du groupe du niveau de journalisation des détections (par défaut : INFO) Planification de verrouillage Planification Des détections de la planification de l’intégrité Audits planification planification des entités de scoring d’entité Planification

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Vectra avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, VECTRAXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.8 ou version ultérieure.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (respectant la casse) : ID d’espace de travail Clé de l’espace de travail URL de base Vectra (https://< vectra-portal-url>) ID client Vectra - Clé secrète client Vectra d’intégrité - Id client Vectra de scoring d’entité - Id client Vectra - Détections Vectra Client Secret - Détections Vectra Id client - Audits Vectra Client Secret - Audits Vectra Client Id - Verrouillage Vectra Client Secret - Verrouillage ID du client Vectra - Host-Entity clé secrète client Vectra - Host-Entity ID client Vectra - Account-Entity clé secrète client Vectra - nom Account-Entity Key Vault Azure id client Azure id client secret client Id starttime StartTime (au format MM/DD/AAAA HH :MM :SS) Include Score Decrease Audits Table Name Detections Table Name Entity Scoring Table Name Lockdown Table Name Name Health Table Name Entities Table Name (Valeur par défaut : INFO) Lockdown Schedule Health Schedule Detections Schedule Audits Schedule Entity Scoring Schedule Entities Schedule logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Veeam Data Connector (à l’aide de Azure Functions)

Pris en charge par :Veeam Software

Veeam Data Connector vous permet d’ingérer des données de télémétrie Veeam à partir de plusieurs tables personnalisées dans Microsoft Sentinel.

Le connecteur prend en charge l’intégration aux plateformes Veeam Backup & Replication, Veeam ONE et Coveware pour fournir une analyse complète de la sécurité et de la surveillance. Les données sont collectées via Azure Functions et stockées dans des tables Log Analytics personnalisées avec des règles de collecte de données (DCR) dédiées et des points de terminaison de collecte de données (DCE).

Tables personnalisées incluses :

• VeeamMalwareEvents_CL : Événements de détection de programmes malveillants de Veeam Backup & Replication
• VeeamSecurityComplianceAnalyzer_CL : Résultats de l’analyseur de conformité & de sécurité collectés à partir des composants de l’infrastructure de sauvegarde Veeam
• VeeamAuthorizationEvents_CL : Événements d’autorisation et d’authentification
• VeeamOneTriggeredAlarms_CL : Alarmes déclenchées à partir des serveurs Veeam ONE
• VeeamCovewareFindings_CL : Résultats de sécurité de la solution Coveware
• VeeamSessions_CL : sessions Veeam

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
VeeamMalwareEvents_CL	Oui	Oui
VeeamSecurityComplianceAnalyzer_CL	Oui	Oui
VeeamOneTriggeredAlarms_CL	Oui	Oui
VeeamAuthorizationEvents_CL	Oui	Oui
VeeamCovewareFindings_CL	Oui	Oui
VeeamSessions_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Accès à l’infrastructure Veeam : l’accès à l’API REST Veeam Backup & Replication et à la plateforme de supervision Veeam ONE est requis. Cela inclut les informations d’identification d’authentification et la connectivité réseau appropriées.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter aux API Veeam et extraire des données dans Microsoft Sentinel tables personnalisées. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

ÉTAPE 1 : sélectionnez l’option de déploiement pour Veeam Data Connector et les Azure Functions associées

IMPORTANT: Avant de déployer Veeam Data Connector, préparez le nom de l’espace de travail (peut être copié à partir de ce qui suit).

• Nom de l’espace de travail : <valeur de variable fournie au moment de l’installation>

modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Veeam à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   portal.azure.com

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez le nom de l’espace de travail Microsoft Sentinel.

4. Cliquez sur Vérifier + créer, créer.

---

VersasecCms

Pris en charge par :Versasec Support

Le connecteur de données VersasecCms permet d’ingérer des journaux dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
VersasecCmsSysLogs_CL	Non	Non
VersasecCmsErrorLogs_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Configuration

Entrez les informations d’identification pour VersasecCms.

• URL de gestion :
• Chemin de base de l’API :
• Jeton d’API :
• Intervalle d’interrogation (minutes) :
• Activer/désactiver la connexion

---

VirtualMetric DataStream pour Microsoft Sentinel

Pris en charge par :VirtualMetric

Le connecteur VirtualMetric DataStream déploie des règles de collecte de données pour ingérer des données de télémétrie de sécurité dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommonSecurityLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Inscription d’application ou identité managée Azure : VirtualMetric DataStream nécessite une identité d’ID Entra pour authentifier et envoyer des journaux à Microsoft Sentinel. Vous pouvez choisir entre la création d’une inscription d’application avec l’ID client et la clé secrète client, ou l’utilisation de Azure identité managée pour une sécurité renforcée sans gestion des informations d’identification.
• Attribution de rôle de groupe de ressources : l’identité choisie (inscription d’application ou identité managée) doit être affectée au groupe de ressources contenant le point de terminaison de collecte de données avec les rôles suivants : Éditeur de métriques de surveillance (pour l’ingestion des journaux) et Lecteur de surveillance (pour la configuration du flux de lecture).

Instructions d’installation :

Configurer VirtualMetric DataStream pour Microsoft Sentinel

Configurez virtualMetric DataStream pour Microsoft Sentinel pour envoyer des données.

Inscrire l’application dans Microsoft Entra ID (facultatif)

Choisissez votre méthode d’authentification : Option A : Utiliser l’identité managée Azure (recommandé)

• Ignorez cette étape si vous envisagez d’utiliser Azure identité managée pour l’authentification.
• Azure l’identité managée fournit une méthode d’authentification plus sécurisée sans gérer les informations d’identification.

Option B : Inscrire une application de principal de service

1. Ouvrez la page Microsoft Entra ID :

   • Cliquez sur le lien fourni pour ouvrir la page d’inscription Microsoft Entra ID dans un nouvel onglet.
   • Vérifiez que vous êtes connecté avec un compte disposant des autorisations Administrateur d’application ou Administrateur général .

2. Créer une application :

   • Dans le portail Microsoft Entra ID, sélectionnez inscriptions d'applications dans le volet de navigation gauche.
   • Cliquez sur + Nouvelle inscription.
   • Renseignez les champs suivants :

• Nom : entrez un nom descriptif pour l’application (par exemple, « Connecteur ASIM VirtualMetric »).
• Types de comptes pris en charge : choisissez Comptes dans cet annuaire organisationnel uniquement (monolocataire).
• URI de redirection : laissez ce champ vide.
  • Cliquez sur Inscrire pour créer l’application.

3. Copiez les ID d’application et de locataire :

   • Une fois l’application inscrite, notez l’ID d’application (client) et l’ID d’annuaire (locataire) dans la page Vue d’ensemble . Vous en aurez besoin pour la configuration de VirtualMetric DataStream.

4. Créez une clé secrète client :

   • Dans la section Certificats & secrets, cliquez sur + Nouvelle clé secrète client.
   • Ajoutez une description (par exemple, « Secret ASIM VirtualMetric ») et définissez une période d’expiration appropriée.
   • Cliquez sur Ajouter.
   • Copiez immédiatement la valeur de la clé secrète client, car elle ne sera plus affichée. Stockez-le en toute sécurité pour la configuration de VirtualMetric DataStream.

Attribuer les autorisations requises

Attribuez les rôles requis à la méthode d’authentification que vous avez choisie (principal du service ou identité managée) dans le groupe de ressources.

Pour Principal de service (si vous avez terminé l’étape 1) :

1. Accédez à Votre groupe de ressources :

   • Ouvrez le portail Azure et accédez au groupe de ressources qui contient votre espace de travail Log Analytics et où les règles de collecte de données (DCR) seront déployées.

2. Attribuez le rôle Éditeur de métriques de surveillance :

   • Dans le groupe de ressources, cliquez sur Contrôle d’accès (IAM) dans le menu de gauche.
   • Cliquez sur + Ajouter, puis sélectionnez Ajouter une attribution de rôle.
   • Sous l’onglet Rôle, recherchez et sélectionnez Éditeur de métriques de surveillance.
   • Cliquez sur Suivant pour accéder à l’onglet Membres .
   • Sous Attribuer l’accès à, sélectionnez Utilisateur, groupe ou principal de service.
   • Cliquez sur + Sélectionner des membres et recherchez votre application inscrite par nom ou ID client.
   • Sélectionnez votre application, puis cliquez sur Sélectionner.
   • Cliquez sur Vérifier + affecter deux fois pour terminer l’affectation.

3. Attribuez le rôle Lecteur d’analyse :

   • Répétez le même processus pour attribuer le rôle Lecteur de surveillance :
   • Cliquez sur + Ajouter, puis sélectionnez Ajouter une attribution de rôle.
   • Sous l’onglet Rôle, recherchez et sélectionnez Lecteur d’analyse.
   • Suivez le même processus de sélection de membre que ci-dessus.
   • Cliquez sur Vérifier + affecter deux fois pour terminer l’affectation. Pour Azure identité managée :

4. Créez ou identifiez votre identité managée :

   • Si vous utilisez une identité managée affectée par le système : activez-la sur votre ressource Azure (machine virtuelle, App Service, etc.).
   • Si vous utilisez une identité managée affectée par l’utilisateur : créez-en une dans votre groupe de ressources si elle n’existe pas.

5. Attribuez le rôle Éditeur de métriques de surveillance :

   • Suivez les mêmes étapes que ci-dessus, mais sous l’onglet Membres :
   • Sous Attribuer l’accès à, sélectionnez Identité managée.
   • Cliquez sur + Sélectionner des membres , choisissez le type d’identité managée approprié, puis sélectionnez votre identité.
   • Cliquez sur Sélectionner, puis sur Vérifier + affecter deux fois pour terminer.

6. Attribuez le rôle Lecteur d’analyse :

   • Répétez le processus pour attribuer le rôle Lecteur d’analyse à la même identité managée. Résumé des autorisations requises : les rôles attribués fournissent les fonctionnalités suivantes :

• Éditeur de métriques de surveillance : écrire des données dans des points de terminaison de collecte de données (DCE) et envoyer des données de télémétrie via des règles de collecte de données (DCR)
• Lecteur de surveillance : Lire la configuration du flux et accéder à l’espace de travail Log Analytics pour l’ingestion de table ASIM

Déployer Azure infrastructure

Déployez le point de terminaison de collecte de données (DCE) et les règles de collecte de données (DCR) nécessaires pour Microsoft Sentinel tables à l’aide de notre modèle ARM.

1. Déployer sur Azure :

   • Cliquez sur le bouton Déployer sur Azure ci-dessous pour déployer automatiquement l’infrastructure requise :
   • portal.azure.com
   • Cela vous permet d’accéder directement au Portail Azure pour démarrer le déploiement.

2. Configurer les paramètres de déploiement :

   • Dans la page déploiement personnalisé, configurez les paramètres suivants :

   Détails du projet :

   • Abonnement : sélectionnez votre abonnement Azure dans la liste déroulante.
   • Groupe de ressources : sélectionnez un groupe de ressources existant ou cliquez sur Créer nouveau pour créer un nouveau détails de l’instance :
   • Région : sélectionnez la région Azure où se trouve votre espace de travail Log Analytics (par exemple, Europe Ouest)
   • Espace de travail : entrez le nom de votre espace de travail Log Analytics
   • Nom DCE : fournissez un nom pour le point de terminaison de collecte de données (par exemple, « vmetric-dce »)
   • Préfixe de nom DCR : fournissez un préfixe pour les règles de collecte de données (par exemple, « vmetric-dcr »)

3. Terminez le déploiement :

   • Cliquez sur Vérifier + créer pour valider le modèle.
   • Passez en revue les paramètres, puis cliquez sur Créer pour déployer les ressources.
   • Attendez la fin du déploiement (prend généralement 2 à 5 minutes).

4. Vérifiez les ressources déployées :

   • Après le déploiement, vérifiez que les ressources suivantes ont été créées :

• Point de terminaison de collecte de données (DCE) : vérifier Azure portail > Surveiller les > points de terminaison de collecte de données
• Règles de collecte de données (DCR) : vérifier Azure portail > Surveiller les > règles de collecte de données
  • Copiez l’URI d’ingestion des journaux DCE à partir de la page Vue d’ensemble de DCE (format : https://<dce-name>.<region>.ingest.monitor.azure.com)
  • Copiez l’ID de ressource DCE à partir de la page Vue d’ensemble de DCE (format : /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Pour chaque DCR, notez l’ID immuable de la page Vue d’ensemble : vous en aurez besoin pour la configuration de VirtualMetric DataStream.

Configurer l’intégration de VirtualMetric DataStream

Configurez VirtualMetric DataStream pour envoyer des données de télémétrie de sécurité aux tables Microsoft Sentinel.

1. Accéder à la configuration du flux de données VirtualMetric :

   • Connectez-vous à votre console de gestion DataStream VirtualMetric.
   • Accédez à la section Fleet Management Targets (Cibles de gestion de > la flotte ).
   • Cliquez sur le bouton Ajouter une nouvelle cible .
   • Sélectionnez Microsoft Sentinel cible.

2. Configurer les paramètres généraux :

   • Nom : entrez un nom pour votre cible (par exemple, « cus01-ms-sentinel »)
   • Description : si vous le souhaitez, fournissez une description pour la configuration cible

3. Configurer l’authentification Azure (choisissez en fonction de l’étape 1) : Pour l’authentification du principal de service :

   • Identité managée pour Azure : Conserver désactivé
   • ID de locataire : entrez l’ID d’annuaire (locataire) de l’étape 1
   • ID client : entrez l’ID d’application (client) de l’étape 1
   • Clé secrète client : entrez la valeur de clé secrète client de l’étape 1 pour Azure identité managée :
   • Identité managée pour Azure : défini sur Activé

4. Configurez Stream Propriétés :

   • Point de terminaison : choisissez votre méthode de configuration :

• Pour la configuration manuelle du flux : entrez l’URI d’ingestion des journaux DCE (format : https://<dce-name>.<region>.ingest.monitor.azure.com)
• Pour la détection automatique de flux : entrez l’ID de ressource DCE (format : /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Flux : sélectionnez Auto pour la détection automatique des flux, ou configurez des flux spécifiques si nécessaire.

