Partager via


Rechercher votre connecteur de données Microsoft Sentinel

Cet article répertorie tous les connecteurs de données prêts à l’emploi pris en charge et des liens vers les étapes de déploiement de chacun.

Important

Les connecteurs de données sont disponibles dans le cadre des offres suivantes :

  • Solutions : de nombreux connecteurs de données sont déployés dans le cadre de la solution Microsoft Sentinel avec du contenu associé, comme les règles d’analyse, les classeurs et les playbooks. Pour plus d’informations, consultez le catalogue de solutions Microsoft Sentinel.

  • Community connectors: More data connectors are provided by the Microsoft Sentinel community and can be found in the Azure Marketplace. La documentation relative aux connecteurs de données de la communauté relève de la responsabilité de l’organisation qui a créé le connecteur.

  • Connecteurs personnalisés : Si vous avez une source de données qui n’est pas répertoriée ou n’est pas actuellement prise en charge, vous pouvez également créer votre propre connecteur personnalisé. Pour plus d’informations, consultez Ressources pour créer des connecteurs personnalisés Microsoft Sentinel.

Note

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds US Government, consultez les tables Microsoft Sentinel dans la disponibilité des fonctionnalités cloud pour les clients us Government.

Prérequis des connecteurs de données

Chaque connecteur de données a son propre ensemble de prérequis. Parmi les prérequis figure la nécessité de disposer d’autorisations spécifiques sur votre espace de travail, votre abonnement ou votre stratégie. Ou, de répondre à d’autres exigences liées à la source de données partenaire à laquelle vous vous connectez.

Les prérequis de chaque connecteur de données sont listés sur la page du connecteur de données approprié dans Microsoft Sentinel.

Les connecteurs de données basés sur l’agent Azure Monitor (AMA) nécessitent une connexion Internet à partir du système où l’agent est installé. Activez le port 443 sortant pour autoriser une connexion entre le système où l’agent est installé et Microsoft Sentinel.

Connecteurs Syslog and Common Event Format (CEF)

La collecte de journaux à partir de nombreuses appliances de sécurité et appareils est prise en charge par les connecteurs de données Syslog via AMA ou CEF (Common Event Format) via AMA dans Microsoft Sentinel. Pour transférer des données à votre espace de travail Log Analytics pour Microsoft Sentinel, suivez les étapes de réception des messages syslog et CEF vers Microsoft Sentinel avec l’agent Azure Monitor. These steps include installing the Microsoft Sentinel solution for a security appliance or device from the Content hub in Microsoft Sentinel. Ensuite, configurez Syslog via AMA ou COMMON Event Format (CEF) via le connecteur de données AMA approprié pour la solution Microsoft Sentinel que vous avez installée. Terminez la configuration en configurant l’appareil de sécurité ou l’appliance. Recherchez des instructions pour configurer votre appareil de sécurité ou votre appliance dans l’un des articles suivants :

Contactez le fournisseur de solutions pour plus d’informations ou pour savoir où les informations ne sont pas disponibles pour l’appliance ou l’appareil.

Journaux personnalisés via le connecteur AMA

Filtrer et ingérer des journaux au format de fichier texte à partir d’applications réseau ou de sécurité installées sur des machines Windows ou Linux à l’aide des journaux personnalisés via le connecteur AMA dans Microsoft Sentinel. Pour plus d’informations, consultez les articles suivants :

Connecteurs de données Sentinel

Note

Le tableau suivant répertorie les connecteurs de données disponibles dans le hub de contenu Microsoft Sentinel. Les connecteurs sont pris en charge par le fournisseur de produits. For support, see the link in the Supported by column in the following table.

Connector Supported by
1Password (Serverless)
Le connecteur CCF 1Password permet à l’utilisateur d’ingérer des événements 1Password Audit, Signin &ItemUsage dans Microsoft Sentinel.

Tables Log Analytics :
- OnePasswordEventLogs_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Jeton d’API 1Password : un jeton d’API 1Password est requis. See the 1Password documentation on how to create an API token.

1Password
1Password (à l’aide d’Azure Functions)
The 1Password solution for Microsoft Sentinel enables you to ingest sign-in attempts, item usage, and audit events from your 1Password Business account using the 1Password Events Reporting API. Cela vous permet de surveiller et d’examiner les événements dans 1Password dans Microsoft Sentinel, ainsi que les autres applications et services que votre organisation utilise.

Technologies sous-jacentes Microsoft utilisées :

This solution depends on the following technologies, and some of which may be in Preview state or may incur additional ingestion or operational costs:

- Azure Functions

Tables Log Analytics :
- OnePasswordEventLogs_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- 1Password Events API Token : A 1Password Events API Token is required. Pour plus d’informations, consultez l’API 1Password.

Note: A 1Password Business account is required

1Password
AnomalieSecurity (à l’aide d’Azure Function)
Le connecteur de données Abnormal Security permet d’ingérer des journaux de menace et de cas dans Microsoft Sentinel à l’aide de l’API REST Abnormal Security.

Tables Log Analytics :
- ABNORMAL_THREAT_MESSAGES_CL
- ABNORMAL_CASES_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Jeton d’API de sécurité anormal : un jeton d’API de sécurité anormal est requis. Pour plus d’informations, consultez l’API de sécurité anormale. Note: An Abnormal Security account is required

Abnormal Security
AIShield
AIShield connector allows users to connect with AIShield custom defense mechanism logs with Microsoft Sentinel, allowing the creation of dynamic Dashboards, Workbooks, Notebooks and tailored Alerts to improve investigation and thwart attacks on AI systems. Il donne aux utilisateurs plus d’informations sur la sécurité des ressources IA de leur organisation et améliore leurs fonctionnalités d’opération de sécurité des systèmes d’INTELLIGENCE artificielle. AIShield.GuArdIan analyse le contenu généré par LLM pour identifier et atténuer les contenus nuisibles, protéger contre les violations légales, de stratégie, basées sur des rôles et basées sur l’utilisation

Tables Log Analytics :
- AIShield_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Note: Users should have utilized AIShield SaaS offering to conduct vulnerability analysis and deployed custom defense mechanisms generated along with their AI asset. Click here to know more or get in touch.

AIShield
AliCloud (à l’aide d’Azure Functions)
The AliCloud data connector provides the capability to retrieve logs from cloud applications using the Cloud API and store events into Microsoft Sentinel through the REST API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- AliCloud_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : AliCloudAccessKeyId et AliCloudAccessKey sont nécessaires pour effectuer des appels d’API.

Microsoft Corporation
Amazon Web Services
Les instructions de connexion à AWS et de diffuser en continu vos journaux CloudTrail dans Microsoft Sentinel sont affichées pendant le processus d’installation. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AWSCloudTrail

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Amazon Web Services NetworkFirewall (via Codeless Connector Framework) (préversion)
Ce connecteur de données vous permet d’ingérer des journaux AWS Network Firewall dans Microsoft Sentinel pour la détection avancée des menaces et la surveillance de la sécurité. En tirant parti d’Amazon S3 et Amazon SQS, le connecteur transfère les journaux de trafic réseau, les alertes de détection d’intrusion et les événements de pare-feu à Microsoft Sentinel, ce qui permet une analyse et une corrélation en temps réel avec d’autres données de sécurité

Tables Log Analytics :
- AWSNetworkFirewallFlow

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Amazon Web Services S3
Il vous permet d’ingérer des journaux des services AWS, collectés dans des compartiments AWS S3, dans Microsoft Sentinel. Les types de données actuellement pris en charge sont les suivants :
* AWS CloudTrail
* Journaux de flux DU VPC
* AWS GuardDuty
* AWSCloudWatch

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AWSGuardDuty
- AWSVPCFlow
- AWSCloudTrail
- AWSCloudWatch

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Environment: You must have the following AWS resources defined and configured: S3, Simple Queue Service (SQS), IAM roles and permissions policies, and the AWS services whose logs you want to collect.

Microsoft Corporation
Amazon Web Services S3 WAF
Ce connecteur vous permet d’ingérer des journaux WAF AWS, collectés dans des compartiments AWS S3, dans Microsoft Sentinel. Les journaux WAF AWS sont des enregistrements détaillés du trafic que les listes de contrôle d’accès web (ACL) analysent, ce qui est essentiel pour maintenir la sécurité et les performances des applications web. Ces journaux contiennent des informations telles que l’heure à laquelle AWS WAF a reçu la demande, les spécificités de la demande et l’action effectuée par la règle correspondant à la demande.

Tables Log Analytics :
- AWSWAF

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Sécurité du cloud ARGOS
L’intégration d’ARGOS Cloud Security pour Microsoft Sentinel vous permet d’avoir tous vos événements importants de sécurité cloud au même endroit. Cela vous permet de créer facilement des tableaux de bord, des alertes et de mettre en corrélation des événements sur plusieurs systèmes. Dans l’ensemble, cela améliorera la posture de sécurité et la réponse aux incidents de sécurité de votre organisation.

Tables Log Analytics :
- ARGOS_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Sécurité du cloud ARGOS
Activités d’alertes Armis (à l’aide d’Azure Functions)
The Armis Alerts Activities connector gives the capability to ingest Armis Alerts and Activities into Microsoft Sentinel through the Armis REST API. Pour plus d’informations, consultez la documentation de l’API : https://<YourArmisInstance>.armis.com/api/v1/docs Le connecteur permet d’obtenir des informations sur les alertes et les activités à partir de la plateforme Armis et d’identifier et de hiérarchiser les menaces dans votre environnement. Armis utilise votre infrastructure existante pour découvrir et identifier des appareils en évitant de déployer des agents.

Tables Log Analytics :
- Armis_Alerts_CL
- Armis_Activities_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : la clé secrète Armis est requise. Consultez la documentation pour en savoir plus sur l’API sur le https://<YourArmisInstance>.armis.com/api/v1/doc

Armis Corporation
Appareils Armis (à l’aide d’Azure Functions)
The Armis Device connector gives the capability to ingest Armis Devices into Microsoft Sentinel through the Armis REST API. Pour plus d’informations, consultez la documentation de l’API : https://<YourArmisInstance>.armis.com/api/v1/docs Le connecteur offre la possibilité d’obtenir des informations sur des appareils à partir de la plateforme Armis. Armis utilise votre infrastructure existante pour découvrir et identifier des appareils en évitant de déployer des agents. Armis peut également s’intégrer à vos outils informatiques et de gestion de la sécurité existants pour identifier et hiérarchiser tous les appareils, gérés ou non gérés, de votre environnement.

Tables Log Analytics :
- Armis_Devices_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : la clé secrète Armis est requise. Consultez la documentation pour en savoir plus sur l’API sur le https://<YourArmisInstance>.armis.com/api/v1/doc

Armis Corporation
Alertes de beacon Atlassian
Atlassian Beacon est un produit cloud conçu pour la détection intelligente des menaces sur les plateformes Atlassian (Jira, Confluence, and Atlassian Admin). Il permet aux utilisateurs de détecter, d’enquêter et de répondre à l’activité d’un utilisateur à risque pour la suite de produits Atlassian. La solution est un connecteur de données personnalisé de DEFEND Ltd. utilisé pour afficher les alertes ingérées d’Atlassian Beacon vers Microsoft Sentinel via une application logique.

Tables Log Analytics :
- atlassian_beacon_alerts_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

DEFEND Ltd.
Atlassian Confluence Audit (via Codeless Connector Framework)
The Atlassian Confluence Audit data connector provides the capability to ingest Confluence Audit Records events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- ConfluenceAuditLogs_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Accès à l’API Atlassian Confluence : l’autorisation d’administrer Confluence est requise pour accéder à l’API des journaux d’audit Confluence. Consultez la documentation de l’API Confluence pour en savoir plus sur l’API d’audit.

