Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Sentinel fournit un large éventail de connecteurs prêtes à l’emploi pour les services Azure et les solutions externes, et prend également en charge l’ingestion de données à partir de certaines sources sans connecteur dédié.
Si vous ne parvenez pas à connecter votre source de données à Microsoft Sentinel à l’aide de l’une des solutions existantes disponibles, envisagez de créer votre propre connecteur de source de données.
Pour obtenir la liste complète des connecteurs pris en charge, consultez Rechercher votre connecteur de données Microsoft Sentinel).
Comparer les méthodes de connecteur personnalisé
Le tableau suivant compare les détails essentiels de chaque méthode de création de connecteurs personnalisés décrites dans cet article. Sélectionnez les liens dans le tableau pour plus d’informations sur chaque méthode.
| Description de la méthode | Fonctionnalité | Serverless | Complexité |
|---|---|---|---|
|
Infrastructure de connecteur sans code (CCF) Idéal pour les publics moins techniques pour créer des connecteurs SaaS à l’aide d’un fichier de configuration au lieu d’un développement avancé. |
Prend en charge toutes les fonctionnalités disponibles avec le code. | Oui | Faible; développement simple et sans code |
|
agent Azure Monitor Idéal pour collecter des fichiers à partir de sources locales et IaaS |
Collecte de fichiers, transformation des données | Non | Faible |
|
Logstash Idéal pour les sources locales et IaaS, toute source pour laquelle un plug-in est disponible et les organisations déjà familiarisées avec Logstash |
Prend en charge toutes les fonctionnalités de l’agent Azure Monitor | Non; nécessite l’exécution d’une machine virtuelle ou d’un cluster de machines virtuelles | Faible; prend en charge de nombreux scénarios avec des plug-ins |
|
Logic Apps Coût élevé ; éviter pour les données à volume élevé Idéal pour les sources cloud à faible volume |
La programmation sans code offre une flexibilité limitée, sans prise en charge de l’implémentation d’algorithmes. Si aucune action disponible ne prend déjà en charge vos besoins, la création d’une action personnalisée peut ajouter de la complexité. |
Oui | Faible; développement simple et sans code |
|
API d’ingestion des journaux dans Azure Monitor Idéal pour les éditeurs de logiciels indépendants qui implémentent l’intégration et pour les exigences de collecte uniques |
Prend en charge toutes les fonctionnalités disponibles avec le code. | Dépend de l’implémentation | Élevé |
|
Azure Functions Idéal pour les sources cloud à volume élevé et pour les exigences de collecte uniques |
Prend en charge toutes les fonctionnalités disponibles avec le code. | Oui | Haute; nécessite des connaissances en programmation |
Conseil
Pour obtenir des comparaisons de l’utilisation de Logic Apps et de Azure Functions pour le même connecteur, consultez :
- Ingérer des journaux fastly Web Application Firewall dans Microsoft Sentinel
- Office 365 (communauté GitHub Microsoft Sentinel) : connecteur | d’application logiqueAzure connecteur de fonction
Se connecter avec l’infrastructure de connecteur sans code
L’infrastructure CCF (Codeless Connector Framework) fournit un fichier de configuration qui peut être utilisé par les clients et les partenaires, puis déployé dans votre propre espace de travail ou comme solution au hub de contenu de Microsoft Sentinel.
Les connecteurs créés à l’aide du CCF sont entièrement SaaS, sans aucune exigence pour les installations de service, et incluent également la surveillance de l’intégrité et la prise en charge complète de Microsoft Sentinel.
Pour plus d’informations, consultez Créer un connecteur sans code pour Microsoft Sentinel.
Se connecter avec l’agent Azure Monitor
Si votre source de données remet des événements dans des fichiers texte, nous vous recommandons d’utiliser l’agent Azure Monitor pour créer votre connecteur personnalisé.
Pour plus d’informations, consultez Collecter des journaux d’activité à partir d’un fichier texte avec Azure Monitor Agent.
Pour obtenir un exemple de cette méthode, consultez Collecter des journaux d’activité à partir d’un fichier JSON avec Azure Monitor Agent.
Se connecter avec Logstash
Si vous êtes familiarisé avec Logstash, vous pouvez utiliser Logstash avec le plug-in de sortie Logstash pour Microsoft Sentinel créer votre connecteur personnalisé.
Avec le plug-in de sortie Microsoft Sentinel Logstash, vous pouvez utiliser n’importe quel plug-in d’entrée et de filtrage Logstash, et configurer Microsoft Sentinel comme sortie pour un pipeline Logstash. Logstash dispose d’une grande bibliothèque de plug-ins qui permettent l’entrée à partir de diverses sources, telles que Event Hubs, Apache Kafka, Files, bases de données et services cloud. Utilisez des plug-ins de filtrage pour analyser les événements, filtrer les événements inutiles, obfusquer des valeurs, etc.
Pour obtenir des exemples d’utilisation de Logstash comme connecteur personnalisé, consultez :
- Hunting for Capital One Breach TTPs in AWS logs using Microsoft Sentinel (blog)
- Guide d’implémentation de Radware Microsoft Sentinel
Pour obtenir des exemples de plug-ins Logstash utiles, consultez :
- Plug-in d’entrée Cloudwatch
- plug-in Azure Event Hubs
- Plug-in d’entrée Google Cloud Storage
- plug-in d’entrée Google_pubsub
Conseil
Logstash permet également la collecte de données mises à l’échelle à l’aide d’un cluster. Pour plus d’informations, consultez Utilisation d’une machine virtuelle Logstash à charge équilibrée à grande échelle.