5. Vérifier l’ingestion des données dans Microsoft Sentinel :
   • Revenir à votre espace de travail Log Analytics
   • Exécutez des exemples de requêtes sur les tables ASIM pour confirmer la réception des données :

     ASimNetworkSessionLogs
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Consultez le tableau de bord vue d’ensemble du Microsoft Sentinel pour connaître les nouvelles sources de données et le nombre d’événements.

---

VirtualMetric DataStream pour Microsoft Sentinel data lake

Pris en charge par :VirtualMetric

Le connecteur VirtualMetric DataStream déploie des règles de collecte de données pour ingérer des données de télémétrie de sécurité dans Microsoft Sentinel lac de données.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommonSecurityLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Inscription d’application ou identité managée Azure : VirtualMetric DataStream nécessite une identité d’ID Entra pour authentifier et envoyer des journaux à Microsoft Sentinel lac de données. Vous pouvez choisir entre la création d’une inscription d’application avec l’ID client et la clé secrète client, ou l’utilisation de Azure identité managée pour une sécurité renforcée sans gestion des informations d’identification.
• Attribution de rôle de groupe de ressources : l’identité choisie (inscription d’application ou identité managée) doit être affectée au groupe de ressources contenant le point de terminaison de collecte de données avec les rôles suivants : Éditeur de métriques de surveillance (pour l’ingestion des journaux) et Lecteur de surveillance (pour la configuration du flux de lecture).

Instructions d’installation :

Configurer VirtualMetric DataStream pour Microsoft Sentinel data lake

Configurez virtualMetric DataStream pour Microsoft Sentinel lac de données afin d’envoyer des données.

Inscrire l’application dans Microsoft Entra ID (facultatif)

Choisissez votre méthode d’authentification : Option A : Utiliser l’identité managée Azure (recommandé)

• Ignorez cette étape si vous envisagez d’utiliser Azure identité managée pour l’authentification.
• Azure l’identité managée fournit une méthode d’authentification plus sécurisée sans gérer les informations d’identification.

Option B : Inscrire une application de principal de service

1. Ouvrez la page Microsoft Entra ID :

   • Cliquez sur le lien fourni pour ouvrir la page d’inscription Microsoft Entra ID dans un nouvel onglet.
   • Vérifiez que vous êtes connecté avec un compte disposant des autorisations Administrateur d’application ou Administrateur général .

2. Créer une application :

   • Dans le portail Microsoft Entra ID, sélectionnez inscriptions d'applications dans le volet de navigation gauche.
   • Cliquez sur + Nouvelle inscription.
   • Renseignez les champs suivants :

• Nom : entrez un nom descriptif pour l’application (par exemple, « Connecteur ASIM VirtualMetric »).
• Types de comptes pris en charge : choisissez Comptes dans cet annuaire organisationnel uniquement (monolocataire).
• URI de redirection : laissez ce champ vide.
  • Cliquez sur Inscrire pour créer l’application.

3. Copiez les ID d’application et de locataire :

   • Une fois l’application inscrite, notez l’ID d’application (client) et l’ID d’annuaire (locataire) dans la page Vue d’ensemble . Vous en aurez besoin pour la configuration de VirtualMetric DataStream.

4. Créez une clé secrète client :

   • Dans la section Certificats & secrets, cliquez sur + Nouvelle clé secrète client.
   • Ajoutez une description (par exemple, « Secret ASIM VirtualMetric ») et définissez une période d’expiration appropriée.
   • Cliquez sur Ajouter.
   • Copiez immédiatement la valeur de la clé secrète client, car elle ne sera plus affichée. Stockez-le en toute sécurité pour la configuration de VirtualMetric DataStream.

Attribuer les autorisations requises

Attribuez les rôles requis à la méthode d’authentification que vous avez choisie (principal du service ou identité managée) dans le groupe de ressources.

Pour Principal de service (si vous avez terminé l’étape 1) :

1. Accédez à Votre groupe de ressources :

   • Ouvrez le portail Azure et accédez au groupe de ressources qui contient votre espace de travail Log Analytics et où les règles de collecte de données (DCR) seront déployées.

2. Attribuez le rôle Éditeur de métriques de surveillance :

   • Dans le groupe de ressources, cliquez sur Contrôle d’accès (IAM) dans le menu de gauche.
   • Cliquez sur + Ajouter, puis sélectionnez Ajouter une attribution de rôle.
   • Sous l’onglet Rôle, recherchez et sélectionnez Éditeur de métriques de surveillance.
   • Cliquez sur Suivant pour accéder à l’onglet Membres .
   • Sous Attribuer l’accès à, sélectionnez Utilisateur, groupe ou principal de service.
   • Cliquez sur + Sélectionner des membres et recherchez votre application inscrite par nom ou ID client.
   • Sélectionnez votre application, puis cliquez sur Sélectionner.
   • Cliquez sur Vérifier + affecter deux fois pour terminer l’affectation.

3. Attribuez le rôle Lecteur d’analyse :

   • Répétez le même processus pour attribuer le rôle Lecteur de surveillance :
   • Cliquez sur + Ajouter, puis sélectionnez Ajouter une attribution de rôle.
   • Sous l’onglet Rôle, recherchez et sélectionnez Lecteur d’analyse.
   • Suivez le même processus de sélection de membre que ci-dessus.
   • Cliquez sur Vérifier + affecter deux fois pour terminer l’affectation. Pour Azure identité managée :

4. Créez ou identifiez votre identité managée :

   • Si vous utilisez une identité managée affectée par le système : activez-la sur votre ressource Azure (machine virtuelle, App Service, etc.).
   • Si vous utilisez une identité managée affectée par l’utilisateur : créez-en une dans votre groupe de ressources si elle n’existe pas.

5. Attribuez le rôle Éditeur de métriques de surveillance :

   • Suivez les mêmes étapes que ci-dessus, mais sous l’onglet Membres :
   • Sous Attribuer l’accès à, sélectionnez Identité managée.
   • Cliquez sur + Sélectionner des membres , choisissez le type d’identité managée approprié, puis sélectionnez votre identité.
   • Cliquez sur Sélectionner, puis sur Vérifier + affecter deux fois pour terminer.

6. Attribuez le rôle Lecteur d’analyse :

   • Répétez le processus pour attribuer le rôle Lecteur d’analyse à la même identité managée. Résumé des autorisations requises : les rôles attribués fournissent les fonctionnalités suivantes :

• Éditeur de métriques de surveillance : écrire des données dans des points de terminaison de collecte de données (DCE) et envoyer des données de télémétrie via des règles de collecte de données (DCR)
• Lecteur de surveillance : Lire la configuration du flux et accéder à l’espace de travail Log Analytics pour l’ingestion de table ASIM

Déployer Azure infrastructure

Déployez le point de terminaison de collecte de données (DCE) et les règles de collecte de données (DCR) nécessaires pour Microsoft Sentinel tables de lac de données à l’aide de notre modèle ARM.

1. Déployer sur Azure :

   • Cliquez sur le bouton Déployer sur Azure ci-dessous pour déployer automatiquement l’infrastructure requise :
   • portal.azure.com
   • Cela vous permet d’accéder directement au Portail Azure pour démarrer le déploiement.

2. Configurer les paramètres de déploiement :

   • Dans la page déploiement personnalisé, configurez les paramètres suivants :

   Détails du projet :

   • Abonnement : sélectionnez votre abonnement Azure dans la liste déroulante.
   • Groupe de ressources : sélectionnez un groupe de ressources existant ou cliquez sur Créer nouveau pour créer un nouveau détails de l’instance :
   • Région : sélectionnez la région Azure où se trouve votre espace de travail Log Analytics (par exemple, Europe Ouest)
   • Espace de travail : entrez le nom de votre espace de travail Log Analytics
   • Nom DCE : fournissez un nom pour le point de terminaison de collecte de données (par exemple, « vmetric-dce »)
   • Préfixe de nom DCR : fournissez un préfixe pour les règles de collecte de données (par exemple, « vmetric-dcr »)

3. Terminez le déploiement :

   • Cliquez sur Vérifier + créer pour valider le modèle.
   • Passez en revue les paramètres, puis cliquez sur Créer pour déployer les ressources.
   • Attendez la fin du déploiement (prend généralement 2 à 5 minutes).

4. Vérifiez les ressources déployées :

   • Après le déploiement, vérifiez que les ressources suivantes ont été créées :

• Point de terminaison de collecte de données (DCE) : vérifier Azure portail > Surveiller les > points de terminaison de collecte de données
• Règles de collecte de données (DCR) : vérifier Azure portail > Surveiller les > règles de collecte de données
  • Copiez l’URI d’ingestion des journaux DCE à partir de la page Vue d’ensemble de DCE (format : https://<dce-name>.<region>.ingest.monitor.azure.com)
  • Copiez l’ID de ressource DCE à partir de la page Vue d’ensemble de DCE (format : /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Pour chaque DCR, notez l’ID immuable de la page Vue d’ensemble : vous en aurez besoin pour la configuration de VirtualMetric DataStream.

Configurer l’intégration de VirtualMetric DataStream

Configurez VirtualMetric DataStream pour envoyer des données de télémétrie de sécurité à Microsoft Sentinel tables de lac de données.

1. Accéder à la configuration du flux de données VirtualMetric :

   • Connectez-vous à votre console de gestion DataStream VirtualMetric.
   • Accédez à la section Fleet Management Targets (Cibles de gestion de > la flotte ).
   • Cliquez sur le bouton Ajouter une nouvelle cible .
   • Sélectionnez Microsoft Sentinel cible.

2. Configurer les paramètres généraux :

   • Nom : entrez un nom pour votre cible (par exemple, « cus01-ms-sentinel »)
   • Description : si vous le souhaitez, fournissez une description pour la configuration cible

3. Configurer l’authentification Azure (choisissez en fonction de l’étape 1) : Pour l’authentification du principal de service :

   • Identité managée pour Azure : Conserver désactivé
   • ID de locataire : entrez l’ID d’annuaire (locataire) de l’étape 1
   • ID client : entrez l’ID d’application (client) de l’étape 1
   • Clé secrète client : entrez la valeur de clé secrète client de l’étape 1 pour Azure identité managée :
   • Identité managée pour Azure : défini sur Activé

4. Configurez Stream Propriétés :

   • Point de terminaison : choisissez votre méthode de configuration :

• Pour la configuration manuelle du flux : entrez l’URI d’ingestion des journaux DCE (format : https://<dce-name>.<region>.ingest.monitor.azure.com)
• Pour la détection automatique de flux : entrez l’ID de ressource DCE (format : /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Flux : sélectionnez Auto pour la détection automatique des flux, ou configurez des flux spécifiques si nécessaire.

5. Vérifier l’ingestion des données dans Microsoft Sentinel lac de données :
   • Revenir à votre espace de travail Log Analytics
   • Exécutez des exemples de requêtes sur les tables ASIM pour confirmer la réception des données :

     ASimNetworkSessionLogs
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Consultez le tableau de bord vue d’ensemble du Microsoft Sentinel pour connaître les nouvelles sources de données et le nombre d’événements.

---

Proxy du directeur VirtualMetric

Pris en charge par :VirtualMetric

VirtualMetric Director Proxy déploie une application de fonction Azure pour établir un pont sécurisé entre VirtualMetric DataStream et Azure services, notamment Microsoft Sentinel, Azure Data Explorer et stockage Azure.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommonSecurityLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Function App : une application de fonction Azure doit être déployée pour héberger le proxy directeur. Nécessite des autorisations de lecture, d’écriture et de suppression sur les ressources Microsoft.Web/sites au sein de votre groupe de ressources pour créer et gérer l’application de fonction.
• Configuration de VirtualMetric DataStream : Vous devez configurer VirtualMetric DataStream avec les informations d’identification d’authentification pour vous connecter au proxy directeur. Le proxy du directeur agit comme un pont sécurisé entre les services VirtualMetric DataStream et Azure.
• Services Azure cibles : configurez vos services Azure cibles, tels que les points de terminaison de collecte de données Microsoft Sentinel, les clusters Azure Data Explorer ou les comptes de stockage Azure où le proxy directeur transfère les données.

Instructions d’installation :

Déployer le proxy VirtualMetric Director

Déployez l’application de fonction Azure qui sert de proxy sécurisé entre VirtualMetric DataStream et Microsoft Sentinel.

Conditions préalables et ordre de déploiement

Ordre de déploiement recommandé :

Pour une configuration optimale, envisagez d’abord de déployer les connecteurs cibles :

1. Déployer Microsoft Sentinel Connector : déployez d’abord le connecteur VirtualMetric DataStream pour Microsoft Sentinel afin de créer les règles et points de terminaison de collecte de données requis.

2. Déployer Microsoft Sentinel connecteur Data Lake (facultatif) : si vous utilisez des tables de lac de données Microsoft Sentinel, déployez virtualMetric DataStream pour Microsoft Sentinel connecteur Data Lake.

3. Déployer le proxy du directeur (cette étape) : le proxy directeur peut ensuite être configuré avec vos cibles Microsoft Sentinel. Remarque : Cet ordre est recommandé, mais pas obligatoire. Vous pouvez déployer le proxy du directeur indépendamment et le configurer avec vos cibles ultérieurement.

Déployer Azure Function App

Déployez le proxy VirtualMetric Director Azure Function App à l’aide du bouton Déployer sur Azure.

1. Déployer sur Azure :

   • Cliquez sur le bouton Déployer sur Azure ci-dessous pour déployer l’application de fonction :
   • portal.azure.com

2. Configurer les paramètres de déploiement :

   • Abonnement : sélectionnez votre abonnement Azure
   • Groupe de ressources : choisissez le même groupe de ressources que votre espace de travail Microsoft Sentinel ou créez-en un.
   • Région : sélectionnez la région Azure (doit correspondre à votre région d’espace de travail Microsoft Sentinel)
   • Nom de l’application de fonction : fournissez un nom unique pour l’application de fonction (par exemple, « vmetric-director-proxy »)

3. Déploiement terminé :

   • Cliquez sur Vérifier + créer pour valider les paramètres.
   • Cliquez sur Créer pour déployer l’application de fonction
   • Attendez la fin du déploiement (généralement 3 à 5 minutes)
   • Notez l’URL de l’application de fonction : https://<function-app-name>.azurewebsites.net

Configurer les autorisations de l’application de fonction

Attribuez les autorisations nécessaires à l’identité managée de l’application de fonction pour accéder aux ressources Microsoft Sentinel.

1. Activer System-Assigned'identité managée :

   • Accédez à votre application de fonction déployée dans Azure portail
   • Accédez à Identité sous Paramètres
   • Activer l’état pour l’identité affectée par le système
   • Cliquez sur Enregistrer et confirmer.

2. Accédez au groupe de ressources :

   • Accédez au groupe de ressources contenant votre espace de travail Microsoft Sentinel et vos points de terminaison de collecte de données

3. Attribuer les rôles requis :

   • Ouvrir le contrôle d’accès (IAM)
   • Cliquez sur + Ajouter Ajouter > une attribution de rôle
   • Attribuez les rôles suivants à l’identité managée affectée par le système de l’application de fonction :

• Éditeur de métriques de surveillance : pour l’envoi de données aux points de terminaison de collecte de données
• Lecteur d’analyse : Pour lire la configuration des règles de collecte de données

4. Sélectionnez l’identité de l’application de fonction :

   • Sous l’onglet Membres, sélectionnez Identité managée.
   • Choisissez Application de fonction et sélectionnez votre application de fonction proxy de directeur déployée.
   • Terminer l’attribution de rôle

5. Obtenir le jeton d’accès à l’application de fonction (facultatif pour l’authentification par clé de fonction) :

   • Accédez à votre application de fonction
   • Accédez à Clés d’application sous Fonctions
   • Copier la clé d’hôte par défaut ou créer une clé de fonction pour l’authentification

Configurer l’intégration de VirtualMetric DataStream

Configurez VirtualMetric DataStream pour envoyer des données de télémétrie de sécurité à Microsoft Sentinel via le proxy du directeur.

1. Accéder à la configuration du flux de données VirtualMetric :

   • Connectez-vous à votre console de gestion DataStream VirtualMetric
   • Accédez à la section Cibles
   • Cliquez sur Microsoft Sentinel cibles
   • Cliquez sur Ajouter une nouvelle cible ou modifier une cible Microsoft Sentinel existante

2. Configurer les paramètres généraux :

   • Nom : entrez un nom pour votre cible (par exemple, « sentinel-with-proxy »)
   • Description : si vous le souhaitez, fournissez une description pour la configuration cible

3. Configurer l’authentification Azure : Pour l’authentification du principal de service :

   • Identité managée pour Azure : Conserver désactivé
   • ID de locataire : entrez votre ID de locataire Azure Active Directory
   • ID client : entrez l’ID d’application de votre principal de service
   • Clé secrète client : entrez la clé secrète client de votre principal de service pour Azure identité managée :
   • Identité managée pour Azure : défini sur Activé

4. Configurer le proxy du directeur (sous l’onglet Propriétés de Azure) :

   • Adresse du point de terminaison : entrez l’URL de l’application de fonction à l’étape 2 (format : https://<function-app-name>.azurewebsites.net)
   • Jeton d’accès : entrez la clé hôte de l’application de fonction à l’étape 3 (facultative si vous utilisez l’identité managée)

5. Configurez Stream Propriétés :

   • Point de terminaison : entrez l’URI d’ingestion des journaux DCE (format : https://<dce-name>.<region>.ingest.monitor.azure.com)
   • Flux : sélectionnez Auto pour la détection automatique des flux, ou configurez des flux spécifiques si nécessaire.

6. Vérifier l’ingestion des données dans Microsoft Sentinel :

   • Revenir à votre espace de travail Log Analytics
   • Exécutez des exemples de requêtes pour confirmer que les données sont reçues :

     CommonSecurityLog
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Consultez le tableau de bord Vue d’ensemble des Microsoft Sentinel pour connaître les nouvelles sources de données et le nombre d’événements

---

VMRayThreatIntelligence (à l’aide de Azure Functions)

Pris en charge par :VMRay

Le connecteur VMRayThreatIntelligence génère et alimente automatiquement le renseignement sur les menaces pour toutes les soumissions à VMRay, ce qui améliore la détection des menaces et la réponse aux incidents dans Sentinel. Cette intégration transparente permet aux équipes de traiter de manière proactive les menaces émergentes.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ThreatIntelligenceIndicator	Oui	Non

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Abonnement Azure : Azure abonnement avec le rôle propriétaire est requis pour inscrire une application dans azure active directory() et attribuer le rôle de contributeur à l’application dans le groupe de ressources.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : la clé API VMRay est requise.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API VMRay afin d’extraire les E/S de menace VMRay dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure coûts. Pour plus d’informations, consultez la page de tarification Azure Functions et Stockage Blob Azure page de tarification.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Déployer VMRay Threat Intelligence Connector

1. Vérifiez que vous disposez de tous les prérequis requis : ID client, ID de locataire, Clé secrète client, Clé API VMRay et URL de base VMRay.

2. Pour obtenir l’ID client, la clé secrète client et l’ID de locataire, suivez ces instructions.

3. Pour le plan de consommation Flex, cliquez sur le bouton Déployer sur Azure ci-dessous :

   aka.ms

4. Pour le plan Premium, cliquez sur le bouton Déployer sur Azure ci-dessous :

   aka.ms.

---

VMware Carbon Black Cloud via AWS S3 (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft

Le connecteur de données VMware Carbon Black Cloud via AWS S3 permet d’ingérer des événements de watchlist, d’alertes, d’authentification et de points de terminaison via AWS S3 et de les diffuser vers des tables normalisées ASIM. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CarbonBlack_Alerts_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Environnement : Les ressources AWS suivantes doivent être définies et configurées : S3, Service de file d’attente simple (SQS), rôles IAM et stratégies d’autorisations
• Environnement : vous devez disposer d’un compte carbone noir et des autorisations requises pour créer un compartiment Données transférées vers AWS S3. Pour plus d’informations, consultez Carbon Black Data Forwarder Docs

Instructions d’installation :

1. Déploiement AWS CloudFormation Pour configurer l’accès sur AWS, deux modèles ont été générés pour configurer l’environnement AWS afin d’envoyer des journaux à partir du compartiment S3 à votre espace de travail Log Analytics.

Pour chaque modèle, créez une pile dans AWS :

1. Accédez à AWS CloudFormation Stacks
2. Dans AWS, choisissez l’option « Charger un fichier de modèle », puis cliquez sur « Choisir un fichier ». Sélectionner le modèle téléchargé
3. Cliquez sur « Suivant » et sur « Créer une pile »

• Modèle 1 : Déploiement de l’authentification OpenID connect : <valeur de variable fournie au moment de l’installation>
• Modèle 2 : Déploiement de ressources AWS Carbon Black : <valeur variable fournie au moment> de l’installation Lors du déploiement du modèle « Modèle 2 : déploiement de ressources AWS Carbon Black », vous devez fournir quelques paramètres

• Nom de la pile : nom de la pile de votre choix (apparaît dans la liste des piles dans AWS)
• Nom du rôle : doit commencer par le préfixe « OIDC_ », a une valeur par défaut.
• Nom du compartiment : nom du compartiment de votre choix, si vous avez déjà un compartiment existant, collez le nom ici
• CreateNewBucket : si vous avez déjà un compartiment existant que vous souhaitez utiliser pour ce connecteur, sélectionnez « false » pour cette option, sinon un compartiment portant le nom que vous avez entré dans « Nom du compartiment » sera créé à partir de cette pile.
• Région : il s’agit de la région des ressources AWS basées sur le mappage de Carbon Black. Pour plus d’informations, consultez la documentation Carbon Black.
• SQSQueuePrefix : la pile crée plusieurs files d’attente, ce préfixe est ajouté à chacune d’elles.
• WorkspaceID : utilisez l’ID d’espace de travail fourni ci-dessous.

• ID de l’espace de travail : <valeur de variable fournie au moment> de l’installation Une fois le déploiement terminé, accédez à l’onglet « Sorties », vous verrez : ARN de rôle, compartiment S3 et 4 ressources SQS créées. Vous aurez besoin de ces ressources à l’étape suivante lors de la configuration des redirecteurs de données de Carbon Black et du connecteur de données.

2. Configuration du redirecteur de données Carbon Black Une fois que toutes les ressources AWS ont été créées, vous devez configurer Carbon Black pour transférer les événements vers les compartiments AWS pour Microsoft Sentinel les ingérer. Suivez la documentation de Carbon Black sur la création d’un « redirecteur de données » Utilisez la première option recommandée. Lorsque vous êtes invité à entrer un nom de compartiment, utilisez le compartiment créé à l’étape précédente. Vous devrez ajouter « Préfixe S3 » pour chaque redirecteur. Utilisez ce mappage :

   Type d’événement	Préfixe S3
   Alerte	carbon-black-cloud-forwarder/Alerts
   Événements d’authentification	carbon-black-cloud-forwarder/Auth
   Événements de point de terminaison	carbon-black-cloud-forwarder/Point de terminaison
   Accès à la watchlist	carbon-black-cloud-forwarder/Watchlist

2.1. Testez votre redirecteur de données (facultatif) Pour vérifier que le redirecteur de données est configuré comme prévu, dans le portail Carbon Black, recherchez le redirecteur de données que vous venez de créer, puis cliquez sur le bouton « Tester le redirecteur » sous la colonne « Actions », ce qui génère un fichier « HealthCheck » dans le compartiment S3, vous devriez le voir apparaître immédiatement.

3. Connecter de nouveaux collecteurs Pour activer AWS S3 pour Microsoft Sentinel, cliquez sur le bouton Ajouter un nouveau collecteur, renseignez les informations requises, le rôle ARN et l’URL SQS sont créés à l’étape 1. Notez que vous devez entrer l’URL SQS correcte et sélectionner le type d’événement approprié dans la liste déroulante. Par exemple, si vous souhaitez ingérer des événements d’alerte, vous devez copier l’URL SQS alertes et sélectionner le type d’événement « Alertes » dans la liste déroulante la liste déroulante

• Grille des connecteurs de données (configurer dans le portail)

---

Événements DNS Windows via AMA

Pris en charge par :Microsoft Corporation

Le connecteur de journal DNS Windows vous permet de filtrer et de diffuser en continu facilement tous les journaux d’analyse de vos serveurs DNS Windows vers votre espace de travail Microsoft Sentinel à l’aide de l’agent AMA (Azure Monitoring Agent). Le fait de disposer de ces données dans Microsoft Sentinel vous aide à identifier les problèmes et les menaces de sécurité tels que :

• Tentative de résolution des noms de domaine malveillants.
• Enregistrements de ressources obsolètes.
• Noms de domaine fréquemment interrogés et clients DNS bavards.
• Attaques effectuées sur le serveur DNS.

Vous pouvez obtenir les informations suivantes sur vos serveurs DNS Windows à partir de Microsoft Sentinel :

• Tous les journaux centralisés dans un emplacement unique.
• Demande de chargement sur les serveurs DNS.
• Échecs d’inscription DNS dynamique.

Les événements DNS Windows sont pris en charge par le modèle ASIM (Advanced SIEM Information Model) et diffusent des données dans la table ASimDnsActivityLogs. En savoir plus.

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ASimDnsActivityLogs	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Pare-feu Windows

Pris en charge par :Microsoft Corporation

Le Pare-feu Windows est une application Microsoft Windows qui filtre les informations provenant d’Internet et bloquant les programmes potentiellement dangereux. Le logiciel empêche la plupart des programmes de communiquer via le pare-feu. Les utilisateurs ajoutent simplement un programme à la liste des programmes autorisés pour lui permettre de communiquer via le pare-feu. Lors de l’utilisation d’un réseau public, le Pare-feu Windows peut également sécuriser le système en bloquant toutes les tentatives non sollicitées de connexion à votre ordinateur. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

Événements du Pare-feu Windows via AMA

Pris en charge par :Microsoft Corporation

Le Pare-feu Windows est une application Microsoft Windows qui filtre les informations provenant d’Internet et bloquant les programmes potentiellement dangereux. Le logiciel de pare-feu empêche la plupart des programmes de communiquer via le pare-feu. Pour diffuser en continu vos journaux d’application du Pare-feu Windows collectés à partir de vos machines, utilisez l’agent Azure Monitor (AMA) pour diffuser ces journaux vers l’espace de travail Microsoft Sentinel.

Un point de terminaison de collecte de données (DCE) configuré doit être lié à la règle de collecte de données (DCR) créée pour permettre à AMA de collecter les journaux. Pour ce connecteur, un DCE est automatiquement créé dans la même région que l’espace de travail. Si vous utilisez déjà un DCE stocké dans la même région, il est possible de modifier le DCE créé par défaut et d’utiliser votre DCE existant via l’API. Les DCE peuvent se trouver dans vos ressources avec le préfixe SentinelDCE dans le nom de la ressource.

Si vous souhaitez en savoir plus, consultez les articles suivants :

• Points de terminaison de collecte de données dans Azure Monitor
• documentation Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement

Prise en charge des règles de collecte de données : Non pris en charge actuellement

---

Événements transférés Windows

Pris en charge par :Microsoft Corporation

Vous pouvez diffuser en continu tous les journaux de transfert d’événements Windows (WEF) à partir des serveurs Windows connectés à votre espace de travail Microsoft Sentinel à l’aide de Azure Monitor Agent (AMA). Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Cela vous donne plus d’informations sur le réseau de votre organization et améliore vos fonctionnalités d’opération de sécurité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
WindowsEvent	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

événements Sécurité Windows via AMA

Pris en charge par :Microsoft Corporation

Vous pouvez diffuser en continu tous les événements de sécurité à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Cela vous donne plus d’informations sur le réseau de votre organization et améliore vos fonctionnalités d’opération de sécurité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityEvent	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

API WithSecure Elements (fonction Azure)

Pris en charge par :WithSecure

WithSecure Elements est la plateforme de cybersécurité cloud unifiée conçue pour réduire les risques, la complexité et l’inefficacité.

Augmentez votre sécurité de vos points de terminaison à vos applications cloud. Armez-vous contre tous les types de cybermenaces, des attaques ciblées aux rançongiciels zero-day.

WithSecure Elements combine de puissantes fonctionnalités de sécurité prédictives, préventives et réactives, toutes gérées et surveillées via un seul centre de sécurité. Notre structure modulaire et nos modèles tarifaires flexibles vous donnent la liberté d’évoluer. Grâce à notre expertise et à nos connaissances, vous serez toujours autonome, et vous ne serez jamais seul.

