Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Après avoir intégré Microsoft Sentinel à votre espace de travail, utilisez des connecteurs de données pour commencer à ingérer vos données dans Microsoft Sentinel. Microsoft Sentinel est fourni avec de nombreux connecteurs prêtes à l’emploi pour les services Microsoft, qui s’intègrent en temps réel. Par exemple, le connecteur Microsoft Defender XDR est un connecteur de service à service qui intègre des données de Office 365, Microsoft Entra ID, Microsoft Defender pour Identity et Microsoft Defender for Cloud Apps.
Les connecteurs intégrés permettent de se connecter à l’écosystème de sécurité plus large pour les produits non-Microsoft. Par exemple, utilisez Syslog, CEF (Common Event Format) ou des API REST pour connecter vos sources de données à Microsoft Sentinel.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du gouvernement des États-Unis, consultez les tables Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du gouvernement des États-Unis.
Importante
Conformément à l’annonce de 2024, après le 14 septembre 2026, l’API collecteur de données HTTP héritée ne sera plus prise en charge. Les sources de données, les intégrations personnalisées ou les connecteurs qui utilisent l’API collecteur de données HTTP doivent passer à une alternative prise en charge pour éviter les interruptions d’ingestion potentielles après cette date.
Si vous utilisez actuellement l’API Collecteur de données HTTP, nous vous recommandons de commencer à planifier votre migration vers l’API d’ingestion des journaux ou l’infrastructureCCF (Codeless Connector Framework) pour garantir une ingestion ininterrompue des données, une fiabilité, une scalabilité et une prise en charge à long terme améliorées.
Considérations relatives à la gestion des données pour Microsoft Sentinel data lake
Les considérations suivantes doivent être prises en compte dans votre planification de la conformité et de la gestion des données :
RGPD et conservation des données
- Les administrateurs de locataires peuvent exercer les droits RGPD à l’aide de la fonctionnalité Purge pour le niveau analytique. Cela n’affecte pas le niveau du lac de données.
- Des enregistrements spécifiques ne peuvent pas être vidés du lac de données Sentinel. Le lac de données conserve les données ingérées pendant la période de rétention définie, même si les données sont supprimées à la source ou au niveau analytique.
Intégration de Purview. Les modifications apportées aux paramètres Purview n’ont aucun effet sur les données stockées dans le lac de données Sentinel.
L’emplacement de stockage Sentinel les emplacements de stockage data lake sont sélectionnés par l’administrateur du locataire et peuvent différer de l’emplacement de stockage principal des services sources.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Connecteurs de données fournis avec des solutions
Microsoft Sentinel solutions fournissent du contenu de sécurité empaqueté, notamment des connecteurs de données, des classeurs, des règles d’analyse, des playbooks, etc. Lorsque vous déployez une solution avec un connecteur de données, vous obtenez le connecteur de données avec le contenu associé dans le même déploiement.
La page Microsoft Sentinel Connecteurs de données répertorie les connecteurs de données installés ou en cours d’utilisation.
Pour ajouter d’autres connecteurs de données, installez la solution associée au connecteur de données à partir du hub de contenu. Si vous souhaitez en savoir plus, consultez les articles suivants :
- Rechercher votre connecteur de données Microsoft Sentinel
- À propos Microsoft Sentinel contenu et solutions
- Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi
- Microsoft Sentinel catalogue du hub de contenu
- Solutions de domaine basées sur le modèle ASIM (Advanced Security Information Model) pour Microsoft Sentinel
Créer des connecteurs personnalisés
Si vous ne parvenez pas à connecter votre source de données à Microsoft Sentinel à l’aide de l’une des solutions existantes disponibles, envisagez de créer votre propre connecteur de source de données. Par exemple, de nombreuses solutions de sécurité fournissent un ensemble d’API pour récupérer des fichiers journaux et d’autres données de sécurité à partir de leur produit ou service. Ces API se connectent à Microsoft Sentinel avec l’une des méthodes suivantes :
- Les API de source de données sont configurées avec l’infrastructure de connecteur sans code.
- Le connecteur de données utilise l’API d’ingestion des journaux pour Azure Monitor dans le cadre d’une fonction Azure ou d’une application logique.
Vous pouvez également utiliser Azure Monitor Agent directement ou Logstash pour créer votre connecteur personnalisé. Pour plus d’informations, consultez Ressources pour la création de connecteurs personnalisés Microsoft Sentinel.
Intégration basée sur un agent pour les connecteurs de données
Microsoft Sentinel pouvez utiliser les agents fournis par le service Azure Monitor (sur lequel Microsoft Sentinel est basé) pour collecter des données à partir de n’importe quelle source de données capable d’effectuer une diffusion en continu de journaux en temps réel. Par exemple, la plupart des sources de données locales se connectent à l’aide de l’intégration basée sur un agent.
Les sections suivantes décrivent les différents types de connecteurs de données Microsoft Sentinel basés sur un agent. Pour configurer des connexions à l’aide de mécanismes basés sur un agent, suivez les étapes décrites dans chaque Microsoft Sentinel page du connecteur de données.
Syslog et CEF (Common Event Format)
Vous pouvez diffuser en continu des événements à partir de Linux appareils prenant en charge Syslog vers Microsoft Sentinel à l’aide de l’agent AZURE Monitor (AMA). Les formats de journal varient, mais de nombreuses sources prennent en charge la mise en forme cef. Selon le type d’appareil, l’agent est installé directement sur l’appareil ou sur un redirecteur de journal dédié Linux. L’AMA reçoit des messages d’événement Syslog ou CEF bruts du démon Syslog via UDP. Le démon Syslog transfère les événements à l’agent en interne, en communiquant via TCP ou UDS (Unix Domain Sockets), selon la version. L’AMA transmet ensuite ces événements à l’espace de travail Microsoft Sentinel.
Voici un flux simple qui montre comment Microsoft Sentinel diffuse les données Syslog.
- Le démon Syslog intégré de l’appareil collecte les événements locaux des types spécifiés et les transfère localement à l’agent.
- L’agent diffuse les événements à votre espace de travail Log Analytics.
- Une fois la configuration réussie, les messages Syslog s’affichent dans la table Syslog Log Analytics et les messages CEF dans la table CommonSecurityLog .
Pour plus d’informations, consultez Syslog et Common Event Format (CEF) via les connecteurs AMA pour Microsoft Sentinel.
Journaux personnalisés
Pour certaines sources de données, vous pouvez collecter des journaux sous forme de fichiers sur des ordinateurs Windows ou Linux à l’aide de l’agent de collecte de journaux personnalisé Log Analytics.
Pour vous connecter à l’aide de l’agent de collecte de journaux personnalisé Log Analytics, suivez les étapes décrites dans chaque page Microsoft Sentinel connecteur de données. Une fois la configuration réussie, les données apparaissent dans des tables personnalisées.
Pour plus d’informations, consultez Journaux personnalisés via le connecteur de données AMA - Configurer l’ingestion de données pour Microsoft Sentinel à partir d’applications spécifiques.
Intégration de service à service pour les connecteurs de données
Microsoft Sentinel utilise la base Azure pour fournir une prise en charge de service à service prête à l’emploi pour les services Microsoft et Amazon Web Services.
Si vous souhaitez en savoir plus, consultez les articles suivants :
- Connecter Microsoft Sentinel aux services Azure, Windows, Microsoft et Amazon
- Rechercher votre connecteur de données Microsoft Sentinel
Prise en charge du connecteur de données
Microsoft et d’autres organisations créent des connecteurs de données Microsoft Sentinel. Chaque connecteur de données a l’un des types de prise en charge suivants répertoriés dans la page du connecteur de données dans Microsoft Sentinel.
| Type de support | Description |
|---|---|
| Pris en charge par Microsoft | S’applique à :
Les partenaires ou la Communauté prennent en charge les connecteurs de données créés par toute autre partie que Microsoft. |
| Prise en charge par les partenaires | S’applique aux connecteurs de données créés par des tiers autres que Microsoft. L’entreprise partenaire assure la prise en charge ou la maintenance de ces connecteurs de données. L’entreprise partenaire peut être un fournisseur de logiciels indépendant, un fournisseur de services managés (MSP/MSSP), un intégrateur de systèmes (SI) ou n’importe quel organization dont les informations de contact sont fournies sur la page Microsoft Sentinel pour ce connecteur de données. Pour tout problème avec un connecteur de données pris en charge par un partenaire, contactez le contact de support du connecteur de données spécifié. |
| Prise en charge par la communauté | S’applique aux connecteurs de données créés par Microsoft ou des développeurs partenaires qui n’ont pas de contacts répertoriés pour la prise en charge et la maintenance des connecteurs de données sur la page du connecteur de données dans Microsoft Sentinel. Si vous avez des questions ou des problèmes liés à ces connecteurs de données, vous pouvez déposer un problème dans la communauté GitHub Microsoft Sentinel. |
Pour plus d’informations, consultez Rechercher la prise en charge d’un connecteur de données.
Étapes suivantes
Pour plus d’informations sur les connecteurs de données, consultez les articles suivants.
- Connecter vos sources de données à Microsoft Sentinel à l’aide de connecteurs de données
- Rechercher votre connecteur de données Microsoft Sentinel
- Ressources pour la création de connecteurs personnalisés Microsoft Sentinel
Pour obtenir une référence IaC (Infrastructure as Code) de base sur Bicep, Azure Resource Manager et Terraform afin de déployer des connecteurs de données dans Microsoft Sentinel, consultez Microsoft Sentinel référence IaC du connecteur de données.