Se connecter avec Logic Apps
Utilisez Azure Logic Apps pour créer un connecteur personnalisé serverless pour Microsoft Sentinel.
Remarque
Bien que la création de connecteurs serverless à l’aide de Logic Apps puisse être pratique, l’utilisation de Logic Apps pour vos connecteurs peut être coûteuse pour de grands volumes de données.
Nous vous recommandons d’utiliser cette méthode uniquement pour les sources de données à faible volume ou pour enrichir vos chargements de données.
Utilisez l’un des déclencheurs suivants pour démarrer vos applications logiques :
Déclencher Description Une tâche périodique Par exemple, planifiez votre application logique pour récupérer régulièrement des données à partir de fichiers, de bases de données ou d’API externes spécifiques.
Pour plus d’informations, consultez Créer, planifier et exécuter des tâches et des workflows récurrents dans Azure Logic Apps.Déclenchement à la demande Exécutez votre application logique à la demande pour la collecte et le test manuels des données.
Pour plus d’informations, consultez Appeler, déclencher ou imbriquer des applications logiques à l’aide de points de terminaison HTTPS.Point de terminaison HTTP/S Recommandé pour la diffusion en continu, et si le système source peut démarrer le transfert de données.
Pour plus d’informations, consultez Appeler des points de terminaison de service via HTTP ou HTTPS.Utilisez l’un des connecteurs d’application logique qui lisent les informations pour obtenir vos événements. Par exemple :
Conseil
Les connecteurs personnalisés aux API REST, aux serveurs SQL Server et aux systèmes de fichiers prennent également en charge la récupération de données à partir de sources de données locales. Pour plus d’informations, consultez la documentation installer une passerelle de données locale .
Préparez les informations que vous souhaitez récupérer.
Par exemple, utilisez l’action analyser JSON pour accéder aux propriétés du contenu JSON, ce qui vous permet de sélectionner ces propriétés dans la liste de contenu dynamique lorsque vous spécifiez des entrées pour votre application logique.
Pour plus d’informations, consultez Effectuer des opérations de données dans Azure Logic Apps.
Écrivez les données dans Log Analytics.
Pour plus d’informations, consultez la documentation Azure Log Analytics Data Collector.
Pour obtenir des exemples de création d’un connecteur personnalisé pour Microsoft Sentinel à l’aide de Logic Apps, consultez :
- Créer un pipeline de données avec l’API Collecteur de données
- Connecteur Palo Alto Prisma Logic App utilisant un webhook (Microsoft Sentinel communauté GitHub)
- Sécuriser vos appels Microsoft Teams avec l’activation planifiée (blog)
- Ingestion d’indicateurs de menace AlienVault OTX dans Microsoft Sentinel (blog)
Se connecter avec l’API d’ingestion des journaux
Vous pouvez diffuser en continu des événements vers Microsoft Sentinel à l’aide de l’API Collecteur de données Log Analytics pour appeler un point de terminaison RESTful directement.
Bien que l’appel direct d’un point de terminaison RESTful nécessite davantage de programmation, il offre également plus de flexibilité.
Si vous souhaitez en savoir plus, consultez les articles suivants :
- API d’ingestion des journaux dans Azure Monitor.
- Exemple de code pour envoyer des données à Azure Monitor à l’aide de l’API d’ingestion des journaux.
Se connecter avec Azure Functions
Utilisez Azure Functions avec une API RESTful et différents langages de codage, tels que PowerShell, pour créer un connecteur personnalisé serverless.
Pour obtenir des exemples de cette méthode, consultez :
- Connecter votre Standard de point de terminaison VMware Carbon Black Cloud à Microsoft Sentinel avec Azure Function
- Connecter votre Sign-On unique Okta à Microsoft Sentinel avec Azure Function
- Connecter votre tap Proofpoint à Microsoft Sentinel avec Azure Function
- Connecter votre machine virtuelle Qualys à Microsoft Sentinel avec Azure Function
- Ingérer des données XML, CSV ou d’autres formats
- Surveillance du zoom avec Microsoft Sentinel (blog)
- Déployer une application de fonction pour obtenir des données d’API de gestion des Office 365 dans Microsoft Sentinel (Microsoft Sentinel communauté GitHub)
Analyser vos données de connecteur personnalisées
Pour tirer parti des données collectées avec votre connecteur personnalisé, développez des analyseurs ASIM (Advanced Security Information Model) pour travailler avec votre connecteur. L’utilisation d’ASIM permet au contenu intégré de Microsoft Sentinel d’utiliser vos données personnalisées et permet aux analystes d’interroger plus facilement les données.
Si votre méthode de connecteur le permet, vous pouvez implémenter une partie de l’analyse dans le cadre du connecteur pour améliorer les performances de l’analyse du temps de requête :
- Si vous avez utilisé Logstash, utilisez le plug-in de filtre Grok pour analyser vos données.
- Si vous avez utilisé une fonction Azure, analysez vos données avec du code.
Vous devez toujours implémenter des analyseurs ASIM, mais l’implémentation d’une partie de l’analyse directement avec le connecteur simplifie l’analyse et améliore les performances.
Étapes suivantes
Utilisez les données ingérées dans Microsoft Sentinel pour sécuriser votre environnement avec l’un des processus suivants :