Rechercher votre connecteur de données Microsoft Sentinel
Cet article explique comment déployer des connecteurs de données dans Microsoft Sentinel, en répertoriant tous les connecteurs de données pris en charge et prêts à l’emploi, ainsi que des liens vers des procédures de déploiement génériques et des étapes supplémentaires nécessaires pour des connecteurs spécifiques.
Certains connecteurs de données ne sont déployés que via des solutions. Pour plus d’informations, consultez Découvrir et déployer du contenu et des solutions Microsoft Sentinel prêts à l’emploi. Vous trouverez également d’autres connecteurs de données créés par la communauté dans le référentiel GitHub de Microsoft Sentinel.
Important
Pour les connecteurs qui utilisent l’agent Log Analytics, l’agent sera mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de commencer à planifier votre migration vers l’agent Azure Monitor (AMA). Pour plus d’informations, consultez Migration AMA pour Microsoft Sentinel.
Comment utiliser ce guide
Tout d’abord, recherchez et sélectionnez le connecteur correspondant à votre produit, service ou appareil dans le menu d’en-têtes à droite.
La première information que vous verrez pour chaque connecteur est sa méthode d’ingestion des données. La méthode qui s’affiche est un lien vers l’une des procédures de déploiement génériques suivantes, qui contiennent la plupart des informations dont vous avez besoin pour connecter vos sources de données à Microsoft Sentinel :
Méthode d’ingestion des données Article lié avec des instructions Intégration de service à service Azure Connecter aux services Azure, Windows, Microsoft et Amazon Common Event format (CEF) sur Syslog Transférer les journaux au format CEF de votre appareil ou appliance dans Microsoft Sentinel API du collecteur de données Microsoft Sentinel Connecter votre source de données à l’API de collecte de données Microsoft Sentinel pour l’ingestion des données Azure Functions et l’API REST Utiliser Azure Functions pour connecter Microsoft Sentinel à votre source de données Syslog Collecter des données de sources Linux à l’aide de Syslog Journaux d’activité personnalisés Collecter des données dans des formats de journaux personnalisés vers Microsoft Sentinel avec l’agent Log Analytics Notes
La méthode d’ingestion des données Intégration de service à service Azure est liée à trois sections différentes de son article, en fonction du type de connecteur. La section de chaque connecteur ci-dessous spécifie la section de cet article à laquelle elle est liée.
Lorsque vous déployez un connecteur spécifique, choisissez l’article approprié lié à sa méthode d’ingestion des données, puis utilisez les informations et instructions supplémentaires dans la section correspondante ci-dessous pour compléter les informations contenues dans cet article.
Conseil
De nombreux connecteurs de données peuvent également être déployés dans le cadre d’une solution Microsoft Sentinel, avec les règles d’analyse, les classeurs et les playbooks associés. Pour plus d’informations, consultez le catalogue de solutions Microsoft Sentinel.
D’autres connecteurs de données sont fournis par la communauté de Microsoft Sentinel et sont accessibles sur Place de marché Azure. La documentation relative aux connecteurs de données de la communauté relève de la responsabilité de l’organisation qui a créé le connecteur.
Si vous avez une source de données qui n’est pas répertoriée ou n’est pas actuellement prise en charge, vous pouvez également créer votre propre connecteur personnalisé. Pour plus d’informations, consultez Ressources pour la création de connecteurs Microsoft Sentinel personnalisés.
Important
Notez que les connecteurs de données Microsoft Sentinel sont actuellement en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Prérequis des connecteurs de données
Chaque connecteur de données a son propre ensemble de prérequis, comme les autorisations obligatoires sur votre espace de travail Azure, votre abonnement ou votre stratégie, etc., ou d’autres exigences pour la source de données partenaire à laquelle vous vous connectez.
Les prérequis de chaque connecteur de données sont listés dans la page du connecteur de données approprié dans Microsoft Sentinel, sous l’onglet Instructions.
Agari Phishing Defense and Brand Protection (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Avant le déploiement : Activez l’API Security (facultatif). Après le déploiement : Attribuez les autorisations nécessaires à votre application de fonction |
| Table(s) Log Analytics | agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-agari-functionapp |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Paramètres d’application | Obligatoire si enableSecurityGraphSharing est défini sur true (voir ci-dessous) : |
| Pris en charge par | Agari |
Activer l’API Security Graph (facultatif)
Important
Si vous effectuez cette étape, faites-le avant de déployer votre connecteur de données.
L’application de fonction Agari vous permet de partager le renseignement sur les menaces avec Microsoft Sentinel via l’API Security Graph. Pour utiliser cette fonctionnalité, vous devez activer le connecteur Sentinel Threat Intelligence Platforms et inscrire une application dans Azure Active Directory.
À l’issue de ce processus, vous disposerez de trois informations à utiliser lors du déploiement de l’application de fonction : l’ID de locataire Graph, l’ID de client Graph et la Clé secrète client Graph (voir les Paramètres d'application dans le tableau ci-dessus).
Attribuer les autorisations nécessaires à votre application de fonction
Le connecteur Agari utilise une variable d’environnement pour stocker les horodateurs d’accès aux journaux. Des autorisations doivent être attribuées à l’identité affectée par le système pour que l’application puisse écrire dans cette variable.
- Sur le Portail Azure, accédez à Application de fonction.
- Dans la page Application de fonction, sélectionnez votre application de fonction dans la liste, puis Identité sous Paramètres dans le menu de navigation de l’application de fonction.
- Dans l’onglet Affectée par le système, définissez État sur Activé.
- Sélectionnez Enregistrer : un bouton Attributions de rôle Azure s’affiche. Sélectionnez-le.
- Sur l’écran Attributions de rôle Azure, sélectionnez Ajouter une attribution de rôle. Définissez la Portée sur Abonnement, sélectionnez votre abonnement dans la liste déroulante Abonnement, puis définissez Rôle sur Propriétaire des données App Configuration.
- Sélectionnez Enregistrer.
AI Analyst (AIA) par Darktrace (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog Configurer le transfert de journaux CEF pour AI Analyst |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Darktrace |
Configurer le transfert de journaux CEF pour AI Analyst
Configurez Darktrace pour transférer les messages Syslog au format CEF à votre espace de travail Azure par le biais de l’agent Log Analytics.
- Dans le Darktrace Threat Visualizer, accédez à la page Configuration du système dans le menu principal sous Admin.
- Dans le menu de gauche, sélectionnez Modules et choisissez Microsoft Sentinel parmi les intégrations de flux de travail disponibles.
- Une fenêtre de configuration s’ouvre. Recherchez Microsoft Sentinel Syslog CEF et sélectionnez Nouveau pour afficher les paramètres de configuration, s’ils ne sont pas déjà exposés.
- Dans le champ Configuration du serveur, entrez l’emplacement du redirecteur de journal. Vous pouvez également modifier le port de communication si vous le souhaitez. Assurez-vous que le port sélectionné est défini sur 514 et qu’il est autorisé par les pare-feu intermédiaires.
- Configurez des seuils d’alerte, des décalages de temps ou des paramètres supplémentaires si nécessaire.
- Passez en revue toutes les options de configuration supplémentaires que vous pouvez souhaiter activer pour modifier la syntaxe Syslog.
- Activez Envoyer des alertes et enregistrez vos modifications.
AI Vectra Detect (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog Configurer le transfert de journaux CEF pour AI Vectra Detect |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Vectra AI |
Configurer le transfert de journaux CEF pour AI Vectra Detect
Configurez l’agent Vectra (série X) pour transférer les messages Syslog au format CEF à votre espace de travail Microsoft Sentinel par le biais de l’agent Log Analytics.
À partir de l’interface Vectra, accédez à Paramètres > Notifications et choisissez Modifier la configuration Syslog. Suivez les instructions ci-dessous pour configurer la connexion :
- Ajoutez une nouvelle destination (le nom d’hôte du redirecteur de journal)
- Définissez le port sur 514
- Définissez le protocole sur UDP
- Définissez le format sur CEF
- Définissez les types de journaux (sélectionnez tous les types de journaux disponibles)
- Sélectionnez Enregistrer.
Vous pouvez sélectionner le bouton Test pour forcer l’envoi de certains événements de test au redirecteur de journal.
Pour plus d’informations, reportez-vous au Guide du Syslog Cognito Detect qui peut être téléchargé à partir de la page des ressources dans l’interface utilisateur de Detect.
Akamai Security Events (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | AkamaiSIEMEvent |
| URL de fonction Kusto : | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt |
| Documentation du fournisseur/ instructions d’installation |
Configurer l’intégration de SIEM (Security Information and Event Management) Configurer un connecteur CEF. |
| Pris en charge par | Akamai |
Alcide kAudit
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | alcide_kaudit_activity_1_CL - Journaux d’activité Alcide kAudit alcide_kaudit_detections_1_CL - Détections Alcide kAudit alcide_kaudit_selections_count_1_CL - Nombres d’activités Alcide kAudit alcide_kaudit_selections_details_1_CL - Détails des activités Alcide kAudit |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Guide d’installation d’Alcide kAudit |
| Pris en charge par | Alcide |
Alsid for Active Directory
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Agent Log Analytics : journaux personnalisés Configuration supplémentaire pour Alsid |
| Table(s) Log Analytics | AlsidForADLog_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Alias de fonction Kusto : | afad_parser |
| URL de fonction Kusto : | https://aka.ms/Sentinel-alsidforad-parser |
| Pris en charge par | Alsid |
Configuration supplémentaire pour Alsid
Configurer le serveur Syslog
Tout d’abord, vous avez besoin d’un serveur Syslog Linux auquel Alsid pour AD enverra les journaux. Généralement, vous pouvez exécuter rsyslog sur Ubuntu.
Vous pouvez ensuite configurer ce serveur comme vous le souhaitez, mais nous vous recommandons de pouvoir émettre les journaux AFAD dans un fichier distinct. Vous pouvez également utiliser un modèle de démarrage rapide qui déploie le serveur Syslog et l’agent Microsoft pour vous. Si vous utilisez le modèle, vous pouvez ignorer les instructions d’installation de l’agent.
Configurer Alsid pour envoyer les journaux à votre serveur Syslog
Sur votre portail Alsid pour AD, accédez à Système, Configuration, puis Syslog. À partir de là, vous pouvez créer une alerte Syslog destinée à votre serveur Syslog.
Après avoir créé une alerte Syslog, vérifiez que les journaux sont correctement collectés sur votre serveur dans un fichier séparé. Par exemple, pour vérifier vos journaux, vous pouvez utiliser le bouton Tester la configuration dans la configuration d’alerte Syslog dans AFAD. Si vous avez utilisé le modèle de démarrage rapide, le serveur Syslog écoute par défaut le port 514 dans UDP et 1514 dans TCP, sans TLS.
Amazon Web Services
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connecter Microsoft Sentinel à Amazon Web Services pour ingérer les données de journal de service AWS (Article sur les connecteurs principaux) |
| Table(s) Log Analytics | AWSCloudTrail |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Amazon Web Services S3 (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connecter Microsoft Sentinel à Amazon Web Services pour ingérer les données de journal de service AWS (Article sur les connecteurs principaux) |
| Table(s) Log Analytics | AWSCloudTrail AWSGuardDuty AWSVPCFlow |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Apache HTTP Server
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Agent Log Analytics : journaux personnalisés |
| Table(s) Log Analytics | ApacheHTTPServer_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Alias de fonction Kusto : | ApacheHTTPServer |
| URL de fonction Kusto : | https://aka.ms/Sentinel-apachehttpserver-parser |
| Exemple de fichier journal personnalisé : | access.log ou error.log |
Apache Tomcat
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Agent Log Analytics : journaux personnalisés |
| Table(s) Log Analytics | Tomcat_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Alias de fonction Kusto : | TomcatEvent |
| URL de fonction Kusto : | https://aka.ms/Sentinel-ApacheTomcat-parser |
| Exemple de fichier journal personnalisé : | access.log ou error.log |
Aruba ClearPass (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | ArubaClearPass |
| URL de fonction Kusto : | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt |
| Documentation du fournisseur/ instructions d’installation |
Suivez les instructions d’Aruba pour configurer ClearPass. |
| Pris en charge par | Microsoft |
Atlassian Confluence Audit (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST |
| Table(s) Log Analytics | Confluence_Audit_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-confluenceauditapi-functionapp |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | ConfluenceAudit |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://aka.ms/Sentinel-confluenceauditapi-parser |
| Paramètres d’application | |
| Pris en charge par | Microsoft |
Atlassian Jira Audit (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST |
| Table(s) Log Analytics | Jira_Audit_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-jiraauditapi-functionapp |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | JiraAudit |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://aka.ms/Sentinel-jiraauditapi-parser |
| Paramètres d’application | |
| Pris en charge par | Microsoft |
Azure Active Directory
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connecter des données Azure Active Directory à Microsoft Sentinel (Article sur les connecteurs principaux) |
| Prérequis des licences/ Informations de coût |
D’autres frais d'opérateur peuvent s'appliquer |
| Table(s) Log Analytics | SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Azure Active Directory Identity Protection
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API |
| Prérequis des licences/ Informations de coût |
Abonnement Azure AD Premium P2 D’autres frais d'opérateur peuvent s'appliquer |
| Table(s) Log Analytics | SecurityAlert |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Activité Azure
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur les paramètres de diagnostic, gérées par Azure Policy Mettre à niveau vers le nouveau connecteur Azure Activity |
| Table(s) Log Analytics | AzureActivity |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Pris en charge par | Microsoft |
Mettre à niveau vers le nouveau connecteur Azure Activity
Modifications de la structure de données
Ce connecteur a récemment modifié son mécanisme principal pour la collecte des événements du journal d’activité. Il utilise désormais le pipeline des paramètres de diagnostic. Si vous utilisez encore l’ancienne méthode pour ce connecteur, nous vous encourageons fortement à passer à la nouvelle version, qui offre une meilleure fonctionnalité et une plus grande cohérence avec les journaux des ressources. Voir les instructions ci-dessous.
La méthode Paramètres de diagnostic envoie les mêmes données que l’ancienne méthode envoyait à partir du service de journal des activités, bien que certaines modifications aient été apportées à la structure de la table AzureActivity.
Voici quelques-unes des améliorations clés résultant de la migration vers le pipeline de paramètres de diagnostic :
- Latence d’ingestion améliorée (ingestion des événements dans les 2-3 minutes à compter de l’occurrence au lieu de 15-20 minutes).
- Amélioration de la fiabilité.
- Performances améliorées.
- Prise en charge de toutes les catégories d’événements journalisés par le service de journal d’activité (le mécanisme hérité ne prend en charge qu’un sous-ensemble, par exemple, aucune prise en charge des événements Service Health).
- Gestion à l’échelle avec Azure Policy.
Consultez la Documentation d’Azure Monitor pour un traitement plus approfondi du Journal d’activité d’Azure et du Pipeline de paramètres de diagnostic.
Se déconnecter de l’ancien pipeline
Avant de configurer le nouveau connecteur de Azure Activity, vous devez déconnecter les abonnements existants de la méthode héritée.
Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données. Dans la liste des connecteurs, sélectionnez Activité Azure, puis le bouton Ouvrir la page du connecteur en bas à droite.
Sous l’onglet Instructions, dans la section Configuration, à l’étape 1, examinez la liste de vos abonnements existants qui sont connectés à l’ancienne méthode (afin de savoir lesquels ajouter à la nouvelle), et déconnectez-les tous en une seule fois en cliquant sur le bouton Déconnecter tout ci-dessous.
Continuez la configuration du nouveau connecteur en suivant les instructions associées dans le tableau ci-dessus.
Protection DDoS dans Azure
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur les paramètres de diagnostic |
| Prérequis des licences/ Informations de coût |
D’autres frais d'opérateur peuvent s'appliquer |
| Table(s) Log Analytics | AzureDiagnostics |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Diagnostics recommandés | DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports |
| Pris en charge par | Microsoft |
Notes
L’État d’Azure DDoS Protection Data Connector passe à Connecté seulement si les ressources protégées sont sous une attaque DDoS.
Azure Defender
Consultez Microsoft Defender pour le cloud.