Avec Microsoft Sentinel’intégration, vous pouvez mettre en corrélation les données d’événements de sécurité de la solution WithSecure Elements avec les données d’autres sources, ce qui permet une vue d’ensemble complète de l’ensemble de votre environnement et une réaction plus rapide aux menaces.

Avec cette solution, Azure Function est déployée sur votre locataire, en interrogeant régulièrement les événements de sécurité WithSecure Elements.

Pour plus d’informations, visitez notre site web à l’adresse : https://www.withsecure.com.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
WsSecurityEvents_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification du client de l’API WithSecure Elements : les informations d’identification du client sont requises. Consultez la documentation pour en savoir plus.

Instructions d’installation :

1. Créer des informations d’identification d’API WithSecure Elements

Suivez le guide de l’utilisateur pour créer des informations d’identification de l’API Elements. Enregistrez les informations d’identification dans un endroit sûr.

2. Créer Microsoft Entra application

Créez des Microsoft Entra l’application et les informations d’identification. Suivez les instructions et stockez les valeurs ID de répertoire (locataire), ID d’objet, ID d’application (client) et Clé secrète client (à partir du champ Informations d’identification du client). N’oubliez pas de stocker la clé secrète client dans un endroit sûr.

3. Déployer l’application de fonction

NOTE: Ce connecteur utilise Azure Functions pour extraire des journaux à partir d’éléments WithSecure. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité les informations d’identification du client Microsoft Entra et les informations d’identification du client de l’API WithSecure Elements dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

IMPORTANT: Avant de déployer le connecteur WithSecure Elements, disposez du nom de l’espace de travail (qui peut être copié à partir de ce qui suit), des données de Microsoft Entra (ID de répertoire (locataire), ID d’objet, ID d’application (client) et clé secrète client), ainsi que les informations d’identification du client WithSecure Elements, facilement disponibles.

• Nom de l’espace de travail : <valeur de variable fournie au moment de l’installation>

Déployer toutes les ressources liées au connecteur

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’espace de travail, l’ID client Entra, Entra clé secrète client, Entra l’ID de locataire, l’ID client de l’API Elements, la clé secrète client de l’API Elements.

Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence. 4. Vous pouvez également renseigner des champs facultatifs : URL de l’API Éléments, Moteur, Groupe de moteurs. Utilisez la valeur par défaut de l’URL de l’API Elements, sauf si vous avez un cas particulier. Mappage du moteur et du groupe de moteurs aux paramètres de demande d’événements de sécurité, renseignez ces paramètres si vous êtes intéressé uniquement par les événements d’un moteur ou d’un groupe de moteurs spécifique, au cas où vous souhaitez recevoir tous les événements de sécurité, laissez les champs avec les valeurs par défaut. 5. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 6. Cliquez sur Acheter pour déployer.

---

Wiz (à l’aide de Azure Functions)

Pris en charge par :Wiz

Le connecteur Wiz vous permet d’envoyer facilement les problèmes Wiz, les résultats des vulnérabilités et les journaux d’audit à Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL)	Non	Non
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL)	Non	Non
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL)	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification du compte de service Wiz : vérifiez que vous disposez de l’ID client et de la clé secrète client de votre compte de service Wiz, de l’URL du point de terminaison d’API et de l’URL d’authentification. Vous trouverez des instructions dans la documentation Wiz.

Instructions d’installation :

NOTE: Ce connecteur : utilise Azure Functions pour se connecter à l’API Wiz afin d’extraire les problèmes Wiz, les résultats des vulnérabilités et les journaux d’audit dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions. Crée un Azure Key Vault avec tous les paramètres requis stockés en tant que secrets.

ÉTAPE 1 : Obtenir vos informations d’identification Wiz

Suivez les instructions de la documentation Wiz pour obtenir les informations d’identification requises.

ÉTAPE 2 : Déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur Wiz, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que des informations d’identification Wiz de l’étape précédente.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : Déployer à l’aide du modèle Azure Resource Manager (ARM)

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez les paramètres suivants :

• Choisissez KeyVaultName et FunctionName pour les nouvelles ressources

• Entrez les informations d’identification Wiz suivantes à l’étape 1 : WizAuthUrl, WizEndpointUrl, WizClientId et WizClientSecret

• Entrez les informations d’identification de l’espace de travail AzureLogsAnalyticsWorkspaceId et AzureLogAnalyticsWorkspaceSharedKey

• Choisissez les types de données Wiz que vous souhaitez envoyer à Microsoft Sentinel, choisissez au moins un parmi Problèmes Wiz, Résultats des vulnérabilités et Journaux d’audit.

• (facultatif) suivez la documentation Wiz pour ajouter IssuesQueryFilter, VulnerbailitiesQueryFilter et AuditLogsQueryFilter.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.
5. Cliquez sur Acheter pour déployer.

Option 2 : Déploiement manuel de la fonction Azure

Suivez la documentation Wiz pour déployer le connecteur manuellement.

---

Activité de l’utilisateur Workday

Pris en charge par :Microsoft Corporation

Le connecteur de données Activité utilisateur Workday permet d’ingérer les journaux d’activité utilisateur de l’API Workday dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ASimAuditEventLogs	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Accès à l’API Activité utilisateur Workday : l’accès à l’API d’activité utilisateur Workday via Oauth est requis. Le client API doit avoir l’étendue : Système et doit être autorisé par un compte disposant des autorisations d’audit système.

Instructions d’installation :

Connectez-vous à Workday pour commencer à collecter les journaux d’activité des utilisateurs dans Microsoft Sentinel

1. Dans Workday, accédez à la tâche « Modifier l’installation du locataire - Sécurité », vérifiez la section « OAuth 2.0 Settings » (Paramètres OAuth 2.0), vérifiez que la case de case activée « OAuth 2.0 Clients Enabled » est cochée.
2. Dans Workday, accédez à la tâche « Modifier la configuration du locataire - Système », vérifiez la section « Journalisation de l’activité utilisateur », assurez-vous que la case « Activer la journalisation de l’activité utilisateur case activée » est cochée.
3. Dans Workday, accédez à la tâche « Inscrire le client d’API ».
4. Définissez le nom du client, sélectionnez le « Type d’octroi du client » : « Octroi de code d’autorisation », puis sélectionnez « Type de jeton d’accès » : « Porteur »
5. Entrez l'« URI de redirection » figurant dans le formulaire ci-dessous
6. Dans la section « Étendue (zones fonctionnelles) », sélectionnez « Système », puis cliquez sur OK en bas
7. Copiez l’ID client et la clé secrète client avant de naviguer hors de la page et stockez-les en toute sécurité.
8. Dans Sentinel, dans la page du connecteur, fournissez les points de terminaison de jeton, d’autorisation et de journaux d’activité utilisateur requis, ainsi que l’ID client et la clé secrète client de l’étape précédente. Cliquez ensuite sur « Se connecter ».
9. Une fenêtre contextuelle Workday s’affiche pour terminer l’authentification OAuth2 et l’autorisation du client d’API. Ici, vous devez fournir des informations d’identification pour le compte Workday avec des autorisations « Audit système » dans Workday (il peut s’agir d’un compte Workday ou d’un utilisateur du système d’intégration).
10. Une fois l’opération terminée, le message s’affiche pour autoriser votre client d’API

• Point de terminaison de jeton : (https://wd2-impl-services1.workday.com/ccx/oauth2/{tenantName}/token)
• Point de terminaison d’autorisation : (https://impl.workday.com/{tenantName}/authorize)
• **Point de terminaison des journaux d’activité utilisateur, il se termine par /activityLogging ** : (https://wd2-impl-services1.workday.com/ccx/api/privacy/v1/{tenantName}/activityLogging)

---

Espace de travail à partir de Facebook (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données Workplace permet d’ingérer des événements workplace courants dans Microsoft Sentinel via des webhooks. Les webhooks permettent aux applications d’intégration personnalisées de s’abonner à des événements dans Workplace et de recevoir des mises à jour en temps réel. Lorsqu’une modification se produit dans Workplace, une requête POST HTTPS avec des informations d’événement est envoyée à une URL de connecteur de données de rappel. Pour plus d’informations, reportez-vous à la documentation sur les webhooks . Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Workplace_Facebook_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations des webhooks : WorkplaceAppSecret, WorkplaceVerifyToken, URL de rappel sont nécessaires pour les webhooks de travail. Consultez la documentation pour en savoir plus sur la configuration des webhooks et la configuration des autorisations.

Instructions d’installation :

NOTE: Ce connecteur de données utilise Azure Functions basé sur le déclencheur HTTP pour les requêtes POST en attente avec les journaux d’activité afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Functions.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, qui est déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux d’activité Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias WorkplaceFacebook et chargez le code de fonction ou cliquez ici sur la deuxième ligne de la requête, entrez le ou les noms d’hôte de votre ou vos appareils Workplace Facebook et tous les autres identificateurs uniques du flux de journal. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

ÉTAPE 1 : Étapes de configuration pour l’espace de travail

Suivez les instructions pour configurer les webhooks.

1. Connectez-vous à Workplace avec Administration informations d’identification de l’utilisateur.
2. Dans le panneau Administration, cliquez sur Intégrations.
3. Dans la vue Toutes les intégrations, cliquez sur Créer une intégration personnalisée.
4. Entrez le nom et la description, puis cliquez sur Créer.
5. Dans le panneau Détails de l’intégration, affichez Secret de l’application et copie.
6. Dans la zone Autorisations d’intégration , définissez toutes les autorisations de lecture. Pour plus d’informations, reportez-vous à la page d’autorisation .
7. Passez maintenant à l’ÉTAPE 2 pour suivre les étapes (répertoriées dans l’option 1 ou 2) pour déployer la fonction Azure.
8. Entrez les paramètres demandés et entrez également un jeton de votre choix. Copiez ce jeton / Notez-le pour l’étape à venir.
9. Une fois le déploiement de Azure Functions terminé, ouvrez la page Application de fonction, sélectionnez votre application, accédez à Fonctions, cliquez sur Obtenir l’URL de la fonction, puis copiez cette / Notez-la pour l’étape à venir.
10. Retour à Workplace à partir de Facebook. Dans le panneau Configurer les webhooks de chaque onglet, définissez URL de rappel sur la même valeur que celle que vous avez copiée au point 9 ci-dessus et Vérifier le jeton comme valeur que vous avez copiée au point 8 ci-dessus, qui a été obtenue à l’ÉTAPE 2 de Azure Functions déploiement.
11. Cliquez sur Save (Enregistrer).

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et le Azure Functions associé

IMPORTANT: Avant de déployer le connecteur de données Workplace, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Workplace à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez WorkplaceVerifyToken (peut être n’importe quelle expression, copiez-la et enregistrez-la pour l’ÉTAPE 1), WorkplaceAppSecret et déployez. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer. 6. Après avoir déployé la page d’application de fonction ouverte, sélectionnez votre application, accédez à Fonctions, cliquez sur Obtenir l’URL de la fonction copiez-la et suivez la page 7 de l’ÉTAPE 1.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Sophos Endpoint Protection avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Plateforme de sécurité XBOW (via Azure Function)

Pris en charge par :XBOW

Le connecteur de données XBOW ingère les instantanés de ressources, les résultats des vulnérabilités et l’activité d’évaluation de la plateforme de sécurité XBOW dans Microsoft Sentinel. Une fonction Azure interroge l’API XBOW sur un minuteur et envoie (push) des instantanés JSON de ressources dans XbowAssets_CL, des résultats enrichis (avec des preuves, des recettes de poC, l’impact et des atténuations) dans XbowFindings_CL, et des événements de cycle de vie d’évaluation dans XbowAssessments_CL, à l’aide de l’API d’ingestion Azure Monitor (DCE/DCR).

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
XbowAssets_CL	Non	Non
XbowFindings_CL	Non	Non
XbowAssessments_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Jeton d’API XBOW : un jeton d’accès personnel XBOW est requis. Générez-en un dans la console XBOW sous Paramètres > Jetons d’accès personnels. Limitez le jeton à la organization que vous souhaitez surveiller.
• ID d’organisation XBOW : ID d’organisation de votre compte XBOW. Recherchez-la dans l’URL de la console XBOW ou via l’API.
• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Conditions préalables personnalisées si nécessaire, sinon supprimez cette balise de douane : Description des prérequis personnalisés
• Azure inscription d’application AD : une inscription d’application AD Azure (principal de service) est requise. Vous devez attribuer manuellement le rôle Éditeur de métriques de surveillance sur la règle de collecte de données (DCR) à cette inscription d’application après le déploiement.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions et l’API d’ingestion Azure Monitor (DCE/DCR) pour ingérer les ressources, les résultats et les évaluations XBOW dans Microsoft Sentinel. Le modèle ARM crée automatiquement le point de terminaison de collecte de données, les tables de journaux personnalisées (XbowAssets_CL, XbowFindings_CLet ), la XbowAssessments_CLrègle de collecte de données et l’application de fonction. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions et Azure Page de tarification Monitor.

(Étape facultative) Stockez en toute sécurité vos jetons d’API XBOW et vos informations d’identification d’inscription d’application dans Azure Key Vault. Suivez ces instructions pour utiliser Azure Key Vault références avec une application de fonction Azure.

ÉTAPE 1 : Générer un jeton d’API XBOW

1. Connectez-vous à la console XBOW avec un accès administrateur.
2. Cliquez sur l’icône de votre profil (en haut à droite) et sélectionnez Paramètres.
3. Dans la barre latérale gauche, cliquez sur Jetons d’accès personnels.
4. Cliquez sur Générer un nouveau jeton, indiquez un nom, puis sélectionnez l’étendue organization.
5. Copiez et stockez votre jeton en toute sécurité : il ne sera plus affiché.
6. Notez votre ID d’organisation à partir de la console XBOW ou de l’URL lors de l’affichage de votre organization.