Microsoft Corporation
Atlassian Jira Audit (à l’aide d’Azure Functions)
The Atlassian Jira Audit data connector provides the capability to ingest Jira Audit Records events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- Jira_Audit_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : JiraAccessToken, JiraUsername est requis pour l’API REST. For more information, see API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

Microsoft Corporation
Atlassian Jira Audit (à l’aide de l’API REST)
The Atlassian Jira Audit data connector provides the capability to ingest Jira Audit Records events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- Jira_Audit_v2_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Accès à l’API Atlassian Jira : l’autorisation d’administrer Jira est requise pour accéder à l’API des journaux d’audit Jira. Consultez la documentation de l’API Jira pour en savoir plus sur l’API d’audit.

Microsoft Corporation
Gestion des accès auth0 (à l’aide d’Azure Functions)
Le connecteur de données Auth0 Access Management offre la possibilité d’ingérer des événements de journal Auth0 dans Microsoft Sentinel

Tables Log Analytics :
- Auth0AM_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : le jeton d’API est requis. For more information, see API token

Microsoft Corporation
Auth0 Logs
The Auth0 data connector allows ingesting logs from Auth0 API into Microsoft Sentinel. Le connecteur de données est basé sur Microsoft Sentinel Codeless Connector Framework. Il utilise l’API Auth0 pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances.

Tables Log Analytics :
- Auth0Logs_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Logique automatisée WebCTRL
Vous pouvez diffuser en continu les journaux d’audit à partir du serveur SQL WebCTRL hébergé sur des machines Windows connectées à votre instance Microsoft Sentinel. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela donne des insights sur vos systèmes de contrôle industriel surveillés ou contrôlés par l’application WebCTRL BAS.

Tables Log Analytics :
- Event

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Azure Activity
Le Journal d'activité Azure est un journal d'abonnement qui fournit des insights sur les événements au niveau de l'abonnement qui se produisent dans Azure, notamment les événements des données opérationnelles Azure Resource Manager, les événements d'intégrité du service, les opérations d'écriture effectuées sur les ressources de votre abonnement et l'état des activités exécutées dans Azure. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AzureActivity

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Compte Azure Batch
Un compte Azure Batch est une entité identifiée de façon unique au sein du service Batch. La plupart des solutions Batch utilisent le stockage Azure pour stocker des fichiers de ressources et des fichiers de sortie. Par conséquent, chaque compte Batch est généralement associé à un compte de stockage correspondant. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic de compte Azure Batch dans Microsoft Sentinel, afin de pouvoir surveiller en continu l’activité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Policy: Owner role assigned for each policy assignment scope

Microsoft Corporation
Azure CloudNGFW By Palo Alto Networks
Le Pare-feu cloud nouvelle génération de Palo Alto Networks, un service ISV natif Azure, est le pare-feu de nouvelle génération (NGFW) Palo Alto Networks fourni en tant que service natif cloud sur Azure. Vous pouvez découvrir Cloud NGFW sur la Place de marché Azure et l’utiliser dans vos réseaux virtuels Azure. Avec Cloud NGFW, vous pouvez accéder aux principales fonctionnalités NGFW telles que l’ID d’application et les technologies basées sur le filtrage d’URL. Il fournit la prévention et la détection des menaces par le biais de services de sécurité fournis par le cloud et de signatures de prévention des menaces. Le connecteur vous permet de connecter facilement vos journaux Cloud NGFW à Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Pour plus d’informations, consultez la documentation Azure relative à Cloud NGFW.

Tables Log Analytics :
- fluentbit_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Réseaux Palo Alto
Recherche cognitive Azure
Recherche cognitive Azure est un service de recherche cloud qui offre aux développeurs une infrastructure, des API et des outils permettant d’élaborer une expérience de recherche riche, sur du contenu privé et hétérogène, dans les applications web, mobiles et d’entreprise. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic Recherche cognitive Azure dans Microsoft Sentinel, ce qui vous permet de superviser en continu l’activité.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Policy: Owner role assigned for each policy assignment scope

Microsoft Corporation
Azure DDoS Protection
Connectez-vous aux journaux Azure DDoS Protection Standard via les journaux de diagnostic d’adresse IP publique. Outre la protection DDoS de base sur la plateforme, Azure DDoS Protection Standard fournit des fonctions d’atténuation DDoS avancées contre les attaques réseau. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques. Vous pouvez facilement activer cette protection durant la création de réseaux virtuels. Vous pouvez également l’activer après la création ; aucun changement au niveau de l’application ou de la ressource ne s’impose. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Journaux d’audit Azure DevOps (via Codeless Connector Framework)
Le connecteur de données journaux d’audit Azure DevOps vous permet d’ingérer des événements d’audit d’Azure DevOps dans Microsoft Sentinel. Ce connecteur de données est créé à l’aide de Microsoft Sentinel Codeless Connector Framework, ce qui garantit une intégration transparente. Il tire parti de l’API Journaux d’audit Azure DevOps pour extraire des événements d’audit détaillés et prend en charge les transformations de temps d’ingestion basées sur DCR. Ces transformations permettent d’analyser les données d’audit reçues dans une table personnalisée pendant l’ingestion, ce qui améliore les performances des requêtes en éliminant la nécessité d’analyser supplémentaire. À l’aide de ce connecteur, vous pouvez bénéficier d’une visibilité améliorée de votre environnement Azure DevOps et simplifier vos opérations de sécurité.

Tables Log Analytics :
- ADOAuditLogs_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Prérequis Azure DevOps : vérifiez les éléments suivants :
1. Inscrivez une application Entra dans le Centre d’administration Microsoft Entra sous Inscriptions d’applications.
2. Dans « Autorisations d’API », ajoutez des autorisations à « Azure DevOps - vso.auditlog ».
3. Dans « Certificats & secrets », générez « Secret client ».
4. Dans « Authentification », ajoutez l’URI de redirection : «https://portal.azure.com/TokenAuthorize/ExtensionName/Microsoft_Azure_Security_Insights ».
5. Dans les paramètres Azure DevOps , activez le journal d’audit et définissez le journal d’audit Afficher l’utilisateur. Audit Azure DevOps.
6. Vérifiez que l’utilisateur affecté pour connecter le connecteur de données dispose de l’autorisation Afficher les journaux d’audit explicitement définie sur Autoriser à tout moment. Cette autorisation est essentielle pour réussir l’ingestion de journal. Si l’autorisation est révoquée ou non accordée, l’ingestion de données échoue ou est interrompue.

Microsoft Corporation
Azure Event Hub
Azure Event Hubs est une plateforme de streaming de Big Data et un service d’ingestion d’événements. Il peut recevoir et traiter des millions d’événements par seconde. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic Azure Event Hub dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Policy: Owner role assigned for each policy assignment scope

Microsoft Corporation
Azure Firewall
Connectez-vous au Pare-feu Azure. Le Pare-feu Azure est un service de sécurité réseau cloud managé qui protège vos ressources de réseau virtuel Azure. Il s’agit d’un service de pare-feu avec état intégral, doté d’une haute disponibilité intégrée et d’une scalabilité illimitée dans le cloud. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AzureDiagnostics
- AZFWApplicationRule
- AZFWFlowTrace
- AZFWFatFlow
- AZFWNatRule
- AZFWDnsQuery
- AZFWIdpsSignature
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRule
- AZFWThreatIntel

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Azure Key Vault
Azure Key Vault est un service cloud permettant de stocker et d’accéder en toute sécurité aux secrets. Un secret est tout ce que vous souhaitez contrôler étroitement l’accès, comme les clés API, les mots de passe, les certificats ou les clés de chiffrement. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic Azure Key Vault dans Microsoft Sentinel, afin de pouvoir surveiller en continu l'activité de toutes vos instances. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Azure Kubernetes Service (AKS)
AKS (Azure Kubernetes service) est un service d’orchestration de conteneurs open source complètement managé qui vous permet de déployer, de mettre à l’échelle et de gérer des conteneurs Docker et des applications basées sur des conteneurs dans un environnement de cluster. Ce connecteur vous permet de diffuser en streaming vos journaux de diagnostic AKS (Azure Kubernetes Service) dans Microsoft Sentinel, ce qui vous permet de superviser continuellement l’activité dans toutes vos instances. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Azure Logic Apps
Azure Logic Apps est une plateforme cloud pour la création et l’exécution de workflows automatisés qui intègrent vos applications, données, services et systèmes. Ce connecteur vous permet d’envoyer en streaming vos journaux de diagnostic Azure Logic Apps dans Microsoft Sentinel, afin que vous puissiez superviser en permanence l’activité.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Policy: Owner role assigned for each policy assignment scope

Microsoft Corporation
Azure Service Bus
Azure Service Bus est un répartiteur de messages d’entreprise entièrement géré avec des files d’attente de messages et des rubriques de publication-abonnement (dans un espace de noms). Ce connecteur vous permet de diffuser en streaming vos journaux de diagnostic Azure Service Bus dans Microsoft Sentinel, ce qui vous permet de superviser en continu l’activité.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Policy: Owner role assigned for each policy assignment scope

Microsoft Corporation
Bases de données Azure SQL
Azure SQL est un moteur de base de données PaaS (Platform-as-a-Service) complètement managé qui prend en charge la plupart des fonctions de gestion de base de données telles que la mise à niveau, la mise à jour corrective, les sauvegardes et la surveillance, sans nécessiter l’intervention de l’utilisateur. Ce connecteur vous permet d’envoyer les journaux d’audit et de diagnostic de vos bases de données Azure SQL vers Microsoft Sentinel, ce qui vous permet de surveiller en permanence l’activité de toutes vos instances.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Compte de stockage Azure
Le compte Stockage Azure est une solution cloud pour les scénarios modernes de stockage de données. Il contient tous vos objets de données : blobs, fichiers, files d’attente, tables et disques. Ce connecteur vous permet de diffuser en continu les journaux de diagnostic des comptes de stockage Azure dans votre espace de travail Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité dans toutes vos instances et de détecter les activités malveillantes au sein de votre organisation. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AzureMetrics
- StorageBlobLogs
- StorageQueueLogs
- StorageTableLogs
- StorageFileLogs

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Policy: Owner role assigned for each policy assignment scope

Microsoft Corporation
Azure Stream Analytics
Azure Stream Analytics est un moteur complexe d’analyse et de traitement d’événements en temps réel conçu pour analyser et traiter de grands volumes de données diffusées, ou de données diffusées rapidement à partir de nombreuses sources à la fois. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic du hub Azure Stream Analytics dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Policy: Owner role assigned for each policy assignment scope

Microsoft Corporation
Pare-feu d’applications web Azure (WAF)
Connectez-vous à Azure Web Application Firewall (WAF) pour Application Gateway, Front Door ou CDN. Ce pare-feu d’applications web (WAF) protège vos applications contre les vulnérabilités web courantes telles que l’injection SQL et les scripts intersites, et vous permet de personnaliser les règles afin de réduire le nombre de faux positifs. Les instructions pour diffuser en continu vos journaux de pare-feu d’applications web Microsoft dans Microsoft Sentinel sont affichées pendant le processus d’installation. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
BETTER Mobile Threat Defense (MTD)
Le connecteur BETTER MTD permet aux entreprises de connecter leurs instances Better MTD à Microsoft Sentinel, d’afficher leurs données dans des tableaux de bord, de créer des alertes personnalisées, de les utiliser pour déclencher des playbooks et d’étendre des fonctionnalités de repérage des menaces. Cela fournit aux utilisateurs davantage d’informations sur les appareils mobiles de leur organisation et leur offre la possibilité d’analyser rapidement la posture de sécurité mobile actuelle, ce qui améliore leurs capacités globales SecOps.

Tables Log Analytics :
- BetterMTDIncidentLog_CL
- BetterMTDDeviceLog_CL
- BetterMTDNetflowLog_CL
- BetterMTDAppLog_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Better Mobile Security Inc.
Bitglass (à l’aide d’Azure Functions)
The Bitglass data connector provides the capability to retrieve security event logs of the Bitglass services and more events into Microsoft Sentinel through the REST API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- BitglassLogs_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : BitglassToken et BitglassServiceURL sont nécessaires pour effectuer des appels d’API.

Microsoft Corporation
Connecteur de données Bitsight (à l’aide d’Azure Functions)
The BitSight Data Connector supports evidence-based cyber risk monitoring by bringing BitSight data in Microsoft Sentinel.

Tables Log Analytics :
- Alerts_data_CL
- BitsightBreaches_data_CL
- BitsightCompany_details_CL
- BitsightCompany_rating_details_CL
- BitsightDiligence_historical_statistics_CL
- BitsightDiligence_statistics_CL
- BitsightFindings_data_CL
- BitsightFindings_summary_CL
- BitsightGraph_data_CL
- BitsightIndustrial_statistics_CL
- BitsightObservation_statistics_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : Le jeton d’API BitSight est requis. See the documentation to learn more about API Token.

BitSight Support
Journaux des événements Bitwarden
Ce connecteur fournit un aperçu de l’activité de votre organisation Bitwarden, telle que l’activité de l’utilisateur (connecté, mot de passe modifié, 2fa, etc.), l’activité de chiffrement (créée, mise à jour, supprimée, partagée, etc.), l’activité de collecte, l’activité de l’organisation, etc.

Tables Log Analytics :
- BitwardenEventLogs

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- ID client bitwarden et clé secrète client : votre clé API se trouve dans la console d’administration de l’organisation Bitwarden. Please see Bitwarden documentation for more information.

Bitwarden Inc
Box (à l’aide d’Azure Functions)
Le connecteur de données Box permet d’ingérer les événements d’entreprise Box dans Microsoft Sentinel à l’aide de l’API REST Box. Refer to Box documentation for more information.

Tables Log Analytics :
- BoxEvents_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API Box : le fichier JSON de configuration Box est requis pour l’authentification JWT de l’API REST Box. For more information, see JWT authentication.

Microsoft Corporation
Box Events (CCF)
Le connecteur de données Box permet d’ingérer les événements d’entreprise Box dans Microsoft Sentinel à l’aide de l’API REST Box. Refer to Box documentation for more information.

Tables Log Analytics :
- BoxEventsV2_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Informations d’identification de l’API Box : l’API Box nécessite un ID client Box App et une clé secrète client pour s’authentifier. Pour plus d’informations, consultez l’octroi des informations d’identification du client

- ID Box Enterprise : l’ID Box Enterprise est requis pour établir la connexion. Consultez la documentation pour rechercher l’ID d’entreprise

Microsoft Corporation
Check Point CloudGuard CNAPP Connector pour Microsoft Sentinel
The CloudGuard data connector enables the ingestion of security events from the CloudGuard API into Microsoft Sentinel™, using Microsoft Sentinel’s Codeless Connector Framework. Le connecteur prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité entrantes en colonnes personnalisées. Ce processus de pré-analyse élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances des requêtes de données.

Tables Log Analytics :
- CloudGuard_SecurityEvents_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Clé API CloudGuard : reportez-vous aux instructions fournies ici pour générer une clé API.

Check Point
Cisco ASA/FTD via AMA
Le connecteur de pare-feu Cisco ASA vous permet de connecter facilement vos journaux Cisco ASA à Microsoft Sentinel, de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer les enquêtes. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité.

Tables Log Analytics :
- CommonSecurityLog

Prise en charge des règles de collecte de données :
Transformation de l’espace de travail DCR

Prerequisites:
- Pour collecter des données à partir de machines virtuelles non-Azure, azure Arc doit être installé et activé. Learn more

Microsoft Corporation
Cisco Duo Security (à l’aide d’Azure Functions)
The Cisco Duo Security data connector provides the capability to ingest authentication logs, administrator logs, telephony logs, offline enrollment logs and Trust Monitor events into Microsoft Sentinel using the Cisco Duo Admin API. Refer to API documentation for more information.

Tables Log Analytics :
- CiscoDuo_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API Cisco Duo : les informations d’identification de l’API Cisco Duo avec autorisation Accorder le journal de lecture sont requises pour l’API Cisco Duo. See the documentation to learn more about creating Cisco Duo API credentials.

Microsoft Corporation
Cisco ETD (à l’aide d’Azure Functions)
Le connecteur extrait des données de l’API ETD pour l’analyse des menaces

Tables Log Analytics :
- CiscoETD_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- API Protection contre les menaces par e-mail, clé API, ID client et Secret : vérifiez que vous disposez de la clé API, de l’ID client et de la clé secrète.

N/A
Cisco Meraki (à l’aide de l’API REST)
The Cisco Meraki connector allows you to easily connect your Cisco Meraki organization events (Security events, Configuration Changes and API Requests) to Microsoft Sentinel. Le connecteur de données utilise l’API REST Cisco Meraki pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données reçues et ingèrent dans des tables ASIM et personnalisées dans votre espace de travail Log Analytics. Ce connecteur de données bénéficie de fonctionnalités telles que le filtrage au moment de l’ingestion basé sur DCR, la normalisation des données.

Schéma ASIM pris en charge :
1. Session réseau
2. Session web
3. Événement d’audit

Tables Log Analytics :
- ASimNetworkSessionLogs

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Clé API REST Cisco Meraki : activez l’accès à l’API dans Cisco Meraki et générez la clé API. Please refer to Cisco Meraki official documentation for more information.

- Id de l’organisation Cisco Meraki : obtenez votre ID d’organisation Cisco Meraki pour récupérer les événements de sécurité. Follow the steps in the documentation to obtain the Organization Id using the Meraki API Key obtained in previous step.

Microsoft Corporation
Cisco Secure Endpoint (via Codeless Connector Framework) (préversion)
The Cisco Secure Endpoint (formerly AMP for Endpoints) data connector provides the capability to ingest Cisco Secure Endpoint audit logs and events into Microsoft Sentinel.

Tables Log Analytics :
- CiscoSecureEndpointAuditLogsV2_CL
- CiscoSecureEndpointEventsV2_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Informations d’identification/régions de l’API Cisco Secure Endpoint : pour créer des informations d’identification d’API et comprendre les régions, suivez le lien de document fourni ici. Click here.

Microsoft Corporation
Cisco Software Defined WAN
The Cisco Software Defined WAN(SD-WAN) data connector provides the capability to ingest Cisco SD-WAN Syslog and Netflow data into Microsoft Sentinel.

Tables Log Analytics :
- Syslog
- CiscoSDWANNetflow_CL

Prise en charge des règles de collecte de données :
Transformation d’espace de travail DCR

Cisco Systems
Cisco Umbrella (à l’aide d’Azure Functions)
The Cisco Umbrella data connector provides the capability to ingest Cisco Umbrella events stored in Amazon S3 into Microsoft Sentinel using the Amazon S3 REST API. Pour plus d’informations, consultez la documentation sur la gestion des journaux Cisco Umbrella.

Tables Log Analytics :
- Cisco_Umbrella_dns_CL
- Cisco_Umbrella_proxy_CL
- Cisco_Umbrella_ip_CL
- Cisco_Umbrella_cloudfirewall_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST Amazon S3 : ID de clé d’accès AWS, clé d’accès au secret AWS, le nom du compartiment AWS S3 est requis pour l’API REST Amazon S3.

Microsoft Corporation
Claroty xDome
Claroty xDome delivers comprehensive security and alert management capabilities for healthcare and industrial network environments. Il est conçu pour mapper plusieurs types sources, identifier les données collectées et l’intégrer dans des modèles de données Microsoft Sentinel. Cela entraîne la possibilité de surveiller toutes les menaces potentielles dans vos environnements médicaux et industriels dans un même emplacement, ce qui entraîne une surveillance de sécurité plus efficace et une posture de sécurité plus forte.

Tables Log Analytics :
- CommonSecurityLog

Prise en charge des règles de collecte de données :
Transformation d’espace de travail DCR

Support technique xDome
Prévisualise (préversion) (à l’aide d’Azure Functions)
The Cloudflare data connector provides the capability to ingest Cloudflare logs into Microsoft Sentinel using the Cloudflare Logpush and Azure Blob Storage. Refer to Cloudflare documentation for more information.

Tables Log Analytics :
- Cloudflare_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Chaîne de connexion et nom de conteneur stockage Blob Azure : chaîne de connexion stockage Blob Azure et nom de conteneur vers lequel les journaux sont envoyés (push) par Débogage Logpush. Pour plus d’informations, consultez la création d’un conteneur Stockage Blob Azure.

Cloudflare
Cognni
Le connecteur Cognni offre une intégration rapide et simple à Microsoft Sentinel. Vous pouvez utiliser Cognni pour mapper de manière autonome vos informations importantes non classifiées et détecter les incidents associés. Cela vous permet d’identifier les risques liés à vos informations importantes, de comprendre la gravité des incidents et d’investiguer les détails que vous devez corriger de manière suffisamment rapide pour faire la différence.

Tables Log Analytics :
- CognniIncidents_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Cognni
Cohesity (à l’aide d’Azure Functions)
Les applications de fonction Cohesity permettent d’ingérer les alertes de rançongiciel Cohesity Datahawk dans Microsoft Sentinel.

Tables Log Analytics :
- Cohesity_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Chaîne de connexion et nom de conteneur stockage Blob Azure : chaîne de connexion et nom de conteneur Stockage Blob Azure

Cohesity
CommvaultSecurityIQ (à l’aide d’Azure Functions)
Cette fonction Azure permet aux utilisateurs Commvault d’ingérer des alertes/événements dans leur instance Microsoft Sentinel. Avec les règles analytiques, Microsoft Sentinel peut créer automatiquement des incidents Microsoft Sentinel à partir d’événements et de journaux entrants.

Tables Log Analytics :
- CommvaultSecurityIQ_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- URL du point de terminaison de l’environnement Commvault : veillez à suivre la documentation et à définir la valeur secrète dans KeyVault

- Jeton QSDK Commvault : veillez à suivre la documentation et à définir la valeur secrète dans KeyVault

Commvault
Exportateur de connecteur Corelight
The Corelight data connector enables incident responders and threat hunters who use Microsoft Sentinel to work faster and more effectively. The data connector enables ingestion of events from Zeek and Suricata via Corelight Sensors into Microsoft Sentinel.

Tables Log Analytics :
- Corelight

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Corelight
Cortex XDR - Incidents
Connecteur de données personnalisé de DEFEND pour utiliser l’API Cortex afin d’intégrer les incidents de la plateforme Cortex XDR dans Microsoft Sentinel.

Tables Log Analytics :
- CortexXDR_Incidents_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Informations d’identification de l’API Cortex : Le jeton d’API Cortex est requis pour l’API REST. For more information, see API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

DEFEND Ltd.
Cribl
The Cribl connector allows you to easily connect your Cribl (Cribl Enterprise Edition - Standalone) logs with Microsoft Sentinel. Cela vous permet d’avoir une meilleure vision de la sécurité des pipelines de données de votre organisation.

Tables Log Analytics :
- CriblInternal_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Cribl
CrowdStrike API Data Connector (via Codeless Connector Framework) (préversion)
Le connecteur de données CrowdStrike permet d’ingérer des journaux à partir de l’API CrowdStrike dans Microsoft Sentinel. Ce connecteur est basé sur Microsoft Sentinel Codeless Connector Framework et utilise l’API CrowdStrike pour extraire des journaux d’activité pour les alertes, les détections, les hôtes, les incidents et les vulnérabilités. Il prend en charge les transformations de temps d’ingestion basées sur DCR afin que les requêtes puissent s’exécuter plus efficacement.

Tables Log Analytics :
- CrowdStrikeVulnerabilities

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
CrowdStrike Falcon Adversary Intelligence (à l’aide d’Azure Functions)
The CrowdStrike Falcon Indicators of Compromise connector retrieves the Indicators of Compromise from the Falcon Intel API and uploads them Microsoft Sentinel Threat Intel.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- ID client de l’API CrowdStrike et clé secrète client : CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Les informations d’identification CrowdStrike doivent avoir une étendue de lecture d’indicateurs (Falcon Intelligence).

Microsoft Corporation
CrowdStrike Falcon Data Replicator (AWS S3) (via Codeless Connector Framework)
Le connecteur Crowdstrike Falcon Data Replicator (S3) permet d’ingérer des données d’événement FDR à partir du compartiment AWS S3 où les journaux FDR ont été diffusés en continu. Le connecteur permet d’obtenir les événements de Falcon Agents pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc.

NOTE:

1. La licence FDR CrowdStrike doit être disponible et activée.

2. Le connecteur nécessite qu’un rôle IAM soit configuré sur AWS pour autoriser l’accès au compartiment AWS S3 et peut ne pas convenir aux environnements qui tirent parti de CrowdStrike - compartiments managés.

3. Pour les environnements qui tirent parti des compartiments gérés par CrowdStrike, configurez le connecteur CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).

Tables Log Analytics :
- CrowdStrike_Additional_Events_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (à l’aide d’Azure Functions)
Ce connecteur permet l’ingestion de données FDR dans Microsoft Sentinel à l’aide d’Azure Functions pour prendre en charge l’évaluation des risques de sécurité potentiels, l’analyse des activités de collaboration, l’identification des problèmes de configuration et d’autres insights opérationnels.

NOTE:

1. La licence FDR CrowdStrike doit être disponible et activée.

2. Le connecteur utilise une authentification basée sur clé et secret et convient aux compartiments managés CrowdStrike.

3. Pour les environnements qui utilisent un compartiment AWS S3 entièrement détenu, Microsoft recommande d’utiliser le connecteur CrowdStrike Falcon Data Replicator (AWS S3).

Tables Log Analytics :
- CrowdStrikeReplicatorV2

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL est nécessaire. For more information, see data pulling. Pour commencer, contactez le support CrowdStrike. À votre demande, ils créent un compartiment Amazon Web Services (AWS) managé par CrowdStrike à des fins de stockage à court terme, ainsi qu’un compte SQS (service de file d’attente simple) pour surveiller les modifications apportées au compartiment S3.

Microsoft Corporation
CTERA Syslog
Le connecteur de données CTERA pour Microsoft Sentinel offre des fonctionnalités de monitoring et de détection des menaces pour votre solution CTERA.
Il comprend un classeur pour visualiser le total de toutes les opérations par type, les suppressions et les opérations d’accès refusé.
Il fournit également des règles analytiques qui détectent les incidents liés à des rançongiciels et vous alertent en cas de blocage d’un utilisateur en raison d’une activité de rançongiciel suspecte.
En outre, il vous aide à identifier des modèles critiques tels que les événements d’accès refusés par lots, ce qui permet une gestion des menaces et une réponse proactives.

Tables Log Analytics :
- Syslog

Prise en charge des règles de collecte de données :
Transformation d’espace de travail DCR

CTERA
Journaux personnalisés via AMA
De nombreuses applications journalisent des informations sur des fichiers texte ou JSON au lieu de services de journalisation standard, tels que les journaux d’événements Windows, Syslog ou CEF. Le connecteur de données journaux personnalisés vous permet de collecter des événements à partir de fichiers sur des ordinateurs Windows et Linux et de les diffuser en continu vers des tables de journaux personnalisées que vous avez créées. Lors de la diffusion en continu des données, vous pouvez analyser et transformer le contenu à l’aide de la DCR. Après avoir collecté les données, vous pouvez appliquer des règles analytiques, la chasse, la recherche, le renseignement sur les menaces, les enrichissements et bien plus encore.

REMARQUE : Utilisez ce connecteur pour les appareils suivants : Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, serveur Apache HTTP, Apache Tomcat, plateforme d’application Jboss Enterprise, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP and AI vectra stream.

Tables Log Analytics :
- JBossEvent_CL<br>
- JuniperIDP_CL<br>
- ApacheHTTPServer_CL<br>
- Tomcat_CL<br>
- meraki_CL<br>
- VectraStream_CL<br>
- MarkLogicAudit_CL<br>
- MongoDBAudit_CL<br>
- NGINX_CL<br>
- OracleWebLogicServer_CL<br>
- PostgreSQL_CL<br>
- SquidProxy_CL<br>
- Ubiquiti_CL<br>
- vcenter_CL<br>
- ZPA_CL<br>
- SecurityBridgeLogs_CL<br>

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Permissions: To collect data from non-Azure VMs, they must have Azure Arc installed and enabled. Learn more

Microsoft Corporation
Intégration de Cyber Blind Spot (à l’aide d’Azure Functions)
Dans l’intégration de l’API, vous avez la possibilité de récupérer tous les problèmes liés à vos organisations CBS via une interface RESTful.

Tables Log Analytics :
- CBSLog_Azure_1_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

Cyber Threat Management 360
CyberArkAudit (à l’aide d’Azure Functions)
The CyberArk Audit data connector provides the capability to retrieve security event logs of the CyberArk Audit service and more events into Microsoft Sentinel through the REST API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- CyberArk_AuditEvents_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Auditer les détails et les informations d’identification des connexions d’API REST : OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint et AuditApiBaseUrl sont nécessaires pour effectuer des appels d’API.

CyberArk Support
CyberArkEPM (à l’aide d’Azure Functions)
Le connecteur de données CyberArk Endpoint Privilege Manager permet de récupérer les journaux d’événements de sécurité des services CyberArk EPM et d’autres événements dans Microsoft Sentinel par l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- CyberArkEPM_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : CyberArkEPMUsername, CyberArkEPMPassword et CyberArkEPMServerURL sont nécessaires pour effectuer des appels d’API.

CyberArk Support
Journaux de sécurité de cyberpion
Le connecteur de données Cyberpion Security Logs, ingère les journaux d’activité du système Cyberpion directement dans Sentinel. Le connecteur permet aux utilisateurs de visualiser leurs données, de créer des alertes et des incidents et d’améliorer les enquêtes de sécurité.

Tables Log Analytics :
- CyberpionActionItems_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Cyberpion Subscription: A subscription and account is required for cyberpion logs. On peut être acquis ici.

Cyberpion
Alertes actionnables Cybersixgill (à l’aide d’Azure Functions)
Les alertes actionnables fournissent des alertes personnalisées basées sur des ressources configurées

Tables Log Analytics :
- CyberSixgill_Alerts_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : Client_ID et Client_Secret sont nécessaires pour effectuer des appels d’API.

Cybersixgill
Packages de chasse à cyborg Security HUNTER
Cyborg Security est un fournisseur de premier plan de solutions de repérage avancé des menaces dont la mission est d’offrir aux organisations une technologie d’avant-garde et des outils collaboratifs pour détecter et répondre de manière proactive aux cybermenaces. L’offre phare de Cyborg Security, la Plateforme HUNTER, associe des analyses puissantes, du contenu organisé de repérage des menaces et des fonctionnalités complètes de gestion du repérage afin de créer un écosystème dynamique d’opérations de repérage efficaces.

Suivez les étapes pour accéder à la communauté de Cyborg Security et configurer les fonctionnalités « Ouvrir dans l’outil » dans la Plateforme HUNTER.

Tables Log Analytics :
- SecurityEvent

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Cyborg Security
Alertes de surface d’attaque Cyfirma
N/A

Tables Log Analytics :
- CyfirmaASCertificatesAlerts_CL
- CyfirmaASConfigurationAlerts_CL
- CyfirmaASDomainIPReputationAlerts_CL
- CyfirmaASOpenPortsAlerts_CL
- CyfirmaASCloudWeaknessAlerts_CL
- CyfirmaASDomainIPVulnerabilityAlerts_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Cyfirma
Alertes Cyfirma Brand Intelligence
N/A

Tables Log Analytics :
- CyfirmaBIDomainITAssetAlerts_CL
- CyfirmaBIExecutivePeopleAlerts_CL
- CyfirmaBIProductSolutionAlerts_CL
- CyfirmaBISocialHandlersAlerts_CL
- CyfirmaBIMaliciousMobileAppsAlerts_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Cyfirma
Alertes de risque numérique Cyfirma
Le connecteur de données Des alertes Cyfirma DeCYFIR/DeTCT permet l’ingestion de journal transparente à partir de l’API DeCYFIR/DeTCT dans Microsoft Sentinel. Basé sur Microsoft Sentinel Codeless Connector Framework, il tire parti de l’API Alertes DeCYFIR pour récupérer les journaux. En outre, il prend en charge les transformations de temps d’ingestion basées sur DCR, qui analysent les données de sécurité dans une table personnalisée pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, d’améliorer les performances et l’efficacité.

Tables Log Analytics :
- CyfirmaDBWMPhishingAlerts_CL
- CyfirmaDBWMRansomwareAlerts_CL
- CyfirmaDBWMDarkWebAlerts_CL
- CyfirmaSPESourceCodeAlerts_CL
- CyfirmaSPEConfidentialFilesAlerts_CL
- CyfirmaSPEPIIAndCIIAlerts_CL
- CyfirmaSPESocialThreatAlerts_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Cyfirma
Événements de sécurité Cynerio
The Cynerio connector allows you to easily connect your Cynerio Security Events with Microsoft Sentinel, to view IDS Events. Cela vous donne plus d’informations sur la position de sécurité du réseau de votre organisation et améliore vos capacités d’opération de sécurité.

Tables Log Analytics :
- CynerioEvent_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Cynerio
Connecteur Darktrace pour l’API REST Microsoft Sentinel
Le connecteur d’API REST Darktrace envoie des événements en temps réel de Darktrace à Microsoft Sentinel et est conçu pour être utilisé avec la solution Darktrace pour Sentinel. Le connecteur écrit les journaux dans une table de journal personnalisée intitulée « darktrace_model_alerts_CL » ; les violations de modèles, les incidents d’analyste d’IA, les alertes système et les alertes e-mail peuvent être ingérés. Des filtres supplémentaires peuvent être configurés dans la page Configuration du système Darktrace. Les données sont envoyées à Sentinel à partir des maîtres Darktrace.

Tables Log Analytics :
- darktrace_model_alerts_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Darktrace Prerequisites: To use this Data Connector a Darktrace master running v5.2+ is required.
Les données sont envoyées à l’API collecteur de données HTTP Azure Monitor par le biais de HTTPS à partir des maîtres Darktrace. Par conséquent, la connectivité sortante du maître Darktrace vers l’API REST Microsoft Sentinel est requise.

- Filtrer les données Darktrace : pendant la configuration, il est possible de configurer un filtrage supplémentaire sur la page Configuration du système Darktrace pour limiter la quantité ou les types de données envoyées.

- Essayez la solution Darktrace Sentinel : vous pouvez tirer le meilleur parti de ce connecteur en installant la solution Darktrace pour Microsoft Sentinel. Cela fournit des classeurs pour visualiser les données d’alerte et les règles d’analyse pour créer automatiquement des alertes et des incidents à partir de violations de modèle Darktrace et d’incidents d’analyste ia.

Darktrace
Datalake2Sentinel
Cette solution installe le connecteur Datalake2Sentinel qui est créé à l’aide de l’infrastructure du connecteur sans code et vous permet d’ingérer automatiquement des indicateurs de renseignement sur les menaces à partir de la plateforme CTI de Datalake Orange Cyberdefense dans Microsoft Sentinel via l’API REST Upload Indicators. Après l’installation de la solution, configurez et activez ce connecteur de données en suivant l’aide de la vue Gérer la solution.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Orange Cyberdefense
Dataminr Pulse Alerts Data Connector (à l’aide d’Azure Functions)
Dataminr Pulse Alerts Data Connector associe notre intelligence en temps réel basée sur l’IA à Microsoft Sentinel pour accélérer la détection et la réponse aux menaces.

Tables Log Analytics :
- DataminrPulse_Alerts_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations Dataminr requises :

a. Users must have a valid Dataminr Pulse API client ID and secret to use this data connector.

b. Une ou plusieurs watchlists Dataminr Pulse doivent être configurées sur le site web Dataminr Pulse.

Dataminr Support
Derdack SIGNL4
En cas de défaillance de systèmes critiques ou d’incidents de sécurité, SIGNL4 établit un pont correspondant au « dernier kilomètre » à destination de votre personnel, de vos ingénieurs, de vos administrateurs informatiques et de vos employé sur le terrain. Il ajoute des alertes mobiles en temps réel à vos services, systèmes et processus en un rien de temps. SIGNL4 envoie des notifications par le biais d’envois (push), de SMS et d’appels vocaux mobiles persistants avec accusé de réception, suivi et escalade. La planification intégrée des tâches et des équipes permet d’alerter les personnes concernées au bon moment.

En savoir plus >

Tables Log Analytics :
- SecurityIncident

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Derdack
Recherche d’ombres numériques (à l’aide d’Azure Functions)
Le connecteur de données Digital Shadows permet d’ingérer les incidents et alertes de Digital Shadows Searchlight dans Microsoft Sentinel à l’aide de l’API REST. Le connecteur fournit des informations sur les incidents et les alertes qui permettent d’examiner, de diagnostiquer et d’analyser les risques et menaces de sécurité potentiels.

Tables Log Analytics :
- DigitalShadows_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : l’ID de compte Digital Shadows, le secret et la clé sont requis. Consultez la documentation pour en savoir plus sur l’API sur le https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Digital Shadows
DNS
Le connecteur de journal DNS vous permet de connecter facilement vos journaux d’analyse et d’audit DNS à Microsoft Sentinel, ainsi qu’à d’autres données associées, afin d’améliorer l’investigation.

Lorsque vous activez la collecte de journaux DNS, vous pouvez :
- Identifiez les clients qui tentent de résoudre les noms de domaine malveillants.
- Identifier les enregistrements de ressources obsolètes.
- Identifiez les noms de domaine fréquemment interrogés et les clients DNS talkatives.
- Afficher la charge des demandes sur les serveurs DNS.
- Afficher les échecs d’inscription DNS dynamiques.

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- DnsEvents
- DnsInventory

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Connecteur de données Doppel
Le connecteur de données est basé sur Microsoft Sentinel pour les événements et alertes Doppel et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité reçues dans des colonnes personnalisées afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances.

Tables Log Analytics :
- DoppelTable_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- ID client Microsoft Entra, ID client et Secret client : Microsoft Entra ID nécessite un ID client et une clé secrète client pour authentifier votre application. En outre, l’accès au niveau administrateur général/propriétaire est requis pour affecter à l’application inscrite à l’entrée un rôle Éditeur de métriques de surveillance de groupe de ressources.

- Nécessite l’ID d’espace de travail, DCE-URI, DCR-ID : vous devez obtenir l’ID d’espace de travail Log Analytics, l’URI d’ingestion des journaux DCE et l’ID immuable DCR pour la configuration.

Doppel
Dragos Notifications via Cloud Sitestore
The Dragos Platform is the leading Industrial Cyber Security platform it offers a comprehensive Operational Technology (OT) cyber threat detection built by unrivaled industrial cybersecurity expertise. Cette solution permet d’afficher les données de notification de la plateforme Dragos dans Microsoft Sentinel afin que les analystes de sécurité puissent trier les événements potentiels de cybersécurité qui se produisent dans leurs environnements industriels.

Tables Log Analytics :
- DragosAlerts_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Accès à l’API Sitestore Dragos : compte d’utilisateur Sitestore disposant de l’autorisation notification:read . Ce compte doit également disposer d’une clé API qui peut être fournie à Sentinel.

Dragos Inc
Connecteur d’événements Druva
Permet d’ingérer les événements Druva à partir des API Druva

Tables Log Analytics :
- DruvaSecurityEvents_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Accès à l’API Druva : l’API Druva nécessite un ID client et une clé secrète client pour s’authentifier

Druva Inc
Dynamics 365 Finance and Operations
Dynamics 365 for Finance and Operations est une solution complète de planification des ressources d’entreprise (ERP) qui combine des fonctionnalités financières et opérationnelles pour aider les entreprises à gérer leurs opérations quotidiennes. Elle offre une gamme de fonctionnalités qui permet aux entreprises de rationaliser leurs processus, d’automatiser les tâches et d’obtenir des informations précieuses sur leurs performances opérationnelles.

Le connecteur de données Dynamics 365 Finance and Operations ingère les activités d’administration Dynamics 365 Finance et Operations, ainsi que les journaux d’audit des processus métier et des activités d’application utilisateur dans Microsoft Sentinel.

Tables Log Analytics :
- FinanceOperationsActivity_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Inscription de l’application Microsoft Entra : ID client d’application et secret utilisés pour accéder à Dynamics 365 Finance and Operations.

Microsoft Corporation
Dynamics365
Le connecteur d’activités Dynamics 365 Common Data Service (CDS) fournit des informations sur les activités d’administration, d’utilisateur et de support, ainsi que sur les événements de journalisation Microsoft Social Engagement. En connectant des journaux Dynamics 365 CRM à Microsoft Sentinel, vous pouvez afficher ces données dans des classeurs, les utiliser pour créer des alertes personnalisées et améliorer votre processus d’investigation.

Tables Log Analytics :
- Dynamics365Activity

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Dynatrace Attacks
Ce connecteur utilise l’API REST de Dynatrace Attacks pour ingérer les attaques détectées dans l’analytique des journaux d'activité Microsoft Sentinel

Tables Log Analytics :
- DynatraceAttacks_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide avec Application Security activé, en savoir plus sur la plateforme Dynatrace.

- Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace, le jeton doit avoir une étendue d’attaques en lecture (attaques.read).

Dynatrace
Journaux d’audit Dynatrace
Ce connecteur utilise l’API REST Dynatrace Audit Logs pour ingérer les journaux d’audit des locataires dans Microsoft Sentinel Log Analytics

Tables Log Analytics :
- DynatraceAuditLogs_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide, pour en savoir plus sur la plateforme Dynatrace , démarrez votre essai gratuit.

- Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace, le jeton doit avoir l’étendue des journaux d’audit en lecture (auditLogs.read).

Dynatrace
Dynatrace Problems
Ce connecteur utilise l’API REST Dynatrace Problem pour ingérer les événements de problème dans Microsoft Sentinel Log Analytics

Tables Log Analytics :
- DynatraceProblems_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide, pour en savoir plus sur la plateforme Dynatrace , démarrez votre essai gratuit.

- Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace, le jeton doit avoir des problèmes de lecture (problèmes.read ).

Dynatrace
Vulnérabilités du runtime Dynatrace
Ce connecteur utilise l’API REST du problème de sécurité Dynatrace pour ingérer les vulnérabilités d’exécution détectées dans Microsoft Sentinel Log Analytics.

Tables Log Analytics :
- DynatraceSecurityProblems_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide avec Application Security activé, en savoir plus sur la plateforme Dynatrace.

- Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace, le jeton doit avoir des problèmes de sécurité en lecture (securityProblems.read).

Dynatrace
Agent élastique (autonome)
The Elastic Agent data connector provides the capability to ingest Elastic Agent logs, metrics, and security data into Microsoft Sentinel.

Tables Log Analytics :
- ElasticAgentEvent

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Inclure des conditions préalables personnalisées si la connectivité nécessite - sinon supprimer les douanes : Description de tout prérequis personnalisé

Microsoft Corporation
Événements de sécurité ermes Browser
Événements de sécurité ermes Browser

Tables Log Analytics :
- ErmesBrowserSecurityEvents_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- ID client ermes et clé secrète client : activez l’accès à l’API dans Ermes. Pour plus d’informations, contactez le support technique Ermes Cyber Security .

Ermes Cyber Security S.p.A.
PLATEFORME DE PROTECTION DE LA FONCTION (à l’aide d’Azure Functions)
Le connecteur de données ESET Protect Platform permet aux utilisateurs d’injecter des données de détection depuis ESET Protect Platform en utilisant l’API REST d’intégration fournie. L’API REST d’intégration s’exécute en tant qu’application de fonction Azure planifiée.

Tables Log Analytics :
- IntegrationTable_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Autorisation d’inscrire une application dans l’ID Microsoft Entra : les autorisations suffisantes pour inscrire une application auprès de votre locataire Microsoft Entra sont requises.

- Autorisation d’attribuer un rôle à l’application inscrite : l’autorisation d’attribuer le rôle Serveur de publication de métriques de surveillance à l’application inscrite dans l’ID Microsoft Entra est requise.

Intégrations d’entreprise ESET
Collecteur local Exchange Security Insights
Connecteur utilisé pour envoyer (push) la configuration de la sécurité locale Exchange pour l’analyse Microsoft Sentinel

Tables Log Analytics :
- ESIExchangeConfig_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Compte de service avec rôle Gestion de l’organisation : le compte de service qui lance le script en tant que tâche planifiée doit être Gestion de l’organisation pour pouvoir récupérer toutes les informations de sécurité nécessaires.

- Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here

Community
Collecteur Exchange Security Insights Online (à l’aide d’Azure Functions)
Connecteur utilisé pour pousser la configuration de la sécurité Exchange Online pour Microsoft Sentinel Analysis

Tables Log Analytics :
- ESIExchangeOnlineConfig_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- microsoft.automation/automationaccounts permissions: Read and write permissions to create an Azure Automation with a Runbook is required. For more information, see Automation Account.

- Microsoft.Graph permissions: Groups.Read, Users.Read and Auditing.Read permissions are required to retrieve user/group information linked to Exchange Online assignments. Consultez la documentation pour découvrir plus d’informations.

- Autorisations Exchange Online : l’autorisation Exchange.ManageAsApp et le rôle lecteur général ou lecteur de sécurité sont nécessaires pour récupérer la configuration de sécurité Exchange Online. Pour en savoir plus, consultez la documentation.

- (Facultatif) Autorisations de stockage des journaux : Contributeur aux données blob de stockage à un compte de stockage lié à l’identité managée du compte Automation ou un ID d’application est obligatoire pour stocker les journaux. Pour en savoir plus, consultez la documentation.

Community
F5 BIG-IP
Le connecteur de pare-feu F5 vous permet de connecter facilement vos journaux F5 à Microsoft Sentinel, de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer les enquêtes. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité.

Tables Log Analytics :
- F5Telemetry_LTM_CL
- F5Telemetry_system_CL
- F5Telemetry_ASM_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

F5 Networks
Feedly
Ce connecteur vous permet d'ingérer des IoCs depuis Feedly.

Tables Log Analytics :
- feedly_indicators_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Conditions préalables personnalisées si nécessaire, sinon supprimez cette balise de douane : Description de toutes les conditions préalables personnalisées

Feedly Inc
Flare
Flare connector allows you to receive data and intelligence from Flare on Microsoft Sentinel.

Tables Log Analytics :
- Firework_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Autorisations Flare requises : seuls les administrateurs de l’organisation Flare peuvent configurer l’intégration de Microsoft Sentinel.

Flare
Forcepoint DLP
Le connecteur Forcepoint DLP (protection contre la perte de données) vous permet d’exporter automatiquement et en temps réel les données d’incident DLP de Forcepoint DLP vers Microsoft Sentinel. Cette fonctionnalité enrichit la visibilité des activités des utilisateurs et des incidents de perte de données, permet une corrélation supplémentaire avec les données des charges de travail Azure et d’autres flux, et améliore la capacité de supervision avec les Classeurs dans Microsoft Sentinel.

Tables Log Analytics :
- ForcepointDLPEvents_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Community
Forescout
The Forescout data connector provides the capability to ingest Forescout events into Microsoft Sentinel. Refer to Forescout documentation for more information.

Tables Log Analytics :
- ForescoutEvent

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Moniteur de propriétés de l’hôte Forescout
Le connecteur Forescout Host Property Monitor vous permet de connecter les propriétés de l’hôte à partir de la plateforme Forescout à Microsoft Sentinel, afin d’afficher, de créer des incidents personnalisés et d’améliorer l’investigation. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité.

Tables Log Analytics :
- ForescoutHostProperties_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Spécification du plug-in Forescout : assurez-vous que le plug-in Forescout Microsoft Sentinel s’exécute sur la plateforme Forescout

Microsoft Corporation
Fortinet FortiNDR Cloud
Le connecteur de données Fortinet FortiNDR Cloud offre la possibilité d’ingérer des données Fortinet FortiNDR Cloud dans Microsoft Sentinel à l’aide de l’API FortiNDR Cloud.

Tables Log Analytics :
- FncEventsSuricata_CL
- FncEventsObservation_CL
- FncEventsDetections_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- MetaStream Credentials: AWS Access Key Id, AWS Secret Access Key, FortiNDR Cloud Account Code are required to retrieve event data.

- API Credentials: FortiNDR Cloud API Token, FortiNDR Cloud Account UUID are required to retrieve detection data.

Fortinet
Garrison ULTRA Remote Logs (à l’aide d’Azure Functions)
The Garrison ULTRA Remote Logs connector allows you to ingest Garrison ULTRA Remote Logs into Microsoft Sentinel.

Tables Log Analytics :
- Garrison_ULTRARemoteLogs_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Garrison ULTRA: To use this data connector you must have an active Garrison ULTRA license.

Garrison
Journaux d’audit de pub/sous-audit GCP
Les journaux d’audit Google Cloud Platform (GCP), ingérés à partir du connecteur de Microsoft Sentinel, vous permettent de capturer trois types de journaux d’audit : les journaux d’activité d’administrateur, les journaux d’accès aux données et les journaux de transparence d’accès. Les journaux d’audit google cloud enregistrent une piste que les praticiens peuvent utiliser pour surveiller l’accès et détecter les menaces potentielles dans les ressources Google Cloud Platform (GCP).

Tables Log Analytics :
- GCPAuditLogs

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Journaux de pub/sous-équilibreur de charge GCP (via l’infrastructure du connecteur sans code).
Les journaux d’équilibreur de charge Google Cloud Platform (GCP) fournissent des insights détaillés sur le trafic réseau, en capturant les activités entrantes et sortantes. Ces journaux sont utilisés pour surveiller les modèles d’accès et identifier les menaces de sécurité potentielles dans les ressources GCP. En outre, ces journaux incluent également les journaux WAF (Web Application Firewall) GCP, ce qui améliore la capacité de détecter et d’atténuer efficacement les risques.

Tables Log Analytics :
- GCPLoadBalancerLogs_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Journaux de flux GCP Pub/Sub VPC (via l’infrastructure du connecteur sans code)
Les journaux de flux VPC (GCP) Google Cloud Platform vous permettent de capturer l’activité du trafic réseau au niveau du VPC, ce qui vous permet de surveiller les modèles d’accès, d’analyser les performances du réseau et de détecter les menaces potentielles sur les ressources GCP.

Tables Log Analytics :
- GCPVPCFlow

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Connecteur de données Gigamon AMX
Utilisez ce connecteur de données à intégrer à Gigamon Application Metadata Exporter (AMX) et obtenir des données envoyées directement à Microsoft Sentinel.

Tables Log Analytics :
- Gigamon_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Gigamon
GitHub (à l’aide de Webhooks) (à l’aide d’Azure Functions)
The GitHub webhook data connector provides the capability to ingest GitHub subscribed events into Microsoft Sentinel using GitHub webhook events. Le connecteur permet d’obtenir les événements dans Microsoft Sentinel afin d’examiner les risques de sécurité potentiels, d’analyser la collaboration de votre équipe, de diagnostiquer les problèmes de configuration, etc.

Note: If you are intended to ingest Github Audit logs, Please refer to GitHub Enterprise Audit Log Connector from "Data Connectors" gallery.

Tables Log Analytics :
- githubscanaudit_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

Microsoft Corporation
Journal d’audit GitHub Enterprise
Le connecteur de journal d’audit GitHub permet d’ingérer des journaux GitHub dans Microsoft Sentinel. En connectant les journaux d’audit GitHub à Microsoft Sentinel, vous pouvez afficher ces données dans des classeurs, les utiliser pour créer des alertes personnalisées et les exploiter pour améliorer votre processus d’investigation.

Note: If you intended to ingest GitHub subscribed events into Microsoft Sentinel, please refer to GitHub (using Webhooks) Connector from "Data Connectors" gallery.

Tables Log Analytics :
- GitHubAuditLogPolling_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Jeton d’accès personnel de l’API GitHub : vous avez besoin d’un jeton d’accès personnel GitHub pour activer l’interrogation du journal d’audit de l’organisation. Vous pouvez utiliser un jeton classique avec une étendue « read:org » OU un jeton ajusté avec l’étendue « Administration : en lecture seule ».

- Type GitHub Enterprise : ce connecteur fonctionne uniquement avec GitHub Enterprise Cloud ; il ne prend pas en charge GitHub Enterprise Server.

Microsoft Corporation
Google ApigeeX (via Codeless Connector Framework) (préversion)
Le connecteur de données Google ApigeeX offre la possibilité d’ingérer des journaux d’audit dans Microsoft Sentinel à l’aide de l’API Google Apigee. Pour plus d’informations, consultez la documentation de l’API Google Apigee .

Tables Log Analytics :
- GCPApigee

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Google Cloud Platform CDN (via Codeless Connector Framework) (préversion)
Le connecteur de données Cloud CDN de Google Cloud Platform offre la possibilité d’ingérer des journaux d’audit Cloud CDN et des journaux de trafic Cloud CDN dans Microsoft Sentinel à l’aide de l’API du Moteur de calcul. Refer the Product overview document for more details.

Tables Log Analytics :
- GCPCDN

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Google Cloud Platform Cloud IDS (via Codeless Connector Framework) (préversion)
Le connecteur de données Google Cloud Platform IDS permet d’ingérer les journaux de trafic IDS cloud, les journaux des menaces et les journaux d’audit dans Microsoft Sentinel à l’aide de l’API Google Cloud IDS. Pour plus d’informations, consultez la documentation de l’API IDS cloud .

Tables Log Analytics :
- GCPIDS

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Google Cloud Platform Cloud Monitoring (via Codeless Connector Framework) (préversion)
Le connecteur de données Google Cloud Platform Cloud Monitoring transfère les journaux de surveillance de Google Cloud vers Microsoft Sentinel en utilisant l’API Google Cloud Monitoring. Pour plus d’informations, consultez la documentation de l’API Cloud Monitoring .

Tables Log Analytics :
- GCPMonitoring

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Google Cloud Platform DNS (via Codeless Connector Framework)
Le connecteur de données DNS Google Cloud Platform offre la possibilité d’ingérer les journaux de requête DNS cloud et les journaux d’audit DNS cloud dans Microsoft Sentinel à l’aide de l’API DNS Google Cloud. Pour plus d’informations, consultez la documentation de l’API DNS cloud .

Tables Log Analytics :
- GCPDNS

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Google Cloud Platform IAM (via Codeless Connector Framework)
Le connecteur de données GOOGLE Cloud Platform IAM offre la possibilité d’ingérer les journaux d’audit relatifs aux activités gestion des identités et des accès (IAM) dans Google Cloud dans Microsoft Sentinel à l’aide de l’API Google IAM. Pour plus d’informations, consultez la documentation de l’API IAM GCP .

Tables Log Analytics :
- GCPIAM

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Centre de commandes Google Security
Google Cloud Platform (GCP) Security Command Center est une plateforme complète de gestion des risques et de sécurité pour Google Cloud, ingérée à partir du connecteur de Sentinel. Il offre des fonctionnalités telles que l’inventaire et la découverte des ressources, la détection des vulnérabilités et les menaces, ainsi que l’atténuation et la correction des risques pour vous aider à obtenir des informations sur la surface d’attaque de sécurité et de données de votre organisation. Cette intégration vous permet d’effectuer des tâches liées aux résultats et aux ressources de manière plus efficace.

Tables Log Analytics :
- GoogleCloudSCC

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Google Workspace (G Suite) (à l’aide d’Azure Functions)
The Google Workspace data connector provides the capability to ingest Google Workspace Activity events into Microsoft Sentinel through the REST API. The connector provides ability to get events which helps to examine potential security risks, analyze your team's use of collaboration, diagnose configuration problems, track who signs in and when, analyze administrator activity, understand how users create and share content, and more review events in your org.

Tables Log Analytics :
- GWorkspace_ReportsAPI_admin_CL
- GWorkspace_ReportsAPI_calendar_CL
- GWorkspace_ReportsAPI_drive_CL
- GWorkspace_ReportsAPI_login_CL
- GWorkspace_ReportsAPI_mobile_CL
- GWorkspace_ReportsAPI_token_CL
- GWorkspace_ReportsAPI_user_accounts_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : GooglePickleString est requis pour l’API REST. For more information, see API. Des instructions pour obtenir les informations d’identification sont affichées pendant le processus d’installation. Vous pouvez également vérifier toutes les exigences et suivre les instructions fournies ici.

Microsoft Corporation
GreyNoise Threat Intelligence (à l’aide d’Azure Functions)
Ce connecteur de données installe une application Azure Function pour télécharger les indicateurs GreyNoise une fois par jour et les insère dans la table ThreatIntelligenceIndicator dans Microsoft Sentinel.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Clé API GreyNoise : récupérez votre clé API GreyNoise ici.

GreyNoise
Intergration HackerView (à l’aide d’Azure Functions)
Dans l’intégration de l’API, vous avez la possibilité de récupérer tous les problèmes liés à vos organisations HackerView via une interface RESTful.

Tables Log Analytics :
- HackerViewLog_Azure_1_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

Cyber Threat Management 360
Données de ressources de sécurité Holm (à l’aide d’Azure Functions)
Le connecteur offre la capacité à interroger des données de Holm Security Center dans Microsoft Sentinel.

Tables Log Analytics :
- net_assets_CL
- web_assets_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Jeton d’API de sécurité Holm : jeton d’API de sécurité Holm est requis. Jeton d’API de sécurité Holm

Holm Security
Journaux IIS des serveurs Microsoft Exchange
[Option 5] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu tous les journaux d’activité IIS à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer les enquêtes.

Tables Log Analytics :
- W3CIISLog

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. Learn more

- Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here

Community
Illumio SaaS (à l’aide d’Azure Functions)
Illumio connector provides the capability to ingest events into Microsoft Sentinel. Le connecteur permet d’ingérer des événements auditables et des événements de flux à partir d’un compartiment AWS S3.

Tables Log Analytics :
- Illumio_Auditable_Events_CL
- Illumio_Flow_Events_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL est nécessaire. Si vous utilisez un compartiment s3 fourni par Illumio, contactez le support Illumio. À votre demande, ils vous fourniront le nom du compartiment AWS S3, l’URL AWS SQS ainsi que les informations d’identification AWS pour y accéder.

- Clé ET secret de l’API Illumio : ILLUMIO_API_KEY, ILLUMIO_API_SECRET est nécessaire pour qu’un classeur effectue une connexion à SaaS PCE et récupère des réponses d’API.

Illumio
Waf Imperva Cloud (à l’aide d’Azure Functions)
Le connecteur de données WAF Imperva Cloud offre la possibilité d’intégrer et d’ingérer des événements du Pare-feu d’applications web dans Microsoft Sentinel via l’API REST. Refer to Log integration documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- ImpervaWAFCloud_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI sont requises pour l’API. Pour plus d’informations, consultez le processus d’intégration des journaux d’installation. Vérifiez toutes les conditions requises et suivez les instructions d’obtention des informations d’identification. Notez que ce connecteur utilise le format d’événement du journal CEF. More information about log format.

Microsoft Corporation
Infoblox Cloud Data Connector via AMA
Le connecteur de données cloud Infoblox vous permet de connecter facilement vos données Infoblox à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal.

Tables Log Analytics :
- CommonSecurityLog

Prise en charge des règles de collecte de données :
Transformation d’espace de travail DCR

Infoblox
Infoblox Data Connector via l’API REST
Le connecteur Infoblox Data Connector vous permet de connecter facilement vos données Infoblox TIDE et vos données Dossier à Microsoft Sentinel. En connectant vos données à Microsoft Sentinel, vous pouvez bénéficier de la recherche et de la corrélation, des alertes et de l’enrichissement de la veille des menaces pour chaque journal.