Pare-feu Azure
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur les paramètres de diagnostic |
| Table(s) Log Analytics | AzureDiagnostics |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Diagnostics recommandés | AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy |
| Pris en charge par | Microsoft |
Azure Information Protection (préversion)
Important
Le connecteur de données Azure Information Protection (AIP) utilise la fonctionnalité Journaux d’audit AIP (préversion). À compter du 31 mars 2023, la préversion publique des journaux d’analytique et d’audit AIP sera mise hors service. À l’avenir, la solution d’audit Microsoft 365 sera utilisée.
Pour plus d’informations, consultez Services supprimés et retirés.
Consultez le connecteur Protection des données Microsoft Purview qui va remplacer ce connecteur.
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration de service à service Azure |
| Table(s) Log Analytics | InformationProtectionLogs_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Pris en charge par | Microsoft |
Azure Key Vault
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur les paramètres de diagnostic, gérées par Azure Policy |
| Table(s) Log Analytics | KeyVaultData |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Pris en charge par | Microsoft |
Azure Kubernetes Service (AKS)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur les paramètres de diagnostic, gérées par Azure Policy |
| Table(s) Log Analytics | kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler cluster-autoscaler guard |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Pris en charge par | Microsoft |
Microsoft.Purview
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur les paramètres de diagnostic Pour plus d’informations, consultez Tutoriel : intégrer Microsoft Sentinel et Microsoft Purview. |
| Table(s) Log Analytics | PurviewDataSensitivityLogs |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Pris en charge par | Microsoft |
Bases de données SQL Azure
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur les paramètres de diagnostic, gérées par Azure Policy Également disponible dans les solutions Azure SQL et Microsoft Sentinel pour SQL PaaS |
| Table(s) Log Analytics | SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics Errors DatabaseWaitStatistics Délais d'attente Blocs Blocages De base InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Pris en charge par | Microsoft |
Compte Stockage Azure
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur les paramètres de diagnostic Remarques sur la configuration des paramètres de diagnostic du compte de stockage |
| Table(s) Log Analytics | StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs |
| Diagnostics recommandés | Ressource de compte Ressources d’objets blob/file d’attente/table/fichier |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Pris en charge par | Microsoft |
Remarques sur la configuration des paramètres de diagnostic du compte de stockage
La ressource de compte de stockage (parent) comprend d’autres ressources (enfants) pour chaque type de stockage : fichiers, tables, files d’attente et objets blob.
Lors de la configuration des diagnostics pour un compte de stockage, vous devez sélectionner et configurer à son tour les éléments suivants :
- La ressource de compte parent, en exportant la métrique de Transaction.
- Chacune des ressources de type de stockage enfant, en exportant tous les journaux et métriques (voir le tableau ci-dessus).
Vous ne verrez que les types de stockage pour lesquels vous avez réellement défini des ressources.
Pare-feu d’applications web (WAF) Azure
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur les paramètres de diagnostic |
| Table(s) Log Analytics | AzureDiagnostics |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Diagnostics recommandés | Application Gateway Front Door Stratégie WAF de CDN |
| Pris en charge par | Microsoft |
Barracuda CloudGen Firewall
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | CGFWFirewallActivity |
| URL de fonction Kusto : | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity.txt |
| Documentation du fournisseur/ instructions d’installation |
https://aka.ms/Sentinel-barracudacloudfirewall-connector |
| Pris en charge par | Barracuda |
WAF Barracuda
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | CommonSecurityLog (Barracuda) Barracuda_CL |
| Documentation du fournisseur/ instructions d’installation |
https://aka.ms/asi-barracuda-connector |
| Pris en charge par | Barracuda |
Consultez les instructions Barracuda : notez les installations attribuées pour les différents types de journal et veillez à les ajouter à la configuration Syslog par défaut.
BETTER Mobile Threat Defense (MTD) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Documentation de BETTER MTD Configuration de la stratégie de menace, qui définit les incidents signalés à Microsoft Sentinel :
|
| Pris en charge par | Better Mobile |
Beyond Security beSECURE
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Accédez au menu Intégration :
|
| Pris en charge par | Beyond Security |
BlackBerry CylancePROTECT (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | CylancePROTECT |
| URL de fonction Kusto : | https://aka.ms/Sentinel-cylanceprotect-parser |
| Documentation du fournisseur/ instructions d’installation |
Guide du Syslog Cylance |
| Pris en charge par | Microsoft |
Broadcom Symantec Data Loss Prevention (DLP) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | SymantecDLP |
| URL de fonction Kusto : | https://aka.ms/Sentinel-symantecdlp-parser |
| Documentation du fournisseur/ instructions d’installation |
Configuration du journal sur une action de serveur Syslog |
| Pris en charge par | Microsoft |
Format d’événement courant (CEF) via AMA
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Connexion basée sur l’agent Azure Monitor |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR standard |
| Pris en charge par | Microsoft |
Check Point
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog Disponible à partir de la solution Check Point |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Exportateur de journaux : exportation de journaux Check Point |
| Pris en charge par | Check Point |
Cisco ASA
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog Disponible dans la solution Cisco ASA |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Guide de configuration de l’interface de ligne de commande de la série Cisco ASA |
| Pris en charge par | Microsoft |
Cisco Firepower eStreamer (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog Configuration supplémentaire pour Cisco Firepower eStreamer |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
eStreamer eNcore pour le guide des opérations Sentinel |
| Pris en charge par | Cisco |
Configuration supplémentaire pour Cisco Firepower eStreamer
Installer le client Firepower eNcore
Installez et configurez le client Firepower eNcore eStreamer. Pour plus d’informations, consultez le guide d’installation complet de Cisco.Télécharger le connecteur Firepower à partir de GitHub
Téléchargez la version la plus récente du connecteur Firepower eNcore pour Microsoft Sentinel à partir du référentiel GitHub de Cisco. Si vous envisagez d’utiliser python3, utilisez le connecteur eStreamer python3.Créer un fichier pkcs12 à l’aide de l’adresse IP Azure/de machine virtuelle
Créez un certificat pkcs12 en utilisant l’IP publique de l’instance VM dans Firepower sous System > Integration > eStreamer. Pour plus d’informations, consultez le Guide d’installation.Tester la connectivité entre le client Azure/de machine virtuelle et FMC
Copiez le fichier pkcs12 de FMC vers l’instance Azure/de machine virtuelle et exécutez l’utilitaire de test (test ./encore.sh) pour vous assurer qu’une connexion peut être établie. Pour plus d’informations, consultez le guide de configuration.Configurer eNcore pour diffuser en continu des données vers l’agent
Configurez eNcore pour diffuser en continu des données via TCP vers l’agent Log Analytics. Cette configuration doit être activée par défaut, mais des ports et des protocoles de diffusion en continu supplémentaires peuvent être configurés en fonction de la situation de sécurité de votre réseau. Il est également possible d’enregistrer les données dans le système de fichiers. Pour plus d’informations, consultez Configurer eNcore.
Cisco Meraki (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog Disponible dans la solution Cisco ISE |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | CiscoMeraki |
| URL de fonction Kusto : | https://aka.ms/Sentinel-ciscomeraki-parser |
| Documentation du fournisseur/ instructions d’installation |
Documentation sur les rapports d’appareils Meraki |
| Pris en charge par | Microsoft |
Cisco Umbrella (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Disponible dans la solution Cisco Umbrella |
| Table(s) Log Analytics | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | Cisco_Umbrella |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://aka.ms/Sentinel-ciscoumbrella-function |
| Paramètres d’application | |
| Pris en charge par | Microsoft |
Cisco Unified Computing System (UCS) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | CiscoUCS |
| URL de fonction Kusto : | https://aka.ms/Sentinel-ciscoucs-function |
| Documentation du fournisseur/ instructions d’installation |
Configurer Syslog pour Cisco UCS - Cisco |
| Pris en charge par | Microsoft |
Citrix Analytics (Sécurité)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | CitrixAnalytics_SAlerts_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Connecter Citrix à Microsoft Sentinel |
| Pris en charge par | Systèmes Citrix |
Citrix Web App Firewall (WAF) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Pour configurer WAF, consultez la page WIKI de support - Configuration du pare-feu d’applications web avec NetScaler. Pour configurer les journaux CEF, consulter Prise en charge de la journalisation CEF dans le pare-feu d’application. Pour transférer les journaux vers le proxy, consultez Configuration de l’appliance Citrix ADC pour la journalisation d’audit. |
| Pris en charge par | Systèmes Citrix |
Cognni (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | CognniIncidents_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Se connecter à Cognni
|
| Pris en charge par | Cognni |
Surveillance continue des menaces pour SAP (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Disponible uniquement après l’installation de la solution Surveillance continue des menaces pour SAP |
| Table(s) Log Analytics | Voir Informations de référence sur les journaux de la solution SAP Microsoft Sentinel |
| Documentation du fournisseur/ instructions d’installation |
Déployer une surveillance continue des menaces SAP |
| Pris en charge par | Microsoft |
Événements CyberArk Enterprise Password Vault (EPV) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Applications Security Information and Event Management (SIEM) |
| Pris en charge par | CyberArk |
Journaux de sécurité Cyberpion (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | CyberpionActionItems_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Obtenir un abonnement Cyberpion Intégrer les alertes de sécurité Cyberpion à Microsoft Sentinel |
| Pris en charge par | Cyberpion |
DNS (préversion)
Important
L’agent Log Analytics sera mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de commencer à planifier votre migration vers l’agent Azure Monitor (AMA). Pour plus d’informations, consultez Migration AMA pour Microsoft Sentinel.
Consultez Événements Windows DNS via AMA (préversion) ou Windows DNS Server (préversion).
Dynamics 365
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API Également disponible dans le cadre de la solution Microsoft Sentinel 4 Dynamics 365 |
| Prérequis des licences/ Informations de coût |
D’autres frais d'opérateur peuvent s'appliquer |
| Table(s) Log Analytics | Dynamics365Activity |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
ESET Enterprise Inspector (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Créer un utilisateur d’API |
| Table(s) Log Analytics | ESETEnterpriseInspector_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | Déploiement en un clic avec un modèle Azure Resource Manager (ARM) |
| Pris en charge par | ESET |
Créer un utilisateur d’API
- Connectez-vous à ESET Security Management Center / la console ESET PROTECT avec un compte administrateur, sélectionnez l’onglet Plus, puis le sous-onglet Utilisateurs.
- Sélectionnez le bouton AJOUTER NOUVEAU et ajoutez un utilisateur natif.
- Créez un nouvel utilisateur pour le compte d’API. Facultatif : sélectionnez un groupe de base autre que Tous pour limiter les détections qui sont ingérées.
- Sous l’onglet Ensembles d’autorisations, attribuez l’ensemble d’autorisations Réviseur Enterprise Inspector.
- Déconnectez-vous du compte administrateur et connectez-vous à la console avec les nouvelles informations d’identification de l’API pour validation, puis déconnectez-vous du compte d’API.
ESET Security Management Center (SMC) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog Configurer les journaux ESET SMC à collecter Configurer l’agent OMS pour qu’il passe les données Eset SMC au format API Changer la configuration de l'agent OMS pour saisir l'étiquette oms.api.eset et analyser les données structurées Désactiver la configuration automatique et redémarrer l’agent |
| Table(s) Log Analytics | eset_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Documentation du serveur Syslog ESET |
| Pris en charge par | ESET |
Configurer les journaux ESET SMC à collecter
Configurez rsyslog pour accepter les journaux provenant de votre adresse IP Eset SMC.
sudo -i
# Set ESET SMC source IP address
export ESETIP={Enter your IP address}
# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-remote.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $ESETIP
\$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning @127.0.0.1:25224
EOF
# Restart rsyslog
systemctl restart rsyslog
Configurer l’agent OMS pour qu’il passe les données Eset SMC au format API
Pour reconnaître facilement les données Eset, envoyez-les (push) à une table distincte et analysez-les au niveau de l’agent pour simplifier et accélérer votre requête Microsoft Sentinel.
Dans le fichier /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf, modifiez la section match oms.** pour envoyer les données en tant qu’objets d’API, en remplaçant le type par out_oms_api.
Le code suivant est un exemple de la section match oms.** complète :
<match oms.** docker.**>
type out_oms_api
log_level info
num_threads 5
run_in_background false
omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
buffer_chunk_limit 15m
buffer_type file
buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
buffer_queue_limit 10
buffer_queue_full_action drop_oldest_chunk
flush_interval 20s
retry_limit 10
retry_wait 30s
max_retry_wait 9m
</match>
Changer la configuration de l'agent OMS pour saisir l'étiquette oms.api.eset et analyser les données structurées
Modifiez le fichier /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf.
Par exemple :
<source>
type syslog
port 25224
bind 127.0.0.1
protocol_type udp
tag oms.api.eset
</source>
<filter oms.api.**>
@type parser
key_name message
format /(?<message>.*?{.*})/
</filter>
<filter oms.api.**>
@type parser
key_name message
format json
</filter>
Désactiver la configuration automatique et redémarrer l’agent
Par exemple :
# Disable changes to configuration files from Portal
sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
# Restart agent
sudo /opt/microsoft/omsagent/bin/service_control restart
# Check agent logs
tail -f /var/opt/microsoft/omsagent/log/omsagent.log
Configurer Eset SMC pour envoyer des journaux au connecteur
Configurez les journaux Eset en utilisant le style BSD et le format JSON.
- Accédez à la configuration du serveur Syslog pour configurer Host (votre connecteur), Format BSD et Transport TCP.
- Accédez à la section de journalisation et activez JSON.
Pour plus d’informations, consultez la documentation d’Eset.
Exabeam Advanced Analytics (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | ExabeamEvent |
| URL de fonction Kusto : | https://aka.ms/Sentinel-Exabeam-parser |
| Documentation du fournisseur/ instructions d’installation |
Configurer les notifications d’activité du système Advanced Analytics |
| Pris en charge par | Microsoft |
ExtraHop Reveal(x)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Connecteur SIEM ExtraHop Detection |
| Pris en charge par | ExtraHop |
F5 BIG-IP
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Intégration de F5 BIG-IP à Microsoft Sentinel |
| Pris en charge par | F5 Networks |
F5 Networks (ASM)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Configuration de la journalisation des événements de sécurité des applications |
| Pris en charge par | F5 Networks |
Forcepoint Cloud Access Security Broker (CASB) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Forcepoint CASB et Microsoft Sentinel |
| Pris en charge par | Forcepoint |
Forcepoint Cloud Security Gateway (CSG) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Forcepoint Cloud Security Gateway et Microsoft Sentinel |
| Pris en charge par | Forcepoint |
Forcepoint Data Loss Prevention (DLP) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | ForcepointDLPEvents_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Forcepoint Data Loss Prevention et Microsoft Sentinel |
| Pris en charge par | Forcepoint |
Forcepoint Next Generation Firewall (NGFW) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Forcepoint Next-Gen Firewall et Microsoft Sentinel |
| Pris en charge par | Forcepoint |
ForgeRock Common Audit (CAUD) pour CEF (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
À installer en premier ! ForgeRock Common Audit (CAUD) pour Microsoft Sentinel |
| Pris en charge par | ForgeRock |
Fortinet
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog Envoyer les journaux Fortinet au redirecteur de journal Disponible dans la solution Fortinet FortiGate) |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Bibliothèque de documents Fortinet Choisissez votre version et utilisez le manuel d’utilisation (Handbook) et les PDF de référence des messages de journaux (Log Message Reference). |
| Pris en charge par | Fortinet |
Envoyer les journaux Fortinet au redirecteur de journal
Ouvrez l’interface CLI sur votre appliance Fortinet et exécutez les commandes suivantes :
config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end
- Remplacez l’adresse IP du serveur par l’adresse IP du redirecteur de journal.
- Affectez au port Syslog la valeur 514 ou la valeur du port défini sur le démon Syslog sur le redirecteur.
- Pour activer le format CEF dans les premières versions de FortiOS, vous devrez peut-être exécuter le jeu de commandes csv disable.
GitHub (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel Disponible uniquement après l’installation de la solution Monitoring continu des menaces pour GitHub. |
| Table(s) Log Analytics | GitHubAuditLogPolling_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Informations d'identification de l’API | Jeton d’accès GitHub |
| Instructions de déploiement du connecteur | Configuration supplémentaire pour le connecteur GitHub |
| Pris en charge par | Microsoft |
Configuration supplémentaire pour le connecteur GitHub
Prérequis : vous devez avoir un compte GitHub Enterprise et une organisation accessible pour vous connecter à GitHub à partir de Microsoft Sentinel.
Installez la solution Monitoring continu des menaces pour GitHub dans votre espace de travail Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et déployer de manière centralisée du contenu et des solutions Microsoft Sentinel prêts à l’emploi (préversion publique).
Créez un jeton d’accès personnel GitHub à utiliser dans le connecteur Microsoft Sentinel. Pour plus d'informations, consultez la documentation GitHub pertinente.
Dans la zone Connecteurs de données de Microsoft Sentinel, recherchez le connecteur GitHub. Sur la droite, sélectionnez Ouvrir la page du connecteur.
Sous l’onglet Instructions, dans la zone Configuration, entrez les informations suivantes :
- Nom de l’organisation : entrez le nom de l’organisation à qui appartiennent les journaux auxquels vous voulez vous connecter.
- Clé API : entrez le jeton d’accès personnel GitHub que vous avez créé précédemment dans cette procédure.
Sélectionnez Connecter pour commencer l’ingestion de vos journaux GitHub dans Microsoft Sentinel.
Google Workspace (G-Suite) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Configuration supplémentaire de l’API de rapports Google |
| Table(s) Log Analytics | GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | GWorkspaceActivityReports |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser |
| Paramètres d’application | |
| Pris en charge par | Microsoft |
Configuration supplémentaire de l’API de rapports Google
Ajoutez http://localhost:8081/ sous URI de redirection autorisées lors de la création des informations d'identification d’application web.
- Suivez les instructions pour obtenir credentials.json.
- Pour obtenir la chaîne pickle Google, exécutez ce script Python (dans le même chemin d’accès que credentials.json).
- Copiez la sortie de chaîne pickle entre guillemets simples et enregistrez. Elle sera nécessaire pour déployer l’application de fonction.
Illusive Attack Management System (AMS) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Guide d’administration d’Illusive Networks |
| Pris en charge par | Illusive Networks |
Imperva WAF Gateway (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog Disponible dans la solution Imperva Cloud WAF |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Procédure à suivre pour activer la journalisation des alertes Imperva WAF Gateway dans Microsoft Sentinel |
| Pris en charge par | Imperva |
Infoblox Network Identity Operating System (NIOS) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog Disponible dans la solution InfoBlox Threat Defense |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | InfobloxNIOS |
| URL de fonction Kusto : | https://aka.ms/sentinelgithubparsersinfoblox |
| Documentation du fournisseur/ instructions d’installation |
Guide de déploiement de NIOS SNMP et Syslog |
| Pris en charge par | Microsoft |
Juniper SRX (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | JuniperSRX |
| URL de fonction Kusto : | https://aka.ms/Sentinel-junipersrx-parser |
| Documentation du fournisseur/ instructions d’installation |
Configurer la journalisation du trafic (journaux de stratégie de sécurité) pour les appareils de branche SRX Configurer la journalisation du système |
| Pris en charge par | Juniper Networks |
Lookout Mobile Threat Defense (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Disponible uniquement après l’installation de la solution Lookout Mobile Threat Defense for Microsoft Sentinel |
| Table(s) Log Analytics | Lookout_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Pris en charge par | Lookout |
Microsoft 365 Defender
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connecter des données de Microsoft 365 Defender à Microsoft Sentinel (Article sur les connecteurs principaux) |
| Prérequis des licences/ Informations de coût |
Licence valide pour Microsoft 365 Defender |
| Table(s) Log Analytics | Alertes : SecurityAlert SecurityIncident Événements Defender pour point de terminaison : DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkInfo DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Événements Defender pour Office 365 : EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents Événements Defender pour Identity : IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents Événements Defender for Cloud Apps : CloudAppEvents Alertes Defender comme événements : AlertInfo AlertEvidence |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Pris en charge par | Microsoft |
Gestion des risques internes (IRM) Microsoft Purview (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API Également disponible dans la solution Gestion des risques internes Microsoft Purview |
| Licence et autres conditions préalables |
|
| Table(s) Log Analytics | SecurityAlert |
| Filtre de requête de données | SecurityAlert| where ProductName == "Microsoft Purview Insider Risk Management" |
| Pris en charge par | Microsoft |
Microsoft Defender pour le cloud
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connecter des alertes de sécurité de Microsoft Defender pour le cloud (Article sur les connecteurs principaux) |
| Table(s) Log Analytics | SecurityAlert |
| Pris en charge par | Microsoft |
Microsoft Defender for Cloud Apps
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API Pour les journaux Cloud Discovery, activez Microsoft Sentinel comme SIEM dans Microsoft Defender for Cloud Apps |
| Table(s) Log Analytics | SecurityAlert : pour les alertes McasShadowItReporting - pour les journaux Cloud Discovery |
| Pris en charge par | Microsoft |
Microsoft Defender for Endpoint
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API |
| Prérequis des licences/ Informations de coût |
Licence valide pour Microsoft Defender pour point de terminaison |
| Table(s) Log Analytics | SecurityAlert |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Microsoft Defender pour Identity
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API |
| Table(s) Log Analytics | SecurityAlert |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Microsoft Defender pour IoT
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API |
| Table(s) Log Analytics | SecurityAlert |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Microsoft Defender pour Office 365
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API |
| Prérequis des licences/ Informations de coût |
Vous devez avoir une licence valide pour Office 365 ATP Plan 2 |
| Table(s) Log Analytics | SecurityAlert |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Microsoft Office 365
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API |
| Prérequis des licences/ Informations de coût |
Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel. D’autres frais peuvent s’appliquer. |
| Table(s) Log Analytics | OfficeActivity |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Microsoft Power BI (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API |
| Prérequis des licences/ Informations de coût |
Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel. D’autres frais peuvent s’appliquer. |
| Table(s) Log Analytics | PowerBIActivity |
| Pris en charge par | Microsoft |
Microsoft Project (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API |
| Prérequis des licences/ Informations de coût |
Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel. D’autres frais peuvent s’appliquer. |
| Table(s) Log Analytics | ProjectActivity |
| Pris en charge par | Microsoft |
Protection des données Microsoft Purview (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur une API |
| Prérequis des licences/ Informations de coût |
Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel. D’autres frais peuvent s’appliquer. |
| Table(s) Log Analytics | MicrosoftPurviewInformationProtection |
| Pris en charge par | Microsoft |
Microsoft Sysmon for Linux (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog, avec des analyseurs ASIM basés sur des fonctions Kusto |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Morphisec UTPP (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | Morphisec |
| URL de fonction Kusto | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/ |
| Pris en charge par | Morphisec |
Netskope (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST |
| Table(s) Log Analytics | Netskope_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-netskope-functioncode |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | Netskope |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://aka.ms/Sentinel-netskope-parser |
| Paramètres d’application | https://<Tenant Name>.goskope.com) |
| Pris en charge par | Microsoft |
NGINX HTTP Server (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Agent Log Analytics : journaux personnalisés |
| Table(s) Log Analytics | NGINX_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Alias de fonction Kusto : | NGINXHTTPServer |
| URL de fonction Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/NGINX%20HTTP%20Server/Parsers/NGINXHTTPServer.txt |
| Documentation du fournisseur/ instructions d’installation |
Module ngx_http_log_module |
| Exemple de fichier journal personnalisé : | access.log ou error.log |
| Pris en charge par | Microsoft |
NXLog Basic Security Module (BSM) macOS (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | BSMmacOS_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Guide de l’utilisateur NXLog pour Microsoft Sentinel |
| Pris en charge par | NXLog |
NXLog DNS Logs (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | DNS_Logs_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Guide de l’utilisateur NXLog pour Microsoft Sentinel |
| Pris en charge par | NXLog |
NXLog LinuxAudit (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | LinuxAudit_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Guide de l’utilisateur NXLog pour Microsoft Sentinel |
| Pris en charge par | NXLog |
Okta Single Sign-On (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST |
| Table(s) Log Analytics | Okta_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/sentineloktaazurefunctioncodev2 |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Paramètres d’application | https://<OktaDomain>/api/v1/logs?since=. Identifiez l’espace de noms de votre domaine.) |
| Pris en charge par | Microsoft |
Onapsis Platform (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event Format (CEF) sur Syslog, avec une fonction de recherche et d’enrichissement Kusto Configurer Onapsis pour envoyer les journaux CEF au redirecteur de journal |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | incident_lookup |
| URL de fonction Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt |
| Pris en charge par | Onapsis |
Configurer Onapsis pour envoyer les journaux CEF au redirecteur de journal
Reportez-vous à l’aide d’Onapsis dans le produit pour configurer le transfert de journaux vers l’agent Log Analytics.
- Accédez à Setup > Third-party integrations > Defend Alarms et suivez les instructions pour Microsoft Sentinel.
- Assurez-vous que votre console Onapsis peut accéder à l’ordinateur du redirecteur de journal sur lequel l’agent est installé. Les journaux doivent être envoyés au port 514 à l’aide du protocole TCP.
One Identity Safeguard (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Guide d’administration de One Identity Safeguard pour les sessions privilégiées |
| Pris en charge par | One Identity |
Oracle WebLogic Server (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Agent Log Analytics : journaux personnalisés |
| Table(s) Log Analytics | OracleWebLogicServer_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Alias de fonction Kusto : | OracleWebLogicServerEvent |
| URL de fonction Kusto : | https://aka.ms/Sentinel-OracleWebLogicServer-parser |
| Documentation du fournisseur/ instructions d’installation |
Documentation d’Oracle WebLogic Server |
| Exemple de fichier journal personnalisé : | server.log |
| Pris en charge par | Microsoft |
Orca Security (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | OrcaAlerts_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Intégration de Microsoft Sentinel |
| Pris en charge par | Orca Security |
OSSEC (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | OSSECEvent |
| URL de fonction Kusto : | https://aka.ms/Sentinel-OSSEC-parser |
| Documentation du fournisseur/ instructions d’installation |
Documentation d’OSSEC Envoi d’alertes via Syslog |
| Pris en charge par | Microsoft |
Palo Alto Networks
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog Également disponible dans les solutions Palo Alto Pan-OS et Prisma |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Guides de configuration de Common Event format (CEF) Configurer la surveillance Syslog |
| Pris en charge par | Palo Alto Networks |
Perimeter 81 Activity Logs (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | Perimeter81_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Documentation de Perimeter 81 |
| Pris en charge par | Perimeter 81 |
Proofpoint On Demand (POD) Email Security (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Également disponible dans la solution Proofpoint POD |
| Table(s) Log Analytics | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-proofpointpod-functionapp |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | ProofpointPOD |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://aka.ms/Sentinel-proofpointpod-parser |
| Paramètres d’application | |
| Pris en charge par | Microsoft |
Proofpoint Targeted Attack Protection (TAP) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Également disponible dans la solution Proofpoint TAP |
| Table(s) Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/sentinelproofpointtapazurefunctioncode |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Paramètres d’application | https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300) |
| Pris en charge par | Microsoft |
Pulse Connect Secure (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | PulseConnectSecure |
| URL de fonction Kusto : | https://aka.ms/sentinelgithubparserspulsesecurevpn |
| Documentation du fournisseur/ instructions d’installation |
Configuration de Syslog |
| Pris en charge par | Microsoft |
Base de connaissances (KB) Qualys VM (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Configuration supplémentaire pour la base de connaissances de Qualys VM Également disponible dans la solution Qualys VM |
| Table(s) Log Analytics | QualysKB_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-qualyskb-functioncode |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | QualysKB |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://aka.ms/Sentinel-qualyskb-parser |
| Paramètres d’application | https://<API Server>/api/2.0.&. Pas d’espaces.) |
| Pris en charge par | Microsoft |
Configuration supplémentaire pour la base de connaissances de Qualys VM
- Connectez-vous à la console Qualys Vulnerability Management avec un compte administrateur, sélectionnez l’onglet Utilisateurs, puis le sous-onglet Utilisateurs.
- Sélectionnez le menu déroulant Nouveau, puis Utilisateurs.
- Créez un nom d’utilisateur et un mot de passe pour le compte d’API.
- Dans l’onglet Rôles d'utilisateur, assurez-vous que le rôle de compte est défini sur Manager et que l’accès à la GUI et à l’API est autorisé
- Déconnectez-vous du compte administrateur et connectez-vous à la console avec les nouvelles informations d’identification de l’API pour validation, puis déconnectez-vous du compte d’API.
- Reconnectez-vous à la console à l’aide d’un compte administrateur et modifiez les rôles d’utilisateur de comptes d’API, en supprimant l’accès à GUI.
- Enregistrez toutes les modifications.
Qualys Vulnerability Management (VM) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Configuration supplémentaire pour Qualys VM Déploiement manuel : après avoir configuré l’application de fonction |
| Table(s) Log Analytics | QualysHostDetection_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/sentinelqualysvmazurefunctioncode |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Paramètres d’application | https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=.&. Pas d’espaces.) |
| Pris en charge par | Microsoft |
Configuration supplémentaire pour Qualys VM
- Connectez-vous à la console Qualys Vulnerability Management avec un compte administrateur, sélectionnez l’onglet Utilisateurs, puis le sous-onglet Utilisateurs.
- Sélectionnez le menu déroulant Nouveau, puis Utilisateurs.
- Créez un nom d’utilisateur et un mot de passe pour le compte d’API.
- Dans l’onglet Rôles d'utilisateur, assurez-vous que le rôle de compte est défini sur Manager et que l’accès à la GUI et à l’API est autorisé
- Déconnectez-vous du compte administrateur et connectez-vous à la console avec les nouvelles informations d’identification de l’API pour validation, puis déconnectez-vous du compte d’API.
- Reconnectez-vous à la console à l’aide d’un compte administrateur et modifiez les rôles d’utilisateur de comptes d’API, en supprimant l’accès à GUI.
- Enregistrez toutes les modifications.
Déploiement manuel : après avoir configuré l’application de fonction
Configurer le fichier host.json
En raison de la quantité potentiellement importante des données de détection de l’hôte Qualys ingérée, le temps d’exécution peut dépasser la valeur de délai d’expiration d’application de fonction par défaut de cinq minutes. Augmentez la durée du délai d’expiration par défaut à un maximum de dix minutes, sous le plan de consommation, afin de laisser plus de temps à l’exécution de l’application de fonction.
- Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis la page Éditeur App Service.
- Sélectionnez Go pour ouvrir l’éditeur, puis sélectionnez le fichier host.json sous le répertoire wwwroot.
- Ajoutez la ligne
"functionTimeout": "00:10:00",au-dessus de la lignemanagedDependancy. - Vérifiez que ENREGISTRÉ apparaît en haut à droite de l’éditeur, puis quittez l’éditeur.
Si une durée de délai d’expiration plus longue est requise, envisagez une mise à niveau vers un Plan App service.
Salesforce Service Cloud (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST |
| Table(s) Log Analytics | SalesforceServiceCloud_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
Guide du développeur de l’API REST Salesforce Sous Configurer l’autorisation, utilisez la méthode ID de session au lieu de OAuth. |
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | SalesforceServiceCloud |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Salesforce%20Service%20Cloud/Parsers/SalesforceServiceCloud.txt |
| Paramètres d’application | |
| Pris en charge par | Microsoft |
Événements de sécurité via l’ancien agent (Windows)
Important
L’agent Log Analytics sera mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de commencer à planifier votre migration vers l’agent Azure Monitor (AMA). Pour plus d’informations, consultez Migration AMA pour Microsoft Sentinel.
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur l’agent Log Analytics (hérité) |
| Table(s) Log Analytics | SecurityEvents |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Pour plus d'informations, consultez les pages suivantes :
- Ensembles d’événements de sécurité Windows qui peuvent être envoyés à Microsoft Sentinel
- Configuration du classeur des protocoles non sécurisés
- Connecteur Événements de sécurité Windows via AMA basé sur l’agent Azure Monitor (AMA)
- Configurez le connecteur Événements de sécurité / Événements de sécurité Windows pour la détection de connexion RDP anormale.
SentinelOne (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Configuration supplémentaire pour SentinelOne |
| Table(s) Log Analytics | SentinelOne_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-SentinelOneAPI-functionapp |
| Informations d'identification de l’API | https://<SOneInstanceDomain>.sentinelone.net) |
| Documentation du fournisseur/ instructions d’installation |
<SOneInstanceDomain>.sentinelone.net/api-doc/overview |
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | SentinelOne |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://aka.ms/Sentinel-SentinelOneAPI-parser |
| Paramètres d’application | |
| Pris en charge par | Microsoft |
Configuration supplémentaire pour SentinelOne
Suivez les instructions pour obtenir les informations d'identification.
- Connectez-vous à la console de gestion de SentinelOne avec les informations d’identification de l’utilisateur administrateur.
- Dans la console de gestion, sélectionnez Paramètres.
- Dans la vue PARAMÈTRES, sélectionnez UTILISATEURS
- Sélectionnez Nouvel utilisateur.
- Entrez les informations pour le nouvel utilisateur de la console.
- Dans Rôle, sélectionnez Administrateur.
- Sélectionnez ENREGISTRER
- Enregistrez les informations d’identification du nouvel utilisateur à utiliser dans le connecteur de données.
SonicWall Firewall (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Journal > Syslog Sélectionnez installation local4 et ArcSight comme format Syslog. |
| Pris en charge par | SonicWall |
Sophos Cloud Optix (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | SophosCloudOptix_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Intégrer à Microsoft Sentinel, en ignorant la première étape. Exemples de requêtes Sophos |
| Pris en charge par | Sophos |
Sophos XG Firewall (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | SophosXGFirewall |
| URL de fonction Kusto : | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Sophos%20XG%20Firewall/Parsers/SophosXGFirewall.txt |
| Documentation du fournisseur/ instructions d’installation |
Ajouter un serveur Syslog |
| Pris en charge par | Microsoft |
Squadra Technologies secRMM
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | secRMM_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Guide de l’administrateur secRMM pour Microsoft Sentinel |
| Pris en charge par | Squadra Technologies |
Squid Proxy (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Agent Log Analytics : journaux personnalisés |
| Table(s) Log Analytics | SquidProxy_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Alias de fonction Kusto : | SquidProxy |
| URL de fonction Kusto | https://aka.ms/Sentinel-squidproxy-parser |
| Exemple de fichier journal personnalisé : | access.log ou cache.log |
| Pris en charge par | Microsoft |
Symantec Integrated Cyber Defense Exchange (ICDx)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel |
| Table(s) Log Analytics | SymantecICDx_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Configuration des redirecteurs Microsoft Sentinel (Log Analytics) |
| Pris en charge par | Broadcom Symantec |
Symantec ProxySG (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | SymantecProxySG |
| URL de fonction Kusto : | https://aka.ms/sentinelgithubparserssymantecproxysg |
| Documentation du fournisseur/ instructions d’installation |
Envoi de journaux d’accès à un serveur Syslog |
| Pris en charge par | Microsoft |
Symantec VIP (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | SymantecVIP |
| URL de fonction Kusto : | https://aka.ms/sentinelgithubparserssymantecvip |
| Documentation du fournisseur/ instructions d’installation |
Configuration de Syslog |
| Pris en charge par | Microsoft |
Thycotic Secret Server (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Journalisation Syslog/CEF sécurisée |
| Pris en charge par | Thycotic |
Trend Micro Deep Security
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | TrendMicroDeepSecurity |
| URL de fonction Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
| Documentation du fournisseur/ instructions d’installation |
Transférer des événements Deep Security à un serveur Syslog ou SIEM |
| Pris en charge par | Trend Micro |
Trend Micro TippingPoint (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | TrendMicroTippingPoint |
| URL de fonction Kusto | https://aka.ms/Sentinel-trendmicrotippingpoint-function |
| Documentation du fournisseur/ instructions d’installation |
Envoyer des messages Syslog au format ArcSight CEF format v 4.2. |
| Pris en charge par | Trend Micro |
Trend Micro Vision One (XDR) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST |
| Table(s) Log Analytics | TrendMicro_XDR_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | Déploiement en un clic avec un modèle Azure Resource Manager (ARM) |
| Pris en charge par | Trend Micro |
VMware Carbon Black Endpoint Standard (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST |
| Table(s) Log Analytics | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/sentinelcarbonblackazurefunctioncode |
| Informations d'identification de l’API | Niveau d'accès API (pour les journaux d’audit et des événements) : Niveau d’accès SIEM (pour les événements de notification) : |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Paramètres d’application | https://<API URL>.conferdeploy.net.) |
| Pris en charge par | Microsoft |
VMware ESXi (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | VMwareESXi |
| URL de fonction Kusto : | https://aka.ms/Sentinel-vmwareesxi-parser |
| Documentation du fournisseur/ instructions d’installation |
Activation de Syslog sur ESXi 3.5 et 4.x Configurer Syslog sur les hôtes ESXi |
| Pris en charge par | Microsoft |
WatchGuard Firebox (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Syslog |
| Table(s) Log Analytics | Syslog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Alias de fonction Kusto : | WatchGuardFirebox |
| URL de fonction Kusto : | https://aka.ms/Sentinel-watchguardfirebox-parser |
| Documentation du fournisseur/ instructions d’installation |
Guide d’intégration de Microsoft Sentinel |
| Pris en charge par | WatchGuard Technologies |
WireX Network Forensics Platform (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Contactez le support WireX pour configurer votre NFP de sorte qu’elle envoie les messages Syslog au format CEF. |
| Pris en charge par | WireX Systems |
Événements Windows DNS via AMA (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexion basée sur l’agent Azure Monitor |
| Table(s) Log Analytics | DnsEvents DnsInventory |
| Prise en charge des règles de collecte de données (DCR) | DCR standard |
| Pris en charge par | Microsoft |
Serveur DNS Windows (préversion)
Important
L’agent Log Analytics sera mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de commencer à planifier votre migration vers l’agent Azure Monitor (AMA). Pour plus d’informations, consultez Migration AMA pour Microsoft Sentinel.
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur l’agent Log Analytics (hérité) |
| Table(s) Log Analytics | DnsEvents DnsInventory |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Pris en charge par | Microsoft |
Résoudre les problèmes du connecteur de données de votre serveur DNS Windows
Si vos événements DNS n’apparaissent pas dans Microsoft Sentinel :
- Vérifiez que les journaux DNS Analytics sur vos serveurs sont activés.
- Accédez à Azure DNS Analytics.
- Dans la zone Configuration, changez des paramètres et enregistrez vos changements. Rechangez vos paramètres si nécessaire et réenregistrez-les.
- Consultez votre Azure DNS Analytics pour vérifier que vos événements et vos requêtes s’affichent correctement.
Pour plus d’informations, consultez Collecter des insights sur votre infrastructure DNS avec la solution DNS Analytics (préversion).
Événements transférés par Windows (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur l’agent Azure Monitor instructions supplémentaires pour le déploiement du connecteur Événements transférés par Windows |
| Composants requis | La Collection d’événements Windows (WEC) doit être activée et en cours d’exécution. Installez l’agent Azure Monitor sur la machine WEC. |
| Préfixe des requêtes xPath | « ForwardedEvents!* » |
| Table(s) Log Analytics | WindowsEvents |
| Prise en charge des règles de collecte de données (DCR) | DCR standard |
| Pris en charge par | Microsoft |
Instructions supplémentaires pour le déploiement du connecteur Événements transférés par Windows
Nous vous recommandons d’installer les analyseurs du modèle d’informations de sécurité avancé (ASIM) pour garantir une prise en charge complète de la normalisation des données. Vous pouvez déployer ces analyseurs à partir du référentiel GitHub Azure-Sentinel à l’aide du bouton Déployer sur Azure.
Pare-feu Windows
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur l’agent Log Analytics (hérité) |
| Table(s) Log Analytics | WindowsFirewall |
| Pris en charge par | Microsoft |
Événements de sécurité Windows via AMA
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Intégration Azure service à service : Connexions basées sur l’agent Azure Monitor |
| Préfixe des requêtes xPath | « Sécurité* » |
| Table(s) Log Analytics | SecurityEvents |
| Prise en charge des règles de collecte de données (DCR) | DCR standard |
| Pris en charge par | Microsoft |
Voir aussi :
- Événements Windows DNS via un connecteur AMA (préversion) : utilise l’agent Azure Monitor pour diffuser et filtrer des événements à partir des journaux du serveur Windows DNS (Domain Name System).
- Connecteur Événements de sécurité via l’ancien agent.
Configurer le connecteur d’événements de sécurité / d’événements de sécurité Windows pour la détection de connexion RDP anormale
Important
La détection de connexion Remote Desktop Protocol (RDP) anormale est actuellement en préversion publique. Cette fonctionnalité est fournie sans contrat de niveau de service et est déconseillée pour les charges de travail de production. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Microsoft Sentinel peut appliquer du Machine Learning (ML) aux données Événements de sécurité pour identifier une activité de connexion RDP anormale. Il s’agit entre autres des scénarios suivants :
IP inhabituelle : l’adresse IP a rarement ou n’a jamais été observée au cours des 30 derniers jours
Emplacement géographique inhabituel : l’adresse IP, la ville, le pays et l’ASN ont rarement ou n’ont jamais été observés au cours des 30 derniers jours
Nouvel utilisateur : un nouvel utilisateur se connecte à partir d’une adresse IP et d’un emplacement géographique, dont les deux ou l’un des deux n’étaient pas censés être vus sur la base des données des 30 jours précédents.
Instructions de configuration
Vous devez collecter les données de connexion RDP (ID d’événement 4624) par le biais du connecteur de données des événements de sécurité ou des événements de sécurité Windows. Assurez-vous que vous avez sélectionné un jeu d’événements en plus de « Aucun », ou que vous avez créé une règle de collecte de données qui comprend cet ID d’événement afin de les transmettre en continu à Microsoft Sentinel.
Dans le portail Microsoft Sentinel, sélectionnez Analyse, puis l’onglet Modèles de règles. Choisissez la règle Détection de connexion RDP anormale (préversion) et déplacez le curseur État sur Activé.
Notes
Comme l’algorithme de Machine Learning nécessite 30 jours de données pour établir un profil de base du comportement de l’utilisateur, vous devez autoriser la collecte de 30 jours de données d’événements de sécurité Windows avant que tout incident puisse être détecté.
Workplace from Facebook (pré)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST Configurer des webhooks Ajouter l’URL de rappel à la configuration du webhook |
| Table(s) Log Analytics | Workplace_Facebook_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | Workplace_Facebook |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt |
| Paramètres d’application | |
| Pris en charge par | Microsoft |
Configurer des webhooks
- Connectez-vous à l’espace de travail avec les informations d’identification de l’utilisateur administrateur.
- Dans le panneau Administrateur, sélectionnez Intégrations.
- Dans la vue Toutes les intégrations, sélectionnez Créer une intégration personnalisée.
- Entrez un nom et une description, puis sélectionnez Créer.
- Dans le panneau Détails de l’intégration, affichez le Secret d’application et copiez-le.
- Dans le panneau Autorisations d’intégration, définissez toutes les autorisations de lecture. Pour plus d’informations, consultez la page d’autorisation.
Ajouter l’URL de rappel à la configuration du webhook
- Ouvrez la page de votre application de fonction, accédez à la liste Fonctions, sélectionnez Obtenir l’URL de fonction et copiez-la.
- Revenez à Workplace from Facebook. Dans le panneau Configurer des webhooks, définissez, dans chaque onglet, l’URL de rappel sur l’URL de fonction que vous avez copiée à l’étape précédente, ainsi que Vérifier le jeton sur la valeur que vous avez reçue lors du déploiement automatique ou entrée lors du déploiement manuel.
- Sélectionnez Enregistrer.
Zimperium Mobile Thread Defense (préversion)
Le connecteur de données Zimperium Mobile Threat Defense connecte le journal des menaces Zimperium à Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer l’investigation. Ce connecteur vous donne plus d’informations sur le paysage des menaces mobiles de votre organisation et améliore vos capacités d’opération de sécurité.
Pour plus d’informations, consultez Connecter Zimperium à Microsoft Sentinel.
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | API du collecteur de données Microsoft Sentinel Configurer et connecter Zimperium MTD |
| Table(s) Log Analytics | ZimperiumThreatLog_CL ZimperiumMitigationLog_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Documentation du fournisseur/ instructions d’installation |
Portail du service clientèle de Zimperium (connexion requise) |
| Pris en charge par | Zimperium |
Configurer et connecter Zimperium MTD
- Dans zConsole, sélectionnez Gérer dans la barre de navigation.
- Sélectionnez l’onglet Intégrations.
- Sélectionnez le bouton Rapports sur les menaces, puis sur le bouton Ajouter des intégrations.
- Créez l’intégration :
- Dans les intégrations disponibles, sélectionnez Microsoft Sentinel.
- Entrez votre ID d’espace de travail et votre clé primaire, puis sélectionnez Suivant.
- Donnez un nom à votre intégration Microsoft Sentinel.
- Sélectionnez un niveau de filtre pour les données de menace à transmettre à Microsoft Sentinel.
- Sélectionnez Terminer.
Zoom Reports (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Azure Functions et l’API REST |
| Table(s) Log Analytics | Zoom_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Code d’application de fonction Azure | https://aka.ms/Sentinel-ZoomAPI-functionapp |
| Informations d'identification de l’API | |
| Documentation du fournisseur/ instructions d’installation |
|
| Instructions de déploiement du connecteur | |
| Alias de fonction Kusto | Zoom |
| URL de fonction Kusto/ Instructions de configuration de l’analyseur |
https://aka.ms/Sentinel-ZoomAPI-parser |
| Paramètres d’application | |
| Pris en charge par | Microsoft |
Zscaler
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Common Event format (CEF) sur Syslog |
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données (DCR) | DCR de transformation de l’espace de travail |
| Documentation du fournisseur/ instructions d’installation |
Guide de déploiement de Zscaler et Microsoft Sentinel |
| Pris en charge par | Zscaler |
Zscaler Private Access (ZPA) (préversion)
| Attribut du connecteur | Description |
|---|---|
| Méthode d’ingestion des données | Agent Log Analytics : journaux personnalisés Configuration supplémentaire pour Zscaler Private Access |
| Table(s) Log Analytics | ZPA_CL |
| Prise en charge des règles de collecte de données (DCR) | Non prise en charge pour le moment |
| Alias de fonction Kusto : | ZPAEvent |
| URL de fonction Kusto | https://aka.ms/Sentinel-zscalerprivateaccess-parser |
| Documentation du fournisseur/ instructions d’installation |
Documentation de Zscaler Private Access Voir également ci-dessous |
| Pris en charge par | Microsoft |
Configuration supplémentaire pour Zscaler Private Access
Suivez les étapes de configuration ci-dessous pour accéder aux journaux Zscaler Private Access dans Microsoft Sentinel. Pour plus d’informations, consultez la Documentation Azure Monitor. Les journaux Zscaler Private Access sont fournis par le biais du service de streaming des journaux (LSS). Pour plus d’informations, consultez la Documentation de LSS.
Configurez des Récepteurs de journaux. Lors de la configuration d’un récepteur de journaux, choisissez JSON comme Modèle de journal.
Téléchargez le fichier config zpa.conf.
wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.confConnectez-vous au serveur sur lequel vous avez installé l’agent Azure Log Analytics.
Copiez zpa.conf dans le dossier /etc/opt/microsoft/omsagent/
workspace_id/conf/omsagent.d/.Modifiez zpa.conf comme suit :
- Spécifiez le port que vous avez défini auquel vos récepteurs de journaux Zscaler doivent transférer les journaux (ligne 4)
- Remplacez
workspace_idpar la valeur réelle d’ID de votre espace de travail (lignes 14, 15, 16, 19)
Enregistrez les modifications et redémarrez l’agent Azure Log Analytics pour le service Linux à l’aide de la commande suivante :
sudo /opt/microsoft/omsagent/bin/service_control restart
Vous pouvez trouver la valeur d’ID de votre espace de travail sur la page du connecteur ZScaler Private Access ou sur la page de gestion de vos agents d’espace de travail Log Analytics.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
- Catalogue de solutions pour Microsoft Sentinel dans la Place de marché Azure
- Catalogue de solutions Microsoft Sentinel
- Intégration du renseignement sur les menaces dans Microsoft Sentinel