Connecteurs de données Microsoft Sentinel
Après l’intégration de Microsoft Sentinel à votre espace de travail, utilisez des connecteurs de données pour commencer à ingérer vos données dans Microsoft Sentinel. Microsoft Sentinel est fourni avec de nombreux connecteurs prêts à l’emploi pour des services Microsoft, qui s’intègrent en temps réel. Par exemple, le connecteur Microsoft Defender XDR est un connecteur de service à service qui intègre des données d’Office 365, de Microsoft Entra ID, de Microsoft Defender pour Identity et de Microsoft Defender for Cloud Apps.
Les connecteurs intégrés permettent une connexion à un écosystème de sécurité plus large pour des produits non Microsoft. Par exemple, utilisez Syslog, un format CEF (Common Event Format) ou des API REST pour connecter vos sources de données à Microsoft Sentinel.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
Important
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Connecteurs de données fournis avec des solutions
Les solutions Microsoft Sentinel fournissent du contenu de sécurité empaqueté, notamment des connecteurs de données, des classeurs, des règles analytiques, des playbooks, etc. Lorsque vous déployez une solution avec un connecteur de données, vous obtenez le connecteur de données et le contenu associé dans le même déploiement.
La page Connecteurs de données de Microsoft Sentinel répertorie les connecteurs de données installés ou en cours d’utilisation.
Pour ajouter d’autres connecteurs de données, installez la solution associée au connecteur de données à partir du Hub de contenu. Pour plus d’informations, consultez les articles suivants :
- Rechercher votre connecteur de données Microsoft Sentinel
- À propos du contenu et des solutions Microsoft Sentinel
- Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi
- Catalogue du hub de contenu Microsoft Sentinel
- Solutions de domaine basées sur ASIM (Advanced Security Information Model) pour Microsoft Sentinel
Intégration de l’API REST pour les connecteurs de données
De nombreuses technologies de sécurité fournissent un ensemble d’API pour récupérer des fichiers journaux. Certaines sources de données peuvent utiliser ces API pour se connecter à Microsoft Sentinel.
Les connecteurs de données qui utilisent des API s’intègrent du côté du fournisseur ou s’intègrent à l’aide d’Azure Functions, comme décrit dans les sections suivantes.
Intégration côté fournisseur
Une intégration d’API créée par le fournisseur se connecte aux sources de données du fournisseur et envoie les données dans les tables de journaux personnalisées de Microsoft Sentinel à l’aide de l’API de collecte de données Azure Monitor. Pour plus d’informations, consultez la rubrique Envoyer des données de journal à Azure Monitor à l’aide de l’API de collecte de données HTTP.
Pour découvrir l’intégration d’API REST, lisez la documentation de votre fournisseur et la page Connecter votre source de données à l’API REST de Microsoft Sentinel pour ingérer des données.
Intégration à l’aide d’Azure Functions
Les intégrations qui utilisent Azure Functions pour se connecter à une API de fournisseur mettent tout d’abord en forme les données, puis les envoient aux tables de journal personnalisées de Microsoft Sentinel à l’aide de l’API de collecte de données Azure Monitor.
Pour plus d’informations, consultez l’article suivant :
- Envoyer des données de journal à Azure Monitor à l’aide de l’API de collecte de données HTTP
- Utiliser Azure Functions pour connecter votre source de données à Microsoft Sentinel
- Documentation Azure Functions
Les intégrations qui utilisent Azure Functions peuvent engendrer des coûts d’ingestion de données supplémentaires, car vous hébergez Azure Functions dans votre organisation Azure. Apprenez-en davantage sur la Tarification d’Azure Functions.
Intégration basée sur l’agent pour les connecteurs de données
Microsoft Sentinel peut utiliser le protocole Syslog pour connecter un agent à n’importe quelle source de données capable d’effectuer un streaming de journaux en temps réel. Par exemple, la plupart des sources de données locales se connectent à l’aide de l’intégration basée sur l’agent.
Les sections suivantes décrivent les différents types de connecteurs de données basés sur l’agent de Microsoft Sentinel. Pour configurer des connexions à l’aide de mécanismes basés sur l’agent, suivez les étapes indiquées sur chaque page de connecteur de données Microsoft Sentinel.
syslog
Vous pouvez diffuser en continu des événements à partir d’appareils Linux prenant en charge Syslog vers Microsoft Sentinel à l’aide de l’agent Azure Monitor (AMA). En fonction du type d’appareil, l’agent est installé directement sur l’appareil ou sur un redirecteur de journaux Linux dédié. L’agent AMA reçoit les événements du démon Syslog sur UDP. Le démon Syslog transfère les événements à l’agent en interne, en communiquant sur UDS (Sockets de domaine Unix). L’agent AMA transmet ensuite ces événements à l’espace de travail Microsoft Sentinel.
Voici un flux simple qui montre comment Microsoft Sentinel diffuse des données Syslog.
- Le démon Syslog intégré de l’appareil collecte les événements locaux des types spécifiés et les transfère localement à l’agent.
- L’agent diffuse les événements vers votre espace de travail Log Analytics.
- Une fois la configuration réussie, les données s’affichent dans la table Syslog de Log Analytics.
Pour plus d’informations, consultez la rubrique Tutoriel : transférer des données Syslog vers un espace de travail Log Analytics avec Microsoft Sentinel à l’aide de l’agent Azure Monitor.
CEF (Common Event Format)
Le format des journaux varie, mais de nombreuses sources prennent en charge le format CEF. L’agent Microsoft Sentinel, qui est en fait l’agent Log Analytics, convertit les journaux au format CEF dans un format que Log Analytics peut ingérer.
Pour les sources de données qui émettent des données au format CEF, configurez l’agent Syslog, puis configurez le flux de données CEF. Une fois la configuration réussie, les données s’affichent dans la table CommonSecurityLog.
Pour plus d’informations, consultez Transférer les journaux au format CEF de votre appareil ou appliance dans Microsoft Sentinel.
Journaux d’activité personnalisés
Pour certaines sources de données, vous pouvez collecter des journaux sous forme de fichiers sur des ordinateurs Windows ou Linux en utilisant l’agent de collecte de journaux personnalisés Log Analytics.
Pour vous connecter à l’aide de l’agent de collecte de journaux personnalisé Log Analytics, suivez les étapes indiquées sur chaque page de connecteur de données Microsoft Sentinel. Une fois la configuration réussie, les données s’affichent dans des tables personnalisées.
Pour plus d’information, reportez-vous à Collecter des données dans des formats de journal personnalisés vers Microsoft Sentinel avec l’agent Log Analytics.
Intégration de service à service pour les connecteurs de données
Microsoft Sentinel utilise la fondation Azure pour fournir un support de service à service prêt à l’emploi pour les services Microsoft et Amazon Web Services.
Pour plus d’informations, consultez les articles suivants :
- Connecter Microsoft Sentinel aux services Azure, Windows, Microsoft et Amazon
- Rechercher votre connecteur de données Microsoft Sentinel
Prise en charge du connecteur de données
Microsoft et d’autres organisations créent des connecteurs de données Microsoft Sentinel. Chaque connecteur de données possède l’un des types de support suivants, répertoriés sur la page consacrée au connecteur de données dans Microsoft Sentinel.
| Type de support | Description |
|---|---|
| Pris en charge par Microsoft | S’applique à :
Les partenaires ou la communauté prennent en charge les connecteurs de données créés par toute autre partie que Microsoft. |
| Support par un partenaire | S’applique aux connecteurs de données créés par des tiers, autres que Microsoft. La société partenaire assure le support ou la maintenance de ces connecteurs de données. Cette société partenaire peut être un éditeur de logiciels indépendant, un fournisseur de services gérés (MSP/MSSP), un intégrateur de systèmes ou toute organisation dont les coordonnées sont fournies sur la page Microsoft Sentinel de ce connecteur de données. Pour tout problème lié à un connecteur de données pris en charge par un partenaire, contactez le contact de support du connecteur de données concerné. |
| Support par la communauté | S’applique aux connecteurs de données créés par Microsoft ou par des développeurs partenaires qui ne disposent d’aucun contact répertorié pour le support et la maintenance du connecteur de données sur la page consacrée à ce dernier dans Microsoft Sentinel. Pour toute question ou tout problème liés à ces connecteurs de données, vous pouvez signaler un problème auprès de la communauté GitHub de Microsoft Sentinel. |
Pour plus d’informations, consultez la rubrique Obtenir un support pour un connecteur de données.
Étapes suivantes
Pour plus d’informations sur les connecteurs de données, consultez les articles suivants.
- Connecter vos sources de données à Microsoft Sentinel à l’aide de connecteurs de données
- Rechercher votre connecteur de données Microsoft Sentinel
- Ressources pour la création de connecteurs Microsoft Sentinel personnalisés
Pour obtenir une référence IaC (Infrastructure as Code) de base de Bicep, Azure Resource Manager et Terraform afin de déployer des connecteurs de données dans Microsoft Sentinel, reportez-vous à la rubrique Référence IaC du connecteur de données Microsoft Sentinel.