Tables Log Analytics :
- Failed_Range_To_Ingest_CL
- Infoblox_Failed_Indicators_CL
- dossier_whois_CL
- dossier_tld_risk_CL
- dossier_threat_actor_CL
- dossier_rpz_feeds_records_CL
- dossier_rpz_feeds_CL
- dossier_nameserver_matches_CL
- dossier_nameserver_CL
- dossier_malware_analysis_v3_CL
- dossier_inforank_CL
- dossier_infoblox_web_cat_CL
- dossier_geo_CL
- dossier_dns_CL
- dossier_atp_threat_CL
- dossier_atp_CL
- dossier_ptr_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : La clé API Infoblox est requise. Consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest

Infoblox
Infoblox SOC Insight Data Connector via AMA
Le connecteur Infoblox SOC Insight Data Connector vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal.

Ce connecteur de données ingère les journaux Infoblox SOC Insight CDC dans votre espace de travail Log Analytics en tirant parti du nouvel agent Azure Monitor. Learn more about ingesting using the new Azure Monitor Agent here. Microsoft recommande l’utilisation de ce connecteur de données.

Tables Log Analytics :
- CommonSecurityLog

Prise en charge des règles de collecte de données :
Transformation de l’espace de travail DCR

Prerequisites:
- Pour collecter des données à partir de machines virtuelles non-Azure, azure Arc doit être installé et activé. Learn more

- Le format d’événement commun (CEF) via AMA et Syslog via les connecteurs de données AMA doit être installé. Learn more

Infoblox
Infoblox SOC Insight Data Connector via l’API REST
Le connecteur Infoblox SOC Insight Data Connector vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal.

Tables Log Analytics :
- InfobloxInsight_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Infoblox
InfoSecGlobal Data Connector
Utilisez ce connecteur de données pour intégrer à InfoSec Crypto Analytics et obtenir des données envoyées directement à Microsoft Sentinel.

Tables Log Analytics :
- InfoSecAnalytics_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

InfoSecGlobal
Island Enterprise Browser Admin Audit (Interrogation CCF)
The Island Admin connector provides the capability to ingest Island Admin Audit logs into Microsoft Sentinel.

Tables Log Analytics :
- Island_Admin_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Clé API island : une clé API island est requise.

Island
Island Enterprise Browser User Activity (Interrogation CCF)
The Island connector provides the capability to ingest Island User Activity logs into Microsoft Sentinel.

Tables Log Analytics :
- Island_User_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Clé API island : une clé API island est requise.

Island
Connecteur Push Jamf Protect
The Jamf Protect connector provides the capability to read raw event data from Jamf Protect in Microsoft Sentinel.

Tables Log Analytics :
- jamfprotecttelemetryv2_CL
- jamfprotectunifiedlogs_CL
- jamfprotectalerts_CL

Prise en charge des règles de collecte de données :
Supported

Prerequisites:
- Microsoft Entra: Permission to create an app registration in Microsoft Entra ID. Nécessite généralement le rôle Développeur d’applications Entra ID ou version ultérieure.

- Microsoft Azure: Permission to assign Monitoring Metrics Publisher role on data collection rule (DCR). En règle générale, le rôle Propriétaire ou Administrateur d’accès utilisateur Azure RBAC est requis

Jamf Software, LLC
LastPass Enterprise - Reporting (Interrogation CCF)
The LastPass Enterprise connector provides the capability to LastPass reporting (audit) logs into Microsoft Sentinel. Le connecteur fournit une visibilité sur les connexions et l’activité dans LastPass (par exemple la lecture et la suppression de mots de passe).

Tables Log Analytics :
- LastPassNativePoller_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Clé API LastPass et CID : une clé API LastPass et CID sont requises. For more information, see LastPass API.

Le conseil collectif
Lookout (à l’aide de la fonction Azure)
The Lookout data connector provides the capability to ingest Lookout events into Microsoft Sentinel through the Mobile Risk API. Refer to API documentation for more information. The Lookout data connector provides ability to get events which helps to examine potential security risks and more.

Tables Log Analytics :
- Lookout_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API Risque mobile : EnterpriseName & ApiKey sont requises pour l’API Mobile Risk. For more information, see API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

Lookout
IOC de Luminar et informations d’identification divulguées (à l’aide d’Azure Functions)
Le connecteur Luminar IOCs DNS et Leaked Credentials permet d’intégrer des données IOC basées sur l’intelligence et des enregistrements divulguées liées à un client identifiées par Luminar.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in azure active directory() and assign role of contributor to app in resource group.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : ID client Luminar, Secret client Luminar et ID de compte Luminar sont requis.

Cognyte Luminar
MailGuard 365
MailGuard 365 – Sécurité améliorée des e-mails pour Microsoft 365. Exclusif à la marketplace Microsoft, MailGuard 365 est intégré à la sécurité Microsoft 365 (y compris Defender) pour une protection améliorée contre les menaces avancées liées aux e-mails comme le hameçonnage, les rançongiciels et les attaques BEC sophistiquées.

Tables Log Analytics :
- MailGuard365_Threats_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

MailGuard 365
MailRisk by Secure Practice (à l’aide d’Azure Functions)
Connecteur de données pour envoyer des e-mails de MailRisk vers Microsoft Sentinel Log Analytics.

Tables Log Analytics :
- MailRiskEmails_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- API credentials: Your Secure Practice API key pair is also needed, which are created in the settings in the admin portal. Si vous avez perdu votre clé secrète API, vous pouvez générer une nouvelle paire de clés (AVERTISSEMENT : toutes les autres intégrations utilisant l’ancienne paire de clés cesseront de fonctionner).

Secure Practice
Microsoft 365 (anciennement Office 365)
Le connecteur de journal d’activité Microsoft 365 (anciennement Office 365) fournit des informations sur les activités utilisateur en cours. Vous obtiendrez des détails sur les opérations telles que les téléchargements de fichiers, les demandes d’accès envoyées, les modifications apportées aux événements de groupe, la boîte aux lettres définie et les détails de l’utilisateur qui a effectué les actions. En connectant les journaux Microsoft 365 à Microsoft Sentinel, vous pouvez utiliser ces données pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer votre processus d’investigation. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- OfficeActivity

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Gestion des risques internes Microsoft 365
Microsoft 365 Insider Risk Management est une solution de conformité dans Microsoft 365 qui aide à réduire les risques internes en vous permettant de détecter, d’investiguer et d’agir sur les activités malveillantes et accidentelle au sein de votre organisation. Les analystes de risques de votre organisation peuvent rapidement prendre les mesures appropriées pour s'assurer que les utilisateurs respectent les normes de conformité de votre organisation.

Les stratégies de risque interne vous permettent de :

- définissez les types de risques que vous souhaitez identifier et détecter dans votre organisation.
- décider des actions à entreprendre en réponse, y compris l’escalade des cas à Microsoft Advanced eDiscovery si nécessaire.

Cette solution génère des alertes qui peuvent être consultées par les clients Office dans la solution de gestion des risques internes du Centre de conformité Microsoft 365.
Learn More about Insider Risk Management.

Ces alertes peuvent être importées dans Microsoft Sentinel avec ce connecteur, ce qui vous permet de les voir, de procéder à une investigation, et d’y répondre dans un contexte de menace organisationnel plus large. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- SecurityAlert

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Journaux des événements de sécurité des contrôleurs de domaine Microsoft Active-Directory
[Option 3 et 4] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu tout ou partie des Journaux d’événements de sécurité de contrôleurs de domaine à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer les enquêtes.

Tables Log Analytics :
- SecurityEvent

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. Learn more

- Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here

Community
Microsoft Dataverse
Microsoft Dataverse est une plateforme de données évolutive et sécurisée qui permet aux organisations de stocker et de gérer les données utilisées par les applications métier. Le connecteur de données Microsoft Dataverse permet d’ingérer les journaux d’activité Dataverse et Dynamics 365 CRM à partir du journal d’audit Microsoft Purview dans Microsoft Sentinel.

Tables Log Analytics :
- DataverseActivity

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Tenant Permissions: 'Security Administrator' or 'Global Administrator' on the workspace's tenant.

- Micorosft Purview Audit : Microsoft Purview Audit (Standard ou Premium) doit être activé.

- Production Dataverse: Activity logging is available only for Production environments. D’autres types, tels que le bac à sable, ne prennent pas en charge la journalisation des activités.

- Paramètres d’audit dataverse : les paramètres d’audit doivent être configurés globalement et au niveau de l’entité/table. Pour plus d’informations, consultez les paramètres d’audit Dataverse.

Microsoft Corporation
Microsoft Defender pour Cloud Apps
En vous connectant avec Microsoft Defender for Cloud Apps, vous bénéficiez d’une visibilité sur vos applications cloud, d’une analytique sophistiquée pour identifier et combattre les cybermenaces, et d’un contrôle du déplacement de vos données.

- Identifiez les applications cloud de l’informatique fantôme sur votre réseau.
- Contrôler et limiter l’accès en fonction des conditions et du contexte de session.
- Utilisez des stratégies intégrées ou personnalisées pour le partage de données et la protection contre la perte de données.
- Identifiez l’utilisation à haut risque et recevez des alertes pour les activités utilisateur inhabituelles avec les fonctionnalités d’analyse comportementale et de détection d’anomalies Microsoft, notamment l’activité ransomware, les déplacements impossibles, les règles de transfert de courrier suspect et le téléchargement massif de fichiers.
- Téléchargement de masse de fichiers

Déployer maintenant >

Tables Log Analytics :
- SecurityAlert​
- McasShadowItReporting​

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Defender pour point de terminaison
Microsoft Defender pour point de terminaison est une plateforme de sécurité conçue pour empêcher, détecter, examiner et répondre aux menaces avancées. La plateforme crée des alertes lorsque des événements de sécurité suspects sont détectés dans une organisation. Récupérez les alertes générées dans Microsoft Defender for Endpoint pour pouvoir analyser efficacement les événements de sécurité. Vous pouvez créer des règles, des tableaux de bord et des playbooks pour une réponse immédiate. Pour plus d’informations, consultez la documentation Microsoft Sentinel>.

Tables Log Analytics :
- SecurityAlert

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Defender pour Identity
Connectez-vous à Microsoft Defender pour Identity pour obtenir une visibilité sur les événements et l’analytique utilisateur. Microsoft Defender pour Identity identifie, détecte et vous aide à examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organisation. Microsoft Defender pour Identity permet aux analystes SecOp et aux professionnels de la sécurité chargés de détecter les attaques avancées dans les environnements hybrides de :

- Surveiller les utilisateurs, le comportement d’entité et les activités avec l’analytique basée sur l’apprentissage
- Protéger les identités utilisateur et les informations d’identification stockées dans Active Directory
- Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées dans toute la chaîne de destruction
- Fournir des informations claires sur les incidents sur une chronologie simple pour le tri rapide

Essayer dès maintenant >

Déployer maintenant >

Pour plus d’informations, consultez la documentation Microsoft Sentinel>.

Tables Log Analytics :
- SecurityAlert

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Defender pour IoT
Obtenez des insights sur votre sécurité IoT en connectant des alertes Microsoft Defender pour IoT à Microsoft Sentinel.
Vous pouvez obtenir des métriques et des données d’alerte prêtes à l’emploi, notamment les tendances d’alerte, les alertes les plus fréquentes et la répartition des alertes par gravité.
Vous pouvez également obtenir des informations sur les recommandations fournies pour vos hubs IoT, notamment les recommandations qui reviennent le plus et les recommandations par gravité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- SecurityAlert

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Defender pour Office 365 (préversion)
Microsoft Defender pour Office 365 protège votre organisation contre les menaces malveillantes issues d’e-mails, de liens (URL) et d’outils de collaboration. En ingérant les alertes de Microsoft Defender pour Office 365 dans Microsoft Sentinel, vous pouvez incorporer des informations sur les menaces basées sur les e-mails et les URL dans votre analyse des risques plus large, et élaborer des scénarios de réponse en conséquence.

Les types d’alertes suivants seront importés :

- Un clic d’URL potentiellement malveillant a été détecté
- Messages électroniques contenant des programmes malveillants supprimés après la remise
- Messages électroniques contenant des URL de phish supprimées après la remise
- E-mail signalé par l’utilisateur comme programme malveillant ou phish
- Modèles d’envoi d’e-mails suspects détectés
- Utilisateur restreint de l’envoi d’e-mails

Ces alertes peuvent être consultées par les clients d’Office dans le ** Centre de sécurité et de conformité d’Office**.