ÉTAPE 2 : Créer un Azure inscription d’application AD et accorder un rôle DCR

1. Dans le portail Azure, accédez à Azure Active Directory > inscriptions d'applications > Nouvelle inscription.
2. Fournissez un nom (par exemple Xbow-Sentinel-Connector) et inscrivez-vous.
3. Sous Certificats & secrets, créez une clé secrète client. Notez l’ID de locataire, l’ID client et la clé secrète client.
4. Déployez le connecteur à l’aide de l’étape 3 ci-dessous, puis revenez ici.
5. Ouvrez la règle de collecte de données déployée (à partir des sorties de déploiement ou en effectuant une recherche dans le groupe de ressources).
6. Accédez à Contrôle d’accès (IAM) > Ajouter une attribution de rôle.
7. Sélectionnez le rôle Éditeur de métriques de surveillance.
8. Attribuez l’accès à l’inscription de l’application (principal de service) créée ci-dessus.
9. Attendez quelques minutes pour la propagation du contrôle d’accès en fonction du rôle avant de vérifier l’ingestion.

ÉTAPE 3 : Déployer l’application de fonction Azure

Cliquez sur Déployer pour Azure et renseignez les paramètres. Le modèle crée automatiquement le point de terminaison de collecte de données, XbowAssets_CLles tables , XbowFindings_CLet , la XbowAssessments_CL règle de collecte de données et l’application de fonction .

aka.ms

Paramètres à renseigner :

Paramètre	Description
WorkspaceName	Nom de votre espace de travail Log Analytics/Microsoft Sentinel
XbowApiToken	Jeton d’accès personnel XBOW de l’étape 1
XbowOrgId	ID d’organisation XBOW de l’étape 1
TenantId	Azure l’ID de locataire AD de l’étape 2
ClientId	ID client d’inscription d’application de l’étape 2
ClientSecret	Clé secrète client d’inscription d’application de l’étape 2
AppInsightsWorkspaceResourceID	ID de ressource complet de l’espace de travail Log Analytics (à partir des propriétés de l’espace de travail > Log Analytics)
FunctionAppLocation	Région Azure facultative pour les ressources Function App (par défaut, l’emplacement du groupe de ressources)

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>

---

Segment de réseaux zéro (push)

Pris en charge par :Zero Networks

Le connecteur Push Zero Networks Segment permet à Zero Networks d’envoyer des audits, des activités réseau, des activités d’identité et des activités RPC directement à Microsoft Sentinel en temps réel. Déployez le connecteur pour créer une règle de collecte de données (DCR) et Microsoft Entra application, puis configurez votre application Zero Networks avec les détails de connexion pour envoyer (push) des événements.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ZNAudit_CL	Oui	Oui
ZNNetworkActivity_CL	Oui	Oui
ZNIdentityActivity_CL	Oui	Oui
ZNRPCActivity_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Microsoft Entra : autorisation de créer une inscription d’application dans Microsoft Entra ID. En règle générale, nécessite Entra id du rôle Développeur d’applications ou supérieur.
• Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). Nécessite généralement Azure rôle Propriétaire RBAC ou Administrateur de l’accès utilisateur.

Instructions d’installation :

1. Créer des ressources ARM et fournir les autorisations requises

Déployez le connecteur Push pour créer une table Log Analytics, une règle de collecte de données (DCR), un point de terminaison de collecte de données (DCE) et Microsoft Entra application. Ensuite, configurez votre application Zero Networks avec les détails de connexion.

Configuration automatisée En cliquant sur « Déployer », vous créez un DCR et un DCE, puis une Microsoft Entra l’inscription de l’application avec une clé secrète client et accordera des autorisations sur la DCR. Votre application peut ensuite envoyer des données en toute sécurité à l’aide des informations d’identification du client OAuth 2.0.

2. Configurer votre application Zero Networks

Utilisez les valeurs suivantes pour configurer votre application Zero Networks afin d’envoyer des audits, des activités réseau, des activités d’identité et des activités RPC à Microsoft Sentinel.

• ID de locataire (ID d’annuaire) : <valeur de variable fournie au moment de l’installation>
• ID d’application Entra : <valeur de variable fournie au moment de l’installation>
• Entra Secret d’application : <valeur de variable fournie au moment de l’installation>
• URI du point de terminaison de collecte de données : <valeur de variable fournie au moment de l’installation>
• ID immuable de la règle de collecte de données : <valeur de variable fournie au moment de l’installation>
• Stream : Audits :< valeur de variable fournie au moment de l’installation>
• Stream : Activités réseau :< valeur de variable fournie au moment de l’installation>
• Stream : Activités d’identité : <valeur de variable fournie au moment de l’installation>
• Stream : Activités RPC : <valeur de variable fournie au moment de l’installation>

---

Audit de segment de réseaux zéro

Pris en charge par :Zero Networks

Le connecteur de données Zero Networks Segment Audit permet d’ingérer des événements Zero Networks Audit dans Microsoft Sentinel via l’API REST. Ce connecteur de données utilise Microsoft Sentinel fonctionnalité d’interrogation native.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ZNSegmentAuditNativePoller_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Jeton d’API Zero Networks : ZeroNetworksAPIToken est requis pour l’API REST. Consultez le Guide de l’API et suivez les instructions pour obtenir des informations d’identification.

Instructions d’installation :

Connecter Zero Networks à Microsoft Sentinel

Entrez l’URL de l’API Zero Networks (par exemple, portal.zeronetworks.com). Le connecteur ajoute automatiquement https:// et /api/v1/audit. Fournissez ensuite votre clé API, puis cliquez sur Se connecter.

• URL de l’API Zero Networks : (portal.zeronetworks.com)
• ApiKey : (ApiKey)
• Activer/désactiver la connexion
• Grille des connecteurs de données (configurer dans le portail)

---

ZeroFox CTI

Pris en charge par :ZeroFox

Les connecteurs de données ZeroFox CTI permettent d’ingérer les différentes alertes ZeroFox cybermenaces dans Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ZeroFox_CTI_advanced_dark_web_CL	Non	Non
ZeroFox_CTI_botnet_CL	Non	Non
ZeroFox_CTI_breaches_CL	Non	Non
ZeroFox_CTI_C2_CL	Non	Non
ZeroFox_CTI_compromised_credentials_CL	Non	Non
ZeroFox_CTI_credit_cards_CL	Non	Non
ZeroFox_CTI_dark_web_CL	Non	Non
ZeroFox_CTI_discord_CL	Non	Non
ZeroFox_CTI_disruption_CL	Non	Non
ZeroFox_CTI_email_addresses_CL	Non	Non
ZeroFox_CTI_exploits_CL	Non	Non
ZeroFox_CTI_irc_CL	Non	Non
ZeroFox_CTI_malware_CL	Non	Non
ZeroFox_CTI_national_ids_CL	Non	Non
ZeroFox_CTI_phishing_CL	Non	Non
ZeroFox_CTI_phone_numbers_CL	Non	Non
ZeroFox_CTI_ransomware_CL	Non	Non
ZeroFox_CTI_telegram_CL	Non	Non
ZeroFox_CTI_threat_actors_CL	Non	Non
ZeroFox_CTI_vulnerabilities_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API ZeroFox : le nom d’utilisateur ZeroFox, le jeton d’accès personnel ZeroFox sont requis pour l’API REST CTI ZeroFox.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API REST CTI ZeroFox afin d’extraire les journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Récupération des informations d’identification ZeroFox :

Suivez ces instructions pour configurer la journalisation et obtenir des informations d’identification.

1. Connectez-vous au site web de ZeroFox. à l’aide de votre nom d’utilisateur et mot de passe 2 : cliquez sur le bouton Paramètres et accédez à la section Connecteurs de données. 3 - Sélectionnez l’onglet FLUX DE DONNÉES d’API et, en bas de la page, sélectionnez <<Réinitialiser>> dans la zone Informations sur l’API pour obtenir un jeton d’accès personnel à utiliser avec votre nom d’utilisateur.

ÉTAPE 2 : Déployez les connecteurs de données Azure Function à l’aide du modèle Azure Resource Manager :

IMPORTANT: Avant de déployer le connecteur de données ZeroFox CTI, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Préparation des ressources pour le déploiement.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources, l’espace de travail Log Analytics et l’emplacement par défaut.

3. Entrez l’ID de l’espace de travail, la clé de l’espace de travail, le nom d’utilisateur ZeroFox, le jeton d’accès personnel ZeroFox

5. Cliquez sur Vérifier + créer pour déployer.

---

ZeroFox Enterprise - Alertes (Interrogation CCF)

Pris en charge par :ZeroFox

Collecte les alertes de l’API ZeroFox.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ZeroFoxAlertPoller_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Jeton d’accès personnel (PAT) ZeroFox : un pat ZeroFox est requis. Vous pouvez l’obtenir dans les flux de données de l’API Data Connectors>.

Instructions d’installation :

Connecter ZeroFox à Microsoft Sentinel

Connecter ZeroFox à Microsoft Sentinel

• Indiquez votre PAT ZeroFox : (Zerofox PAT)
• Activer/désactiver la connexion

---

Zimperium Mobile Threat Defense

Pris en charge par :Zimperium

Le connecteur Zimperium Mobile Threat Defense vous permet de connecter le journal des menaces Zimperium à Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer l’investigation. Cela vous donne plus d’informations sur le paysage des menaces mobiles de votre organization et améliore vos fonctionnalités d’opérations de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ZimperiumThreatLog_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Instructions d’installation :

Configurer et connecter Zimperium MTD

1. Dans zConsole, cliquez sur Gérer dans la barre de navigation.
2. Cliquez sur l’onglet Intégrations .
3. Cliquez sur le bouton Rapport sur les menaces, puis sur le bouton Ajouter des intégrations .
4. Créez l’intégration :

• Dans les intégrations disponibles, sélectionnez Microsoft Microsoft Sentinel.
• Entrez votre ID d’espace de travail et votre clé primaire dans les champs ci-dessous, puis cliquez sur Suivant.
• Entrez un nom pour votre intégration Microsoft Sentinel.
• Sélectionnez un niveau de filtre pour les données de menace que vous souhaitez envoyer à Microsoft Sentinel.
• Cliquez sur Terminer.

5. Pour obtenir des instructions supplémentaires, reportez-vous au portail de support client Zimperium.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

Rapports zoom (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données Rapports Zoom permet d’ingérer des événements de rapports Zoom dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Zoom_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : AccountID, ClientID et ClientSecret sont requis pour l’API Zoom. Pour plus d’informations, consultez API Zoom. Suivez les instructions relatives aux configurations de l’API Zoom.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API Zoom afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, qui est déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias Zoom et chargez le code de la fonction ou cliquez ici. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

ÉTAPE 1 : Étapes de configuration pour l’API Zoom

Suivez les instructions pour obtenir les informations d’identification.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Rapports zoom, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données d’audit zoom à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région par défaut.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez accountID, ClientID, ClientSecret, WorkspaceID, WorkspaceKey, Function Name et cliquez sur Vérifier + créer. 4. Enfin, cliquez sur Créer pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Rapports Zoom avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, ZoomXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction

Étape 2 : Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : AccountID ClientId ClientSecret WorkspaceID WorkspaceKey logAnalyticsUri (facultatif) Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.
4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Connecteur rapports zoom (via l’infrastructure de connecteur sans code)

Pris en charge par :Microsoft Corporation

Le connecteur de données Rapports Zoom vous permet d’ingérer des données de rapports Zoom dans Microsoft Sentinel via l’API REST Zoom v2, ce qui vous permet de surveiller et d’auditer l’utilisation de Zoom dans votre organization. Ce connecteur utilise les informations d’identification de compte OAuth de serveur à serveur pour l’authentification et prend en charge l’ingestion de plusieurs types de rapports, notamment les rapports d’utilisation quotidienne pour les statistiques de réunion et les métriques d’utilisation, les rapports utilisateur pour les informations d’hôte utilisateur actif/inactif, les rapports de téléphonie pour les statistiques d’utilisation de la téléphonie, les rapports d’utilisation d’enregistrement cloud pour le stockage et l’enregistrement cloud, les journaux des opérations pour les opérations administratives et la piste d’audit, et Journaux d’activité pour les activités de connexion/déconnexion de l’utilisateur. Chaque type de rapport est collecté dans une configuration d’interrogation distincte avec prise en charge de la pagination automatique à l’aide de NextPageToken. Le connecteur de données repose sur Microsoft Sentinel framework de connecteur sans code et prend en charge les transformations de temps d’ingestion basées sur DCR pour optimiser les performances des requêtes.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
ZoomV2_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Accès à l’API Zoom : accès à l’API REST Zoom v2 avec des informations d’identification de compte

Instructions d’installation :

1. Configuration du zoom

Configurer l’application OAuth de serveur à serveur et collecter les informations d’identification

Étape 1 : Configurer l’application OAuth zoom de serveur à serveur, suivez Créer une application. Veillez à ajouter des étendues liées aux rapports à votre application :

• report :read :list_users :admin
• report :read :cloud_recording :admin
• report :read :daily_usage :admin
• report :read :operation_logs :admin
• report :read :telephone :admin
• report :read :user_activities :admin

Pour plus d’informations, consultez Zoom de la documentation et des API de rapportsOAuth de serveur à serveur.

Étape 2 : Obtenir les informations d’identification de votre application

Recherchez les informations d’identification de votre application (ID de compte, ID client et clé secrète client) sur votre Personal app management page sur la Place de marché d’applications Zoom

Notes sur la sécurité

• Stocker l’ID de compte, l’ID client et la clé secrète client en toute sécurité

• Rotation régulière des informations d’identification pour une sécurité renforcée

  • ID client : (ID client de l’application Zoom)
  • Clé secrète client : (Zoom App Client Secret)
  • ID de compte : (votre ID de compte Zoom)
  • URL de base du jeton : (https://zoom.us/oauth/token)
  • URL de base de l’API : (https://api.zoom.us/v2)

2. Se connecter

Activer le connecteur Rapports de zoom

Activer le connecteur

Passez en revue les informations d’identification de votre application Zoom trouvées à l’étape 2, puis activez le connecteur pour commencer à collecter les données des rapports Zoom.

Analyse

Vérifiez l’arrivée des données à l’aide de ces requêtes :

Vérifiez tous les types de rapports :

ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType

Vérifiez le type de rapport spécifique :

ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10

Surveiller l’intégrité du connecteur :

ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc

• Activer/désactiver la connexion

---

Connecteurs de données Sentinel déconseillés

Remarque

Le tableau suivant répertorie les connecteurs de données déconseillés et hérités. Les connecteurs déconseillés ne sont plus pris en charge.

[Déconseillé] Journaux d’authentification (à l’aide de la fonction Azure) (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données Auth0 Logs (à l’aide de Azure Function) permet d’ingérer des événements de journal Auth0 dans Microsoft Sentinel

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Auth0AM_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : un jeton d’API est requis. Pour plus d’informations, consultez Jeton d’API.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter aux API de gestion Auth0 afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes de configuration de l’API de gestion d’authentification

Suivez les instructions pour obtenir les informations d’identification.

1. Dans Le tableau de bord Auth0, accédez à Applications > Applications.
2. Sélectionnez votre application. Il doit s’agir d’une application « Machine à machine » configurée avec au moins les autorisations read :logs et read :logs_users .
3. Copier le domaine, l’ID client, la clé secrète client

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Auth0 Access Management, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Auth0 Access Management à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez domain, ClientID, Client Secret, AzureSentinelWorkspaceId, AzureSentinelSharedKey. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Authentification0 Access Management avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, Auth0AMXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

[Déconseillé] Journal d’audit GitHub Enterprise

Pris en charge par :Microsoft Corporation

Le connecteur de journal d’audit GitHub permet d’ingérer des journaux GitHub dans Microsoft Sentinel. En connectant les journaux d’audit GitHub à Microsoft Sentinel, vous pouvez afficher ces données dans des classeurs, les utiliser pour créer des alertes personnalisées et améliorer votre processus d’investigation.

Note: Si vous aviez l’intention d’ingérer des événements gitHub abonnés dans Microsoft Sentinel, reportez-vous au connecteur GitHub (à l’aide de webhooks) à partir de la galerie « Data Connectors ».

REMARQUE : Ce connecteur de données a été déconseillé. Envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion via l’API collecteur de données HTTP déconseillée.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
GitHubAuditLogPolling_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Jeton d’accès personnel de l’API GitHub : vous avez besoin d’un jeton d’accès personnel GitHub pour activer l’interrogation du journal d’audit organization. Vous pouvez utiliser un jeton classique avec l’étendue « read :org » OU un jeton affiné avec l’étendue « Administration : Lecture seule ».
• Type GitHub Enterprise : ce connecteur fonctionne uniquement avec GitHub Enterprise Cloud . il ne prend pas en charge GitHub Enterprise Server.

Instructions d’installation :

Connecter le journal d’audit GitHub Enterprise au niveau de l’organisation à Microsoft Sentinel

Activer les journaux d’audit GitHub. Suivez ce guide pour créer ou rechercher votre jeton d’accès personnel.

---

[Déconseillé] Connecteur de données Infoblox SOC Insight via l’agent hérité

Pris en charge par :Infoblox

Le connecteur de données Infoblox SOC Insight vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez tirer parti de la recherche & corrélation, des alertes et de l’enrichissement du renseignement sur les menaces pour chaque journal.

Ce connecteur de données ingère infoblox SOC Insight CDC dans votre espace de travail Log Analytics à l’aide de l’agent Log Analytics hérité.

Microsoft recommande l’installation d’Infoblox SOC Insight Data Connector via AMA Connector. Le connecteur hérité utilise l’agent Log Analytics qui est sur le point d’être déprécié d’ici le 31 août 2024 et ne doit être installé que si AMA n’est pas pris en charge.

L’utilisation de MMA et AMA sur la même machine peut entraîner une duplication des journaux et des coûts d’ingestion supplémentaires. Plus d’informations.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CommonSecurityLog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Instructions d’installation :

Clés d’espace de travail

Pour utiliser les playbooks dans le cadre de cette solution, recherchez votre ID d’espace de travail et votre clé primaire d’espace de travail ci-dessous pour plus de commodité.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé de l’espace de travail : <valeur de variable fournie au moment de l’installation>

Analyseurs

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu appelé InfobloxCDC_SOCInsights qui est déployé avec la solution Microsoft Sentinel.

SOC Insights

Ce connecteur de données suppose que vous avez accès à Infoblox BloxOne Threat Defense SOC Insights. Vous trouverez plus d’informations sur SOC Insights ici.

Infoblox Cloud Data Connector

Ce connecteur de données part du principe qu’un hôte Infoblox Data Connector a déjà été créé et configuré dans infoblox Services cloud Portal (CSP). Comme Infoblox Data Connector est une fonctionnalité de BloxOne Threat Defense, l’accès à un abonnement BloxOne Threat Defense approprié est requis. Consultez ce guide de démarrage rapide pour plus d’informations et les exigences de licence.

1. Linux configuration de l’agent Syslog

Installez et configurez l’agent Linux pour collecter vos messages Syslog CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer un ordinateur Linux

Sélectionnez ou créez un ordinateur Linux que Microsoft Sentinel utiliserez comme proxy entre votre solution de sécurité et Microsoft Sentinel cette machine peut se trouver sur votre environnement local, Azure ou d’autres clouds.

1.2 Installer le collecteur CEF sur l’ordinateur Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages à votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.

• Exécutez la commande suivante pour installer et appliquer le collecteur CEF :< valeur de variable fournie au moment de l’installation>

2. Dans infoblox Services cloud Portal, configurez Infoblox BloxOne pour envoyer des données CEF Syslog à Infoblox Cloud Data Connector pour les transférer à l’agent Syslog

Suivez les étapes ci-dessous pour configurer infoblox CDC pour envoyer des données BloxOne à Microsoft Sentinel via l’agent Linux Syslog.

1. Accédez à Gérer le > connecteur de données.
2. Cliquez sur l’onglet Configuration de destination en haut.
3. Cliquez sur Créer Syslog>.

• Nom : donnez un nom explicite à la nouvelle destination, par exemple Microsoft-Sentinel-Destination.
• Description : si vous le souhaitez, donnez-lui une description explicite.
• État : définissez l’état sur Activé.
• Format : définissez le format sur CEF.
• FQDN/IP : entrez l’adresse IP de l’appareil Linux sur lequel l’agent Linux est installé.
• Port : laissez le numéro de port sur 514.
• Protocole : sélectionnez le protocole souhaité et le certificat d’autorité de certification, le cas échéant.
• Cliquez sur Enregistrer et fermer.

4. Cliquez sur l’onglet Configuration du flux de trafic en haut.
5. Cliquez sur Créer.

• Nom : donnez au nouveau flux de trafic un nom explicite, par exemple Microsoft-Sentinel-Flow.
• Description : si vous le souhaitez, donnez-lui une description explicite.
• État : définissez l’état sur Activé.
• Développez la section Instance de service .
• Instance de service : sélectionnez l’instance de service souhaitée pour laquelle le service Data Connector est activé.
• Développez la section Configuration de la source .
• Source : sélectionnez Source cloud BloxOne.
• Sélectionnez le type de journal des notifications internes .
• Développez la section Configuration de destination .
• Sélectionnez la destination que vous venez de créer.
• Cliquez sur Enregistrer et fermer.

6. Accordez un certain temps à l’activation de la configuration.

3. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour case activée si les journaux sont reçus à l’aide du schéma CommonSecurityLog.

La connexion peut prendre environ 20 minutes avant que la connexion diffuse des données vers votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version

2. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur

• Exécutez la commande suivante pour valider votre connectivité : : <valeur de variable fournie au moment de l’installation>

**4. Sécuriser votre machine **

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organization

Pour en savoir plus >

---

[Déconseillé] Journaux de sécurité IONIX (push)

Pris en charge par :IONIX

⚠️ Ce connecteur est déconseillé et sera supprimé en juin 2026. Utilisez plutôt le nouveau connecteur « Journaux de sécurité IONIX (via l’infrastructure de connecteur sans code) », qui fournit une interrogation quotidienne automatique sans nécessiter de configuration manuelle dans le portail IONIX.

---

Le connecteur de données IONIX Security Logs ingère les journaux du système IONIX directement dans Sentinel. Le connecteur permet aux utilisateurs de visualiser leurs données, de créer des alertes et des incidents et d’améliorer les enquêtes de sécurité.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CyberpionActionItems_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Abonnement IONIX : un abonnement et un compte sont requis pour les journaux IONIX. On peut en acquérir un ici.

Instructions d’installation :

Suivez les instructions pour intégrer les alertes de sécurité IONIX dans Sentinel.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

---

[Déconseillé] Affût

Pris en charge par :Lookout

Le connecteur de données Lookout permet d’ingérer des événements Lookout dans Microsoft Sentinel via l’API Mobile Risk. Pour plus d’informations, reportez-vous à la documentation de l’API . Le connecteur de données Lookout permet d’obtenir des événements, ce qui permet d’examiner les risques de sécurité potentiels et bien plus encore.

REMARQUE : Ce connecteur de données a été déconseillé. Envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion via l’API collecteur de données HTTP déconseillée.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Lookout_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API de risque mobile : EnterpriseName & ApiKey sont requises pour l’API Mobile Risk. Pour plus d’informations, consultez API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

Instructions d’installation :

NOTE: Ce connecteur de données Lookout utilise Azure Functions pour se connecter à l’API Mobile Risk afin d’extraire ses événements dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu LookoutEvents, qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Étapes de configuration de l’API Mobile Risk

Suivez les instructions pour obtenir les informations d’identification.

ÉTAPE 2 : suivez les instructions mentionnées ci-dessous pour déployer le connecteur de données Lookout et la fonction Azure associée

IMPORTANT: Avant de commencer le déploiement du connecteur de données Lookout , veillez à disposer de l’ID de l’espace de travail et de la clé de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé de l’espace de travail : <valeur de variable fournie au moment de l’installation>

modèle Azure Resource Manager (ARM)

Suivez les étapes ci-dessous pour le déploiement automatisé du connecteur de données Lookout à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et la région par défaut.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez le nom de la fonction, l’ID de l’espace de travail, la clé de l’espace de travail, le nom de l’entreprise & la clé API , puis déployez. 4. Cliquez sur Créer pour déployer.

---

[Déconseillé] Journaux et événements Microsoft Exchange

Pris en charge par :Community

Déconseillé, utilisez les connecteurs de données « ESI-Opt ». Vous pouvez diffuser en continu tous les événements d’audit Exchange, les journaux IIS, les journaux de proxy HTTP et les journaux des événements de sécurité à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Il est utilisé par les classeurs de sécurité Microsoft Exchange pour fournir des insights sur la sécurité de votre environnement Exchange local

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Event	Oui	Non
SecurityEvent	Oui	Oui
W3CIISLog	Oui	Non
MessageTrackingLog_CL	Oui	Oui
ExchangeHttpProxy_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non Azure, Azure Arc est recommandé. En savoir plus
• Documentation détaillée : >REMARQUE : La documentation détaillée sur la procédure d’installation et l’utilisation est disponible ici

Instructions d’installation :

NOTE: Cette solution est basée sur les options. Cela vous permet de choisir les données à ingérer, car certaines options peuvent générer un très grand volume de données. En fonction de ce que vous souhaitez collecter, effectuez le suivi dans vos classeurs, règles d’analyse et fonctionnalités de chasse, vous choisirez la ou les options que vous allez déployer. Chaque option est indépendante pour l’une de l’autre. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »

1. Téléchargez et installez les agents nécessaires pour collecter les journaux pour Microsoft Sentinel

Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou à tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.

Déployer des agents monitor

Cette étape n’est nécessaire que si vous intégrez vos serveurs/contrôleurs de domaine Exchange pour la première fois

Sélectionnez l’agent que vous souhaitez installer sur vos serveurs pour collecter les journaux :

[Préféré] Agent Azure Monitor via Azure Arc

Déployer l’agent Azure Arc En savoir plus

Installer Azure’agent Log Analytics (déconseillé le 31/08/2024)

1. Téléchargez le Azure Agent Log Analytics et choisissez la méthode de déploiement dans le lien ci-dessous.

• Install Agent : <valeur de variable fournie au moment de l’installation>

2. Déployer l’injestion de journal en suivant les options choisies

[Option 1] Collecte des journaux de gestion MS Exchange

Sélectionner le mode de diffusion en continu des journaux des événements ms Exchange Administration d’audit

Journaux des événements ms Exchange Administration Audit

Règles de collecte de données : quand l’agent Azure Monitor est utilisé

Activer la règle de collecte de données Microsoft Exchange Administration Les journaux d’événements d’audit sont collectés uniquement à partir des agents Windows.

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé de la DCR.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez le nom de l’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

A. Créer une DCR, type journal des événements

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires, Sélectionnez Windows comme type de plateforme et donnez un nom à la DCR.
4. Sous l’onglet Ressources , entrez serveurs Exchange.
5. Dans « Collecter et remettre », ajoutez un type de source de données « Journaux des événements Windows », puis sélectionnez l’option « Personnalisé », entrez « MSExchange Management » comme expression, puis ajoutez-la.
6. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

Règles de collecte de données : quand l’agent log Analytics hérité Azure est utilisé

Configurer les journaux à collecter

Configurez les événements que vous souhaitez collecter et leurs gravités.

1. Sous Gestion des agents hérités de l’espace de travail , sélectionnez Journaux des événements Windows.
2. Cliquez sur Ajouter un journal des événements Windows et entrez GESTION MSExchange comme nom de journal.
3. Collecter les types d’erreur, d’avertissement et d’informations
4. Cliquez sur Save (Enregistrer).

• Install Agent : <valeur de variable fournie au moment de l’installation>

[Option 2] Journaux de sécurité/application/système des serveurs Exchange

Sélectionner la façon de diffuser en continu les journaux d’activité sécurité/application/système des serveurs Exchange

Collecte du journal des événements de sécurité

Règles de collecte de données - Journaux des événements de sécurité

Activer la règle de collecte de données pour les journaux de sécurité Les journaux d’événements de sécurité sont collectés uniquement à partir des agents Windows .

1. Ajouter des serveurs Exchange sous l’onglet Ressources .
2. Sélectionner le niveau de journal de sécurité

Le niveau commun est le minimum requis. Sélectionnez « Commun » ou « Tous les événements de sécurité » dans la définition DCR.

• Install Agent : <valeur de variable fournie au moment de l’installation>

Collecte du journal des événements de l’application et du système

Règles de collecte de données : quand l’agent Azure Monitor est utilisé

Activer la règle de collecte de données Les journaux d’événements système et d’application sont collectés uniquement à partir des agents Windows .

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé de la DCR.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez le nom de l’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

A. Créer une DCR, type journal des événements

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires, Sélectionnez Windows comme type de plateforme et donnez un nom à la DCR.
4. Sous l’onglet Ressources , entrez serveurs Exchange.
5. Dans « Collecter et remettre », ajoutez un type de source de données « Journaux des événements Windows » et sélectionnez l’option « De base ».
6. Pour Application, sélectionnez « Critique », « Erreur » et « Avertissement ». Pour Système, sélectionnez Critique/Erreur/Avertissement/Informations.
7. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

Règles de collecte de données : quand l’agent log Analytics hérité Azure est utilisé

Configurer les journaux à collecter

Configurez les événements que vous souhaitez collecter et leurs gravités.

1. Sous Paramètres avancés de l’espace de travail Configuration, sélectionnez Données, puis Journaux des événements Windows.
2. Cliquez sur Ajouter le journal des événements Windows et recherchez Application comme nom de journal.
3. Cliquez sur Ajouter le journal des événements Windows et recherchez Système comme nom de journal.
4. Collecter les types d’erreur (pour tout), d’avertissement (pour tous) et d’informations (pour le système)
5. Cliquez sur Save (Enregistrer).

• Install Agent : <valeur de variable fournie au moment de l’installation>

[Option 3 et 4] Journaux de sécurité des contrôleurs de domaine

Sélectionnez comment diffuser en continu les journaux de sécurité des contrôleurs de domaine. Si vous souhaitez implémenter l’option 3, il vous suffit de sélectionner DC sur le même site que les serveurs Exchange. Si vous souhaitez implémenter l’option 4, vous pouvez sélectionner tous les contrôleurs de domaine de votre forêt.

[Option 3] Répertorier uniquement les contrôleurs de domaine sur le même site que les serveurs Exchange pour l’étape suivante

Cela limite la quantité de données injestées, mais certains incidents ne peuvent pas être détectés.

[Option 4] Répertorier tous les contrôleurs de domaine de votre forêt Active-Directory pour l’étape suivante

Cela permet de collecter tous les événements de sécurité

Collecte du journal des événements de sécurité

Règles de collecte de données - Journaux des événements de sécurité

Activer la règle de collecte de données pour les journaux de sécurité Les journaux d’événements de sécurité sont collectés uniquement à partir des agents Windows .

1. Ajoutez les contrôleurs de domaine sélectionnés sous l’onglet Ressources .
2. Sélectionner le niveau de journal de sécurité

Le niveau commun est le minimum requis. Sélectionnez « Commun » ou « Tous les événements de sécurité » dans la définition DCR.

• Install Agent : <valeur de variable fournie au moment de l’installation>

[Option 5] Journaux IIS des serveurs Exchange

Sélectionner comment diffuser en continu les journaux IIS des serveurs Exchange

Règles de collecte de données : quand l’agent Azure Monitor est utilisé

Activer la règle de collecte de données Les journaux IIS sont collectés uniquement à partir des agents Windows .

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du DCE et de la DCR.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Vous pouvez modifier le nom proposé du DCE.

4. Cliquez sur Créer pour déployer.

B. Déployer une règle de connexion de données

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. À partir du portail Azure, accédez à Azure Point de terminaison de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires et donnez un nom au DCE.
4. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

B. Créer une DCR, tapez le journal IIS

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires, Sélectionnez Windows comme type de plateforme et donnez un nom à la DCR. Sélectionnez le DCE créé.
4. Sous l’onglet Ressources , entrez serveurs Exchange.
5. Dans « Collecter et remettre », ajoutez un type de source de données « Journaux IIS » (n’entrez pas de chemin si le chemin des journaux IIS est configuré par défaut). Cliquez sur Ajouter une source de données.
6. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

Règles de collecte de données : quand l’agent log Analytics hérité Azure est utilisé

Configurer les journaux à collecter

Configurez les événements que vous souhaitez collecter et leurs gravités.

1. Sous Paramètres avancés de l’espace de travail Configuration, sélectionnez Données, puis Journaux IIS.
2. Cochez Collecter les fichiers journaux IIS au format W3C
3. Cliquez sur Save (Enregistrer).

• Install Agent : <valeur de variable fournie au moment de l’installation>

[Option 6] Suivi des messages des serveurs Exchange

Sélectionner comment diffuser en continu le suivi des messages des serveurs Exchange

Règles de collecte de données : quand l’agent Azure Monitor est utilisé

Activer la règle de collecte de données Le suivi des messages est collecté uniquement à partir des agents Windows .

Remarque : Attention, les journaux personnalisés dans Monitor Agent sont en préversion. Le déploiement ne fonctionne pas comme prévu pour le moment (mars 2023).

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du DCE et de la DCR.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Vous pouvez modifier le nom proposé du DCE.

4. Cliquez sur Créer pour déployer.

B. Déployer une règle de connexion de données et une table personnalisée

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. À partir du portail Azure, accédez à Azure Point de terminaison de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires et donnez un nom au DCE, par exemple ESI-ExchangeServers.
4. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

B. Créer une table DCR personnalisée

1. Téléchargez l’exemple de fichier à partir de Microsoft Sentinel GitHub.

2. À partir du portail Azure, accédez à Analyse de l’espace de travail et sélectionnez votre espace de travail cible.

3. Cliquez dans « Tables », cliquez sur + Créer en haut, puis sélectionnez Nouveau journal personnalisé (basé sur DCR).

4. Sous l’onglet Informations de base, entrez MessageTrackingLog sur le nom de la table, créez une règle de collecte de données nommée DCR-Option6-MessageTrackingLogs (par exemple), puis sélectionnez le point de terminaison de collecte de données créé précédemment.

5. Sous l’onglet Schéma et transformation, choisissez l’exemple de fichier téléchargé, puis cliquez sur Éditeur de transformation.

6. Dans le champ de transformation, entrez la requête KQL suivante : source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = [''client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = [''client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['' event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['recipient-status'], relatedRecipientAddress= ['recipient-count'] 'related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=[' schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['log-id'], ['message-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], ['schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']

7. Cliquez sur « Exécuter », puis après « Appliquer ».

8. Cliquez sur Suivant, puis sur Créer.

C. Modifier la DCR créée, type journal personnalisé

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Sélectionnez la DCR créée précédemment, comme DCR-Option6-MessageTrackingLogs.
3. Sous l’onglet Ressources , entrez serveurs Exchange.
4. Dans Sources de données, ajoutez un type de source de données « Journaux de texte personnalisés » et entrez « C :\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log » dans le modèle de fichier, « MessageTrackingLog_CL » dans Nom de la table. 6.in champ Transform, entrez la requête KQL suivante : source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event’event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['log-id'], ['message-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], ['schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
5. Cliquez sur « Ajouter une source de données ».

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

Règles de collecte de données : quand l’agent log Analytics hérité Azure est utilisé

Configurer les journaux à collecter

1. Sous Partie Paramètres de l’espace de travail, sélectionnez Tables, cliquez sur + Créer, puis cliquez sur Nouveau journal personnalisé (basé sur MMA).
2. Sélectionnez Exemple de fichier MessageTracking Sample et cliquez sur Suivant
3. Sélectionnez Type Windows et entrez le chemin D’accès C :\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log. Cliquez sur Suivant.
4. Entrez MessageTrackingLog comme Nom de la table, puis cliquez sur Suivant.
5. Cliquez sur Save (Enregistrer).

• Install Agent : <valeur de variable fournie au moment de l’installation>

[Option 7] Proxy HTTP des serveurs Exchange

Sélectionner comment diffuser en continu le proxy HTTP des serveurs Exchange

Règles de collecte de données : quand l’agent Azure Monitor est utilisé

Activer la règle de collecte de données Le suivi des messages est collecté uniquement à partir des agents Windows .

Remarque : Attention, les journaux personnalisés dans Monitor Agent sont en préversion. Le déploiement ne fonctionne pas comme prévu pour le moment (mars 2023).

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du DCE et de la DCR.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Vous pouvez modifier le nom proposé du DCE.

4. Cliquez sur Créer pour déployer.

B. Déployer une règle de connexion de données

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID d’espace de travail « et/ou Autres champs obligatoires ».

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Automation

Utilisez les instructions pas à pas suivantes pour déployer manuellement une règle de collecte de données.

A. Créer un DCE (s’il n’est pas déjà créé pour les serveurs Exchange)

1. À partir du portail Azure, accédez à Azure Point de terminaison de collecte de données.
2. Cliquez sur + Créer en haut.
3. Sous l’onglet Informations de base , renseignez les champs obligatoires et donnez un nom au DCE.
4. « Apportez d’autres modifications de configuration préférables », si nécessaire, puis cliquez sur Créer.

B. Créer une table DCR personnalisée

1. Téléchargez l’exemple de fichier à partir de Microsoft Sentinel GitHub.
2. À partir du portail Azure, accédez à Analyse de l’espace de travail et sélectionnez votre espace de travail cible.
3. Cliquez dans « Tables », cliquez sur + Créer en haut, puis sélectionnez Nouveau journal personnalisé (basé sur DCR).
4. Sous l’onglet Informations de base, entrez ExchangeHttpProxy sur le nom de la table, créez une règle de collecte de données nommée DCR-Option7-HTTPProxyLogs (par exemple), puis sélectionnez le point de terminaison de collecte de données créé précédemment.
5. Sous l’onglet Schéma et transformation, choisissez l’exemple de fichier téléchargé, puis cliquez sur Éditeur de transformation.
6. Dans le champ de transformation, entrez la requête KQL suivante : *source | extend TimeGenerated = todatetime(DateTime) | project-away DateTime

8. Cliquez sur « Exécuter », puis après « Appliquer ».
9. Cliquez sur Suivant, puis sur Créer.

C. Modifier la DCR créée, type journal personnalisé

1. À partir du portail Azure, accédez à Azure Règles de collecte de données.
2. Sélectionnez la DCR créée précédemment, comme DCR-Option7-HTTPProxyLogs.
3. Sous l’onglet Ressources , entrez serveurs Exchange.
4. Dans Sources de données, ajoutez un type de source de données « Journaux de texte personnalisés » et entrez « C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log » dans le modèle de fichier, « ExchangeHttpProxy_CL » dans Nom de la table. 6.in champ Transform, entrez la requête KQL suivante : source | extend TimeGenerated = todatetime(DateTime) | project-away DateTime
5. Cliquez sur « Ajouter une source de données ».

Affecter la DCR à tous les serveurs Exchange

Ajouter tous vos serveurs Exchange à la DCR

Règles de collecte de données : quand l’agent log Analytics hérité Azure est utilisé

Configurer les journaux à collecter

1. Sous Partie Paramètres de l’espace de travail, sélectionnez Tables, cliquez sur + Créer, puis cliquez sur Nouveau journal personnalisé (basé sur MMA).
2. Sélectionnez Exemple de fichier MessageTracking Sample et cliquez sur Suivant
3. Sélectionnez le type Windows et entrez tous les chemins suivants C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log, C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log, C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log, C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log, C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log, C :\Program Files\Microsoft\Exchange Server\V15\ Logging\HttpProxy\Oab*.log, C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log, C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log, C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log et C :\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log . Cliquez sur Suivant.
4. Entrez ExchangeHttpProxy comme Nom de la table, puis cliquez sur Suivant.
5. Cliquez sur Save (Enregistrer).

• Install Agent : <valeur de variable fournie au moment de l’installation>

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu. Les analyseurs sont automatiquement déployés avec la solution. Suivez les étapes pour créer l’alias Kusto Functions : ExchangeAdminAuditLogs

Les analyseurs sont déployés automatiquement pendant le déploiement de la solution. Si vous souhaitez déployer manuellement, suivez les étapes ci-dessous.

Déploiement manuel de l’analyseur

1. Télécharger le fichier Analyseur

Dernière version du fichier ExchangeAdminAuditLogs

2. Créer la fonction Parser ExchangeAdminAuditLogs

Dans l’explorateur « Journaux » de l’analytique des journaux de votre Microsoft Sentinel, copiez le contenu du fichier dans l’Explorateur de journaux

3. Enregistrer la fonction ExchangeAdminAuditLogs de l’analyseur

Cliquez sur le bouton Enregistrer. Aucun paramètre n’est nécessaire pour cet analyseur. Cliquez à nouveau sur Enregistrer.

---

[Déconseillé] Okta Single Sign-On (à l’aide de Azure Function) (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur Okta Single Sign-On (SSO) (à l’aide de Azure Function) permet d’ingérer les journaux d’audit et d’événements de l’API Okta dans Microsoft Sentinel. Le connecteur fournit une visibilité sur ces types de journaux dans Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Okta_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Jeton d’API Okta : un jeton d’API Okta est requis. Consultez la documentation pour en savoir plus sur l’API de journal système Okta.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’authentification unique Okta afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

NOTE: Ce connecteur a été mis à jour. Si vous avez déjà déployé une version antérieure et que vous souhaitez le mettre à jour, supprimez la fonction okta Azure existante avant de redéployer cette version.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes de configuration de l’API d’authentification unique Okta

Suivez ces instructions pour créer un jeton d’API.

Remarque : pour plus d’informations sur les restrictions de limite de débit appliquées par Okta, reportez-vous à la documentation.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur Okta SSO, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du jeton d’autorisation de l’API d’authentification unique Okta, facilement disponibles.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Cette méthode fournit un déploiement automatisé du connecteur Okta SSO à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID de l’espace de travail, la clé de l’espace de travail, le jeton d’API et l’URI.

• Utilisez le schéma suivant pour la uri valeur : https://<OktaDomain>/api/v1/logs?since= Remplacez par <OktaDomain> votre domaine. Cliquez ici pour plus d’informations sur l’identification de votre espace de noms de domaine Okta. Il n’est pas nécessaire d’ajouter une valeur d’heure à l’URI. L’application de fonction ajoute dynamiquement l’heure de début initiale des journaux à UTC 0:00 pour la date UTC actuelle en tant que valeur d’heure à l’URI dans le format approprié.
• Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.
5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur Okta SSO avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
3. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
4. Ajoutez chacun des cinq (5) paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : apiToken workspaceID workspaceKey uri logAnalyticsUri (facultatif)

• Utilisez le schéma suivant pour la uri valeur : https://<OktaDomain>/api/v1/logs?since= Remplacez par <OktaDomain> votre domaine. Cliquez ici pour plus d’informations sur l’identification de votre espace de noms de domaine Okta. Il n’est pas nécessaire d’ajouter une valeur d’heure à l’URI. L’application de fonction ajoute dynamiquement l’heure de début initiale des journaux à UTC 0:00 pour la date UTC actuelle en tant que valeur d’heure à l’URI dans le format approprié.
• Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.
• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure’environnement cloud GovUS, spécifiez la valeur au format suivant : https://< CustomerId.ods.opinsights.azure.us>.

5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

[Déconseillé] SentinelOne (à l’aide de Azure Function) (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données SentinelOne permet d’ingérer des objets serveur SentinelOne courants tels que les menaces, les agents, les applications, les activités, les stratégies, les groupes et d’autres événements dans Microsoft Sentinel via l’API REST. Pour plus d’informations, https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview reportez-vous à la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SentinelOne_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : SentinelOneAPIToken est requis. Consultez la documentation pour en savoir plus sur l’API sur .https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à l’API SentinelOne afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, qui est déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias SentinelOne et chargez le code de la fonction ou cliquez ici. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

ÉTAPE 1 : étapes de configuration de l’API SentinelOne

Suivez les instructions pour obtenir les informations d’identification.

1. Connectez-vous à la console de gestion SentinelOne avec Administration informations d’identification de l’utilisateur.
2. Dans la console de gestion, cliquez sur Paramètres.
3. Dans la vue PARAMÈTRES, cliquez sur UTILISATEURS.
4. Cliquez sur Nouvel utilisateur.
5. Entrez les informations relatives au nouvel utilisateur de la console.
6. Dans Rôle, sélectionnez Administration.
7. Cliquez sur ENREGISTRER.
8. Enregistrez les informations d’identification du nouvel utilisateur à utiliser dans le connecteur de données.

REMARQUE : - l’accès Administration peut être délégué à l’aide de rôles personnalisés. Consultez la documentation SentinelOne pour en savoir plus sur le contrôle d’accès en fonction du rôle personnalisé.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données SentinelOne, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données SentinelOne Audit à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez SentinelOneAPIToken, SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) et deploy. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données SentinelOne Reports avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits.

4. Choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure Si vous êtes déjà connecté, passez à l’étape suivante.

5. Fournissez les informations suivantes aux invites :

   a. Sélectionnez le dossier : Choisissez un dossier dans votre espace de travail ou accédez à celui qui contient votre application de fonction.

   b. Sélectionnez Abonnement : Choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (Ne choisissez pas l’option Avancé)

   d. Entrez un nom global unique pour l’application de fonction : Tapez un nom valide dans un chemin d’URL. Le nom que vous tapez est validé pour vous assurer qu’il est unique dans Azure Functions. (par exemple, SOneXXXXX).

   e. Sélectionnez un runtime : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.

7. Accédez au portail Azure pour la configuration de l’application de fonction.

8. Configurer l’application de fonction

9. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

10. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.

11. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

[Déconseillé] Sophos Endpoint Protection (à l’aide de Azure Function) (à l’aide de Azure Functions)

Pris en charge par :Microsoft Corporation

Le connecteur de données Sophos Endpoint Protection permet d’ingérer des événements Sophos dans Microsoft Sentinel. Pour plus d’informations, reportez-vous à la documentation de Sophos Central Administration.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SophosEP_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Informations d’identification/autorisations de l’API REST : un jeton d’API est requis. Pour plus d’informations, consultez Jeton d’API.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter aux API Sophos Central afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

NOTE: Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu SophosEPEvent qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 : Étapes de configuration de l’API Sophos Central

Suivez les instructions pour obtenir les informations d’identification.

1. Dans Sophos Central Administration, accédez à Paramètres > globaux Gestion des jetons de l’API.
2. Pour créer un jeton, cliquez sur Ajouter un jeton dans le coin supérieur droit de l’écran.
3. Sélectionnez un nom de jeton, puis cliquez sur Enregistrer. Le résumé du jeton d’API pour ce jeton s’affiche.
4. Cliquez sur Copier pour copier votre URL d’accès à l’API + en-têtes à partir de la section Résumé du jeton d’API dans le Presse-papiers.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur de données Sophos Endpoint Protection, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (peuvent être copiés à partir de ce qui suit).

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Sophos Endpoint Protection à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

NOTE: Dans le même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez l’URL et les en-têtes d’accès de l’API Sophos, AzureSentinelWorkspaceId, AzureSentinelSharedKey. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Sophos Endpoint Protection avec Azure Functions (Déploiement via Visual Studio Code).

Étape 1 : Déployer une application de fonction

NOTE: Vous devez préparer VS Code pour Azure développement de fonctions.

1. Téléchargez le fichier d’application de fonction Azure. Extrayez l’archive sur votre ordinateur de développement local.
2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
3. Après le déploiement réussi de l’application de fonction, suivez les étapes suivantes pour la configurer.

Étape 2 : Configurer l’application de fonction

1. Accédez au portail Azure pour la configuration de l’application de fonction.
2. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
3. Sous l’onglet Paramètres de l’application, sélectionnez Nouveau paramètre d’application.
4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

5. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

[Déconseillé] VMware Carbon Black Cloud (à l’aide de Azure Function) (à l’aide de Azure Functions)

Pris en charge par :Microsoft

Le connecteur VMware Carbon Black Cloud permet d’ingérer des données Carbon Black dans Microsoft Sentinel. Le connecteur offre une visibilité sur les journaux d’audit, de notification et d’événements dans Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
CarbonBlackEvents_CL	Non	Non
CarbonBlackNotifications_CL	Non	Non
CarbonBlackAuditLogs_CL	Non	Non

Prise en charge des règles de collecte de données : Non pris en charge actuellement

Conditions préalables:

• Autorisations Microsoft.Web/sites : des autorisations de lecture et d’écriture pour Azure Functions créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.
• Clé(s) API VMware Carbon Black : l’API Carbon Black et/ou les clés API de niveau SIEM sont requises. Consultez la documentation pour en savoir plus sur l’API Carbon Black.
• Un ID d’API et une clé de niveau d’accès d’API Carbon Black sont requis pour les journaux d’audit et d’événements .
• Un ID d’API de niveau d’accès SIEM noir carbone et une clé sont requis pour les alertes de notification .
• Informations d’identification/autorisations de l’API REST Amazon S3 : l’ID de clé d’accès AWS, la clé d’accès au secret AWS, le nom du compartiment AWS S3 et le nom du dossier dans le compartiment AWS S3 sont requis pour l’API REST Amazon S3.

Instructions d’installation :

NOTE: Ce connecteur utilise Azure Functions pour se connecter à VMware Carbon Black afin d’extraire ses journaux dans Microsoft Sentinel. Cela peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.

ÉTAPE 1 : Étapes de configuration de l’API VMware Carbon Black

Suivez ces instructions pour créer une clé API.

ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT: Avant de déployer le connecteur VMware Carbon Black, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que de la ou des clés d’autorisation de l’API VMware Carbon Black.

• ID de l’espace de travail : <valeur de variable fournie au moment de l’installation>
• Clé primaire : <valeur de variable fournie au moment de l’installation>

Option 1 : modèle Azure Resource Manager (ARM)

Cette méthode fournit un déploiement automatisé du connecteur VMware Carbon Black à l’aide d’un tempate ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   aka.msaka.ms

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement préférés.

3. Entrez l’ID de l’espace de travail, la clé de l’espace de travail, les types de journaux, les ID d’API, les clés API, la clé d’organisation Carbon Black, le nom du compartiment S3, l’ID de la clé d’accès AWS, la clé d’accès secrète AWS, eventPrefixFolderName,AlertPrefixFolderName, puis validez l’URI.

• Entrez l’URI qui correspond à votre région. La liste complète des URL d’API est disponible ici
• L’intervalle de temps par défaut est défini pour extraire les cinq (5) dernières minutes de données. Si l’intervalle de temps doit être modifié, il est recommandé de modifier le déclencheur du minuteur de l’application de fonction en conséquence (dans le fichier function.json, après le déploiement) pour empêcher l’ingestion des données qui se chevauchent.
• Carbon Black nécessite un ensemble distinct d’ID/clés d’API pour ingérer les alertes de notification. Entrez les valeurs ID/clé de l’API SIEM ou laissez vide, si ce n’est pas nécessaire.
• Remarque : Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.
5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur VMware Carbon Black avec Azure Functions.

1. Créer une application de fonction

2. Dans le portail Azure, accédez à Application de fonction, puis sélectionnez + Ajouter.

3. Sous l’onglet Informations de base, vérifiez que la pile d’exécution est définie sur PowerShell Core.

4. Sous l’onglet Hébergement, vérifiez que le type de plan Consommation (serverless) est sélectionné.

5. Apportez d’autres modifications de configuration préférables, si nécessaire, puis cliquez sur Créer.

6. Importer le code de l’application de fonction

7. Dans l’application de fonction nouvellement créée, sélectionnez Fonctions dans le volet gauche, puis cliquez sur + Ajouter.

8. Sélectionnez Déclencheur du minuteur.

9. Entrez un nom de fonction unique et modifiez la planification cron, si nécessaire. La valeur par défaut est définie pour exécuter l’application de fonction toutes les 5 minutes. (Remarque : le déclencheur du minuteur doit correspondre à la timeInterval valeur ci-dessous pour éviter les chevauchements de données), cliquez sur Créer.

10. Cliquez sur Code + Test dans le volet gauche.

11. Copiez le code de l’application de fonction et collez-le dans l’éditeur d’application de run.ps1 fonction.

12. Cliquez sur Save (Enregistrer).

13. Configurer l’application de fonction

14. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

15. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.

16. Ajoutez chacun des treize à seize (13-16) paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (respectant la casse) : apiId apiKey workspaceID workspaceKey Uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Facultatif) SIEMapiKey (Facultatif) logAnalyticsUri (facultatif)

• Entrez l’URI qui correspond à votre région. La liste complète des URL d’API est disponible ici. La uri valeur doit suivre le schéma suivant : https://<API URL>.conferdeploy.net - Il n’est pas nécessaire d’ajouter un suffixe de temps à l’URI, l’application de fonction ajoute dynamiquement la valeur de temps à l’URI dans le format approprié.
• Définissez le timeInterval (en minutes) sur la valeur par défaut de 5 pour correspondre au déclencheur de minuteur par défaut de toutes les 5 minutes. Si l’intervalle de temps doit être modifié, il est recommandé de modifier le déclencheur du minuteur de l’application de fonction en conséquence pour empêcher l’ingestion des données qui se chevauchent.
• Carbon Black nécessite un ensemble distinct d’ID/clés d’API pour ingérer les alertes de notification. Entrez les SIEMapiId valeurs et SIEMapiKey , si nécessaire, ou omettez, si ce n’est pas nécessaire.
• Remarque : Si vous utilisez Azure Key Vault, utilisez le@Microsoft.KeyVault(SecretUri={Security Identifier})schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.
• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant :https://<CustomerId>.ods.opinsights.azure.us

4. Une fois que tous les paramètres d’application ont été entrés, cliquez sur Enregistrer.

---

Island Enterprise Browser Administration Events (hérité)

Pris en charge par :Island

Il s’agit d’un connecteur hérité qui n’est plus recommandé. Utilisez plutôt Island Enterprise Browser V2 Data Connector , qui prend en charge les événements utilisateur, administrateur et système au sein d’un seul connecteur.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Island_Admin_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Clé API Island : une clé API Island est requise.

Instructions d’installation :

Connecter l’île à Microsoft Sentinel

Il s’agit d’un connecteur hérité. Pour obtenir des instructions de configuration complètes, reportez-vous à la documentation officielle d’Island (nécessite une connexion à Island Management Console).

---

Événements utilisateur Island Enterprise Browser (hérité)

Pris en charge par :Island

Il s’agit d’un connecteur hérité qui n’est plus recommandé. Utilisez plutôt Island Enterprise Browser V2 Data Connector , qui prend en charge les événements utilisateur, administrateur et système au sein d’un seul connecteur.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Island_User_CL	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

Conditions préalables:

• Clé API Island : une clé API Island est requise.

Instructions d’installation :

Connecter l’île à Microsoft Sentinel

Il s’agit d’un connecteur hérité. Pour obtenir des instructions de configuration complètes, reportez-vous à la documentation officielle d’Island (nécessite une connexion à Island Management Console).

---

Événements de sécurité via un agent hérité

Pris en charge par :Microsoft Corporation

Vous pouvez diffuser en continu tous les événements de sécurité à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Cela vous donne plus d’informations sur le réseau de votre organization et améliore vos fonctionnalités d’opération de sécurité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityEvent	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Microsoft Defender basées sur un abonnement pour le cloud (hérité)

Pris en charge par :Microsoft Corporation

Microsoft Defender pour le cloud est un outil de gestion de la sécurité qui vous permet de détecter et de répondre rapidement aux menaces sur les charges de travail Azure, hybrides et multiclouds. Ce connecteur vous permet de diffuser en continu vos alertes de sécurité à partir de Microsoft Defender pour le cloud vers Microsoft Sentinel, ce qui vous permet d’afficher les données Defender dans des classeurs, de les interroger pour produire des alertes, d’examiner et de répondre aux incidents.

Pour plus d'informations>

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
SecurityAlert	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Syslog via l’agent hérité

Pris en charge par :Microsoft Corporation

Syslog est un protocole de journalisation des événements commun à Linux. Les applications envoient des messages qui peuvent être stockés sur l’ordinateur local ou remis à un collecteur Syslog. Lorsque l’Agent pour Linux est installé, il configure le démon Syslog local pour transférer les messages à l’agent. L’agent envoie ensuite le message à l’espace de travail.

Pour en savoir plus >

Table(s) Log Analytics :

Tableau	Prise en charge de DCR	Ingestion de lac uniquement
Syslog	Oui	Oui

Prise en charge des règles de collecte de données :DCR de transformation de l’espace de travail

---

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• catalogue de solutions Microsoft Sentinel
• Intégration du renseignement sur les menaces dans Microsoft Sentinel