Connecteurs de données Microsoft Sentinel

Après l’intégration de Microsoft Sentinel à votre espace de travail, utilisez des connecteurs de données pour commencer à ingérer vos données dans Microsoft Sentinel. Microsoft Sentinel est fourni avec de nombreux connecteurs prêts à l’emploi pour des services Microsoft, qui s’intègrent en temps réel. Par exemple, le connecteur Microsoft 365 Defender est un connecteur de service à service qui intègre des données d’Office 365, d’Azure Active Directory (Azure AD), de Microsoft Defender pour Identity et de Microsoft Defender for Cloud Apps.

Les connecteurs intégrés permettent une connexion à un écosystème de sécurité plus large pour des produits non Microsoft. Par exemple, utilisez Syslog, un format CEF (Common Event Format) ou des API REST pour connecter vos sources de données à Microsoft Sentinel.

Découvrez les Types de connecteurs de données Microsoft Sentinel ou le Catalogue de solutions Microsoft Sentinel.

La page Connecteurs de données de Microsoft Sentinel affiche la liste complète des connecteurs et fournit leur état pour votre espace de travail. Cette page affichera bientôt uniquement la liste des connecteurs de données en cours d’utilisation. Pour obtenir plus d’informations sur cette modification à venir, consulter Modifications de centralisation de contenu prêtes à l’emploi

Pour ajouter d’autres connecteurs de données, installez la solution associée au connecteur de données à partir du Hub de contenu. Pour plus d’informations, consultez les articles suivants :

• Rechercher votre connecteur de données Microsoft Sentinel
• Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi
• Catalogue du hub de contenu Microsoft Sentinel

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Active un connecteur de données

Dans la page Connecteurs de données, sélectionnez le connecteur actif ou personnalisé à connecter, puis Ouvrir la page du connecteur. Si vous ne voyez pas le connecteur de données souhaité, installez la solution qui y est associée à partir du Hub de contenu.

• Une fois que vous remplissez toutes les conditions préalables répertoriées dans l’onglet Instructions , la page du connecteur décrit comment ingérer les données dans Microsoft Sentinel. Les données peuvent mettre un certain temps à apparaître.

• Une fois connecté, vous voyez un récapitulatif des données dans le graphe Données reçues, ainsi que l’état de connectivité des types de données.

  

Découvrez votre connecteur de données spécifique dans la Référence des connecteurs de données.

Intégration de l’API REST pour les connecteurs de données

De nombreuses technologies de sécurité fournissent un ensemble d’API permettant de récupérer les fichiers journaux, et certaines sources de données peuvent utiliser ces API pour se connecter à Microsoft Sentinel.

Les connecteurs de données qui utilisent des API s’intègrent du côté du fournisseur ou s’intègrent à l’aide d’Azure Functions, comme décrit dans les sections suivantes.

Apprenez-en davantage sur les connecteurs de données dans la Référence des connecteurs de données.

Intégration de l’API REST côté fournisseur

Une intégration d’API créée par le fournisseur se connecte aux sources de données du fournisseur et envoie les données à des tables de journal personnalisées de Microsoft Sentinel à l’aide de l’API de collecte de données Azure Monitor.

Pour découvrir l’intégration d’API REST, lisez la documentation de votre fournisseur et la page Connecter votre source de données à l’API REST de Microsoft Sentinel pour ingérer des données.

Intégration d’API REST à l’aide d’Azure Functions

Les intégrations qui utilisent Azure Functions pour se connecter à une API de fournisseur mettent tout d’abord en forme les données, puis les envoient aux tables de journal personnalisées de Microsoft Sentinel à l’aide de l’API de collecte de données Azure Monitor. Découvrez comment Utiliser Azure Functions pour connecter votre source de données à Microsoft Sentinel.

Important

Les intégrations qui utilisent Azure Functions peuvent occasionner des coûts d’ingestion de données supplémentaires, car vous hébergez Azure Functions sur votre locataire Azure. Apprenez-en davantage sur la Tarification d’Azure Functions.

Intégration basée sur l’agent pour les connecteurs de données

Microsoft Sentinel peut utiliser le protocole Syslog pour connecter un agent à n’importe quelle source de données capable d’effectuer un streaming de journaux en temps réel. Par exemple, la plupart des sources de données locales se connectent en utilisant une intégration basée sur l’agent.

Les sections suivantes décrivent les différents types de connecteurs de données basés sur l’agent de Microsoft Sentinel. Suivez les étapes de chaque page de connecteur de données Microsoft Sentinel pour configurer les connexions à l’aide de mécanismes basés sur l’agent.

Découvrez les pare-feu, proxys et points de terminaison qui se connectent à Microsoft Sentinel via CEF ou Syslog dans la Référence des connecteurs de données.

syslog

Vous pouvez diffuser en streaming des événements à partir d’appareils Linux prenant en charge Syslog vers Microsoft Sentinel à l’aide de l’agent Azure Monitor (AMA). En fonction du type d’appareil, l’agent est installé directement sur l’appareil ou sur un redirecteur de journaux Linux dédié. L’agent AMA reçoit les événements du démon Syslog sur UDP. Le démon Syslog transfère les événements à l’agent en interne, en communiquant sur UDS (Sockets de domaine Unix). L’agent AMA transmet ensuite ces événements à l’espace de travail Microsoft Sentinel.

Voici un simple flux montrant comment Microsoft Sentinel diffuse des données Syslog.

1. Le démon Syslog intégré de l’appareil collecte les événements locaux des types spécifiés et les transfère localement à l’agent.
2. L’agent diffuse les événements vers votre espace de travail Log Analytics.
3. Une fois la configuration réussie, les données s’affichent dans la table Syslog de Log Analytics.

CEF (Common Event Format)

Le format des journaux varie, mais de nombreuses sources prennent en charge le format CEF. L’agent Microsoft Sentinel, qui est en fait l’agent Log Analytics, convertit les journaux au format CEF dans un format que Log Analytics peut ingérer.

Pour les sources de données qui émettent des données au format CEF, configurez l’agent Syslog, puis configurez le flux de données CEF. Une fois la configuration réussie, les données s’affichent dans la table CommonSecurityLog.

Découvrez comment Connecter des appliances CEF à Microsoft Sentinel.

Journaux d’activité personnalisés

Pour certaines sources de données, vous pouvez collecter des journaux sous forme de fichiers sur des ordinateurs Windows ou Linux en utilisant l’agent de collecte de journaux personnalisés Log Analytics.

Suivez les étapes de chaque page de connecteur de données Microsoft Sentinel pour vous connecter à l’aide de l’agent personnalisé de collecte de journaux Log Analytics. Une fois la configuration réussie, les données s’affichent dans des tables personnalisées.

Découvrez comment Collecter des données dans des formats de journaux personnalisés vers Microsoft Sentinel avec l’agent Log Analytics.

Intégration de service à service pour les connecteurs de données

Microsoft Sentinel utilise la fondation Azure pour assurer la prise en charge service à service prête à l’emploi pour les services Microsoft et Amazon Web Services.

Apprenez à vous connecter à des services Azure, Windows, Microsoft et Amazon, ou découvrez les types de connecteurs de données dans la Référence des connecteurs de données.

Déployer des connecteurs de données dans le cadre d’une solution

Les solutions Microsoft Sentinel fournissent des packages de contenu de sécurité, notamment des connecteurs de données, des classeurs, des règles d’analyse, des playbooks et bien plus. Lorsque vous déployez une solution avec un connecteur de données, vous obtenez le connecteur de données et le contenu associé dans le même déploiement.

Apprenez à Découvrir et déployer de manière centralisée du contenu et des solutions Microsoft Sentinel prêts à l’emploi, ou découvrez le Catalogue de solutions Microsoft Sentinel.

Prise en charge du connecteur de données

Microsoft et d’autres organisations créent des connecteurs de données Microsoft Sentinel. Chaque connecteur de données dispose de l’un des types de support suivants :

Type de support	Description
Pris en charge par Microsoft	S’applique à : Connecteurs de données pour les sources de données où Microsoft est le fournisseur de données et l’auteur. Certains connecteurs de données créés par Microsoft pour des sources de données autres que Microsoft. Microsoft prend en charge et gère les connecteurs de données dans cette catégorie conformément aux Plans de Support Microsoft Azure. Les partenaires ou la communauté assurent le support des connecteurs de données créés par les tiers, autres que Microsoft.
Support par un partenaire	S’applique aux connecteurs de données créés par des tiers, autres que Microsoft. La société partenaire assure le support ou la maintenance de ces connecteurs de données. Cette société partenaire peut être un éditeur de logiciels indépendant, un fournisseur de services gérés (MSP/MSSP), un intégrateur de systèmes ou toute organisation dont les coordonnées sont fournies sur la page Microsoft Sentinel de ce connecteur de données. Pour tout problème lié à un connecteur de données pris en charge par un partenaire, contactez le contact de support du connecteur de données concerné.
Support par la communauté	S’applique aux connecteurs de données créés par Microsoft ou par les développeurs partenaires qui n’ont pas de coordonnées répertoriées pour le support et la maintenance du connecteur de données dans la page du connecteur de données spécifié dans Microsoft Sentinel. Pour toute question ou tout problème liés à ces connecteurs de données, vous pouvez signaler un problème auprès de la communauté GitHub de Microsoft Sentinel.

Rechercher le contact de support pour un connecteur de données

1. Dans la page Connecteurs de données de Microsoft Sentinel, sélectionnez le connecteur approprié.
2. Pour accéder au support et à la maintenance du connecteur, utilisez le lien de contact du support figurant dans le champ Pris en charge par sur le panneau latéral du connecteur.

Étapes suivantes

• Pour utiliser Microsoft Sentinel, vous devez disposer d’un abonnement à Microsoft Azure. Si vous n’avez pas d’abonnement, vous pouvez vous inscrire à un essai gratuit.
• Découvrez comment intégrer vos données à Microsoft Sentinel et obtenir une visibilité de vos données et des menaces.
• Si vous souhaitez obtenir plus d’informations sur les connecteurs de données personnalisés, consultez Ressources pour la création de connecteurs personnalisés Microsoft Sentinel.
• Pour obtenir une référence IaC (Infrastructure as Code) de base Bicep, ARM et Terraform afin de déployer des connecteurs de données dans Microsoft Sentinel, consultez Référence IaC du connecteur de données Microsoft Sentinel.