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- SecurityAlert

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Defender Threat Intelligence
Microsoft Sentinel vous offre la possibilité d’importer le renseignement généré sur les menaces par Microsoft pour activer la surveillance, les alertes et le repérage. Utilisez ce connecteur de données pour importer des indicateurs de compromission (IOC)depuis Microsoft Defender Threat Intelligence (MDTI) dans Microsoft Sentinel. Les indicateurs de menace peuvent comprendre des adresses IP, des domaines, des URL, des codes de hachage de fichiers, etc.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Defender XDR
Microsoft Defender XDR est une suite unifiée, intégrée de manière native, de défense d’entreprise antérieure et postérieure à une violation qui protège un point de terminaison, une identité, une adresse e-mail et des applications pour vous aider à détecter, empêcher, enquêter des attaques sophistiquées et à y répondre automatiquement.

La suite XDR Microsoft Defender inclut les éléments suivants :
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour Identity
- Microsoft Defender pour Office 365
- Gestion des menaces et des vulnérabilités
- Microsoft Defender pour Cloud Apps

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- SecurityIncident
- SecurityAlert
- DeviceEvents
- EmailEvents
- IdentityLogonEvents
- CloudAppEvents
- AlertEvidence

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Entra ID
Obtenez des insights sur Microsoft Entra ID en connectant les journaux d’audit et de connexion à Microsoft Sentinel pour obtenir des insights sur les scénarios Microsoft Entra ID. Vous pouvez en savoir plus sur l’utilisation des applications, les stratégies d’accès conditionnel et les détails relatifs à l’authentification héritée à l’aide de nos journaux de connexion. Vous pouvez obtenir des informations sur votre utilisation de la réinitialisation de mot de passe en libre-service (SSPR), les activités de gestion de Microsoft Entra ID comme la gestion des utilisateurs, des groupes, des rôles et des applications à l’aide de notre table des journaux d’audit. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- SigninLogs
- AuditLogs
- AADNonInteractiveUserSignInLogs
- AADServicePrincipalSignInLogs
- AADManagedIdentitySignInLogs
- AADProvisioningLogs
- ADFSSignInLogs
- AADUserRiskEvents
- AADRiskyUsers
- NetworkAccessTraffic
- AADRiskyServicePrincipals
- AADServicePrincipalRiskEvents

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Entra ID Protection
Microsoft Entra ID Protection fournit une vue consolidée des utilisateurs à risque, des événements à risque et des vulnérabilités, et permet d’éliminer ces risques immédiatement et de définir des stratégies de remédiation automatique pour les événements futurs. Le service repose sur l’expérience de Microsoft en matière de protection des identités des consommateurs et bénéficie d’une précision spectaculaire grâce à plus de 13 milliards d’ouvertures de session par jour. Intégrez des alertes Microsoft Entra ID Protection à Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer des enquêtes. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Obtenir Microsoft Entra ID Premium P1/P2

Tables Log Analytics :
- SecurityAlert

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Journaux d’audit d’administration Microsoft Exchange par journaux d’événements
[Option 1] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu des journaux de tout les événements d’audit Exchange à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela est utilisé par les classeurs de sécurité de Microsoft Exchange pour fournir des informations de sécurité sur votre environnement Exchange local

Tables Log Analytics :
- Event

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. Learn more

- Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here

Community
Journaux du proxy HTTP Microsoft Exchange
[Option 7] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu des journaux de proxy HTTP et des journaux d’événements d’audit à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer les investigations. Learn more

Tables Log Analytics :
- ExchangeHttpProxy_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Log Analytics sera déconseillé : Azure Log Analytics sera déconseillé pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. Learn more

- Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here

Community
Journaux et événements Microsoft Exchange
[Option 2] - Utilisation de l’agent Azure Monitor - Vous pouvez diffuser en continu tous les journaux d’événements Exchange Security &Application à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer les enquêtes.

Tables Log Analytics :
- Event

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Log Analytics sera déconseillé : Azure Log Analytics sera déconseillé pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. Learn more

- Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here

Community
Journaux de suivi des messages Microsoft Exchange
[Option 6] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu des journaux de tout le Suivi des messages Exchange à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Ces journaux peuvent être utilisés pour suivre le flux de messages dans votre environnement Exchange. Ce connecteur de données est basé sur l’option 6 du Wiki de sécurité Microsoft Exchange.

Tables Log Analytics :
- MessageTrackingLog_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Log Analytics sera déconseillé : Azure Log Analytics sera déconseillé pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. Learn more

- Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here

Community
Microsoft Power Automate
Power Automate est un service Microsoft qui aide les utilisateurs à créer des flux de travail automatisés entre les applications et les services pour synchroniser des fichiers, obtenir des notifications, collecter des données, etc. Il simplifie l’automatisation des tâches, augmentant l’efficacité en réduisant les tâches manuelles, répétitives et en améliorant la productivité. Le connecteur de données Power Automate permet d’ingérer les journaux d’activité Power Automate à partir du journal d’audit Microsoft Purview dans Microsoft Sentinel.

Tables Log Analytics :
- PowerAutomateActivity

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Tenant Permissions: 'Security Administrator' or 'Global Administrator' on the workspace's tenant.

- Micorosft Purview Audit : Microsoft Purview Audit (Standard ou Premium) doit être activé.

Microsoft Corporation
Activité d’administration de Microsoft Power Platform
Microsoft Power Platform est une suite à code faible/sans code qui permet aux développeurs citoyens et professionnels de simplifier les processus métier en permettant la création d’applications personnalisées, l’automatisation des flux de travail et l’analyse des données avec un codage minimal. Le connecteur de données d’administration Power Platform offre la possibilité d’ingérer les journaux d’activité d’administrateur Power Platform à partir du journal d’audit Microsoft Purview dans Microsoft Sentinel.

Tables Log Analytics :
- PowerPlatformAdminActivity

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Tenant Permissions: 'Security Administrator' or 'Global Administrator' on the workspace's tenant.

- Micorosft Purview Audit : Microsoft Purview Audit (Standard ou Premium) doit être activé.

Microsoft Corporation
Microsoft PowerBI
Microsoft PowerBI est une collection de services logiciels, d’applications et de connecteurs qui fonctionnent ensemble pour transformer vos sources de données non liées en insights cohérents, visuellement immersifs et interactifs. Vos données peuvent être une feuille de calcul Excel, une collection d’entrepôts de données hybrides locaux et cloud, ou un magasin de données d’un autre type. Ce connecteur vous permet de diffuser en continu les journaux d’audit PowerBI dans Microsoft Sentinel, ce qui vous permet de suivre les activités des utilisateurs dans votre environnement PowerBI. Vous pouvez filtrer les données d’audit par période, utilisateur, tableau de bord, rapport, jeu de données et type d’activité.

Tables Log Analytics :
- PowerBIActivity

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Project
Microsoft Project (MSP) est une solution logicielle de gestion de projet. En fonction de votre plan, Microsoft Project vous permet de planifier des projets, d’attribuer des tâches, de gérer des ressources, de créer des rapports et plus encore. Ce connecteur vous permet d’envoyer en streaming vos journaux d’audit Azure Project à Microsoft Sentinel afin de suivre les activités de votre projet.

Tables Log Analytics :
- ProjectActivity

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft
Microsoft Purview
Connectez-vous à Microsoft Purview pour activer l’enrichissement de la sensibilité des données de Microsoft Sentinel. Les journaux de classification des données et d’étiquettes de confidentialité des analyses Microsoft Purview peuvent être ingérés et visualisés via des classeurs, des règles analytiques, etc. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- PurviewDataSensitivityLogs

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Purview Information Protection
Microsoft Purview Information Protection vous permet de découvrir, classifier, protéger et gouverner les informations sensibles, où qu’elles se trouvent ou se déplacent. L’utilisation de ces fonctionnalités vous permet de connaître vos données, d’identifier les éléments sensibles et d’obtenir une visibilité sur la façon dont ils sont utilisés pour mieux protéger vos données. Les étiquettes de confidentialité sont la fonctionnalité fondamentale qui fournit des actions de protection, en appliquant le chiffrement, les restrictions d’accès et les marquages visuels.
Intégrez les journaux Microsoft Purview Information Protection à Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer l’investigation. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- MicrosoftPurviewInformationProtection

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Mimecast Audit (à l’aide d’Azure Functions)
The data connector for Mimecast Audit provides customers with the visibility into security events related to audit and authentication events within Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés qui permet aux analystes de consulter des insights sur l’activité des utilisateurs, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants :
Audit

Tables Log Analytics :
- Audit_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest

Mimecast
Mimecast Audit &Authentication (à l’aide d’Azure Functions)
Le connecteur de données pour Mimecast Audit & Authentication offre aux clients une visibilité sur les événements de sécurité liés aux événements d’audit et d’authentification au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés qui permet aux analystes de consulter des insights sur l’activité des utilisateurs, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants :
Audit &Authentification

Tables Log Analytics :
- MimecastAudit_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API Mimecast : vous devez disposer des informations suivantes pour configurer l’intégration :
- mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié
- mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié
- mimecastAppId : ID d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
- mimecastAppKey : clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
- mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié
- mimecastSecretKey : Clé secrète pour l’utilisateur administrateur Mimecast dédié
- mimecastBaseURL : URL de base de l’API régionale Mimecast

> L’ID d’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié sont récupérables via la console d’administration Mimecast : Administration | Services | Intégrations d’API et de plateforme.

> L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

- Resource group: You need to have a resource group created with a subscription you are going to use.

- Functions app: You need to have an Azure App registered for this connector to use
1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client

Mimecast
Mimecast Awareness Training (à l’aide d’Azure Functions)
Le connecteur de données pour Mimecast Awareness Training offre aux clients une visibilité sur des événements de sécurité liés aux technologies d’inspection Targeted Threat Protection au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants :
- Détails des performances
- Détails du score de sécurité
- Données utilisateur
- Détails de la liste de surveillance

Tables Log Analytics :
- Awareness_Performance_Details_CL
- Awareness_SafeScore_Details_CL
- Awareness_User_Data_CL
- Awareness_Watchlist_Details_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest

Mimecast
Mimecast Cloud Integrated (à l’aide d’Azure Functions)
Le connecteur de données pour Mimecast Cloud Integrated offre aux clients une visibilité sur des événements de sécurité liés aux technologies d’inspection Cloud Integrated au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées.

Tables Log Analytics :
- Cloud_Integrated_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest

Mimecast
Mimecast Intelligence pour Microsoft - Microsoft Sentinel (à l’aide d’Azure Functions)
Le connecteur de données pour Mimecast Intelligence pour Microsoft offre une veille des menaces régionale à partir des technologies d’inspection des e-mails de Mimecast avec des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces basées sur les e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes.
Produits et fonctionnalités Mimecast requis :
- Mimecast Secure Email Gateway
- Mimecast Threat Intelligence

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API Mimecast : vous devez disposer des informations suivantes pour configurer l’intégration :
- mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié
- mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié
- mimecastAppId : ID d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
- mimecastAppKey : clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
- mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié
- mimecastSecretKey : Clé secrète pour l’utilisateur administrateur Mimecast dédié
- mimecastBaseURL : URL de base de l’API régionale Mimecast

> L’ID d’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié sont récupérables via la console d’administration Mimecast : Administration | Services | Intégrations d’API et de plateforme.

> L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

- Resource group: You need to have a resource group created with a subscription you are going to use.

- Functions app: You need to have an Azure App registered for this connector to use
1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client

Mimecast
Mimecast Secure Email Gateway (à l’aide d’Azure Functions)
Le connecteur de données pour Mimecast Secure Email Gateway facilite la collecte de journaux à partir de Secure Email Gateway pour faire apparaître des insights sur les e-mails et l’activité des utilisateurs au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Produits et fonctionnalités Mimecast requis :
- Mimecast Secure Email Gateway
- Mimecast Data Leak Prevention

Tