Connecter Microsoft Sentinel à d’autres services Microsoft à l’aide de connexions basées sur les paramètres de diagnostic

  • Article

Cet article explique comment se connecter à Microsoft Sentinel à l’aide de connexions de paramètres de diagnostic. Microsoft Sentinel se base sur Azure afin de fournir une prise en charge service à service intégrée de l’ingestion de données à partir de nombreux services Azure et Microsoft 365, d’Amazon Web Services et de divers services Windows Server. Plusieurs méthodes permettent d’établir ces connexions.

Cet article présente des informations communes au groupe de connecteurs de données qui utilisent des connexions basées sur des paramètres de diagnostic. Certains de ces types de connecteurs sont gérés à l’aide d’Azure Policy. Pour les autres connecteurs de ce type, sélectionnez les instructions autonomes.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Connecteurs autonomes basés sur les paramètres de diagnostic

Cette section décrit les conditions préalables et les instructions d’installation générales pour le groupe de connecteurs de données qui utilisent des connexions basées sur des paramètres de diagnostic autonomes.

Prérequis

Pour ingérer des données dans Microsoft Sentinel :

  • Vous devez disposer d’autorisations d’accès en lecture et en écriture dans l’espace de travail Microsoft Sentinel.

Instructions

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données.

  2. Sélectionnez votre type de ressource dans la galerie de connecteurs de données, puis choisissez Ouvrir la page du connecteur dans le volet de visualisation.

  3. Dans la section Configuration de la page du connecteur, sélectionnez le lien pour ouvrir la page de configuration des ressources.

    Si une liste de ressources du type souhaité s’affiche, sélectionnez le lien d’une ressource dont vous souhaitez ingérer les journaux.

  4. Dans le menu de navigation de la ressource, sélectionnez Paramètres de diagnostic.

  5. Sélectionnez + Ajouter un paramètre de diagnostic en bas de la liste.

  6. Dans l’écran Paramètres de diagnostic, entrez un nom dans le champ Nom des paramètres de diagnostic.

    Activez la case à cocher Envoyer à Log Analytics. Deux nouveaux champs s’affichent sous celle-ci. Choisissez les valeurs Abonnement et Espace de travail Log Analytics appropriées (où se trouve Microsoft Sentinel).

  7. Activez les cases à cocher des types de journaux et de métriques que vous souhaitez collecter. Consultez nos choix recommandés pour chaque type de ressource dans la section pour le connecteur de la ressource dans la page Référence des connecteurs de données.

  8. En haut de l’écran, sélectionnez Enregistrer.

Pour plus d’informations, consultez également Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme Azure Monitor à différentes destinations dans la documentation Azure Monitor.

Connecteurs basés sur les paramètres de diagnostic gérés par Azure Policy

Cette section décrit les conditions préalables et les instructions d’installation générales pour le groupe de connecteurs de données qui utilisent des connexions basées sur des paramètres de diagnostic managés Azure Policy.

Prérequis

Pour ingérer des données dans Microsoft Sentinel :

  • Vous devez disposer d’autorisations d’accès en lecture et en écriture dans l’espace de travail Microsoft Sentinel.

  • Pour utiliser Azure Policy afin d’appliquer une stratégie de streaming de journaux à vos ressources, vous devez avoir le rôle Propriétaire pour l’étendue d’attribution de stratégie.

  • Exigences spécifiques au connecteur de données :

    Connecteur de données Licences, coûts et autres informations
    Activité Azure Ce connecteur utilise désormais le pipeline des paramètres de diagnostic. Si vous utilisez la méthode héritée, vous devez déconnecter les abonnements existants de la méthode héritée avant de configurer le nouveau connecteur de journal d’activité Azure.

    1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données. Dans la liste des connecteurs, sélectionnez Activité Azure, puis le bouton Ouvrir la page du connecteur en bas à droite.
    2. Sous l’onglet Instructions, dans la section Configuration, à l’étape 2, examinez la liste de vos abonnements existants qui sont connectés à l’ancienne méthode, et déconnectez-les tous en une seule fois en cliquant sur le bouton Déconnecter tout ci-dessous.
    3. Continuez la configuration du nouveau connecteur en suivant les instructions de cette section.
    Protection DDoS dans Azure - Plan de protection Azure DDoS Standard configuré.
    - Un réseau virtuel sur lequel Azure DDoS Standard est activé configuré
    - D’autres frais d’opérateur peuvent s’appliquer
    - L’État d’Azure DDoS Protection Data Connector passe à Connecté seulement si les ressources protégées sont sous une attaque DDoS.
    Compte Stockage Azure La ressource de compte de stockage (parent) contient d’autres ressources (enfants) pour chaque type de stockage : fichiers, tables, files d’attente et objets blob.
    Lors de la configuration des diagnostics pour un compte de stockage, vous devez sélectionner et configurer :

    - La ressource de compte parent, en exportant la métrique de Transaction.
    - Chacune des ressources de type de stockage enfant, en exportant tous les journaux et métriques.

    Vous ne verrez que les types de stockage pour lesquels vous avez réellement défini des ressources.

Instructions

Les connecteurs de ce type utilisent Azure Policy pour appliquer une configuration de paramètres de diagnostic unique à une collection de ressources d’un type unique, définie en tant qu’étendue. Vous pouvez voir les types de journaux ingérés à partir d’un type de ressource donné sur le côté gauche de la page du connecteur pour cette ressource, sous Types de données.

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données.

  2. Sélectionnez votre type de ressource dans la galerie de connecteurs de données, puis choisissez Ouvrir la page du connecteur dans le volet de visualisation.

  3. Dans la section Configuration de la page du connecteur, développez toutes les sections que vous voyez, puis sélectionnez le bouton Lancer l’Assistant Attribution Azure Policy.

    L’Assistant Attribution de stratégie s’ouvre, prêt à créer une stratégie, avec un nom de stratégie prérempli.

    1. Sous l’onglet Informations de base, sous Étendue, cliquez sur le bouton avec les points de suspension pour sélectionner votre abonnement (et éventuellement un groupe de ressources). Vous pouvez également ajouter une description.

    2. Dans l’onglet Paramètres :

      • Désactivez la case à cocher Afficher uniquement les paramètres nécessitant une entrée.
      • Si Effet figure dans des champs Nom du paramètre, laissez ceux-ci tels quels.
      • Choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics.
      • Les champs de liste déroulante restants représentent les types de journaux de diagnostic disponibles. Conservez la valeur « True » pour tous les types de journaux que vous souhaitez ingérer.

    3. La stratégie sera appliquée aux ressources ajoutées à l’avenir. Pour appliquer la stratégie également à vos ressources existantes, sélectionnez l’onglet Correction et cochez la case Créer une tâche de correction.

    4. Sous l’onglet Vérifier + créer, cliquez sur Créer. Votre stratégie est maintenant affectée à l’étendue que vous avez choisie.

Avec ce type de connecteur de données, les indicateurs d’état de connectivité (une bande de couleur dans la galerie des connecteurs de données et des icônes de connexion à côté des noms de types de données) s’affichent comme connectés (en vert) uniquement si les données ont été ingérées au cours des 14 derniers jours. Après 14 jours passés sans ingestion de données, le connecteur sera déconnecté. Quand plus de données arrivent, l’état connecté est renvoyé.

Vous pouvez rechercher et interroger les données pour chaque type de ressource à l’aide des noms de table qui s’affichent dans la section du connecteur de la ressource dans la page Référence des connecteurs de données. Pour plus d’informations, consultez Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme Azure Monitor à différentes destinations dans la documentation Azure Monitor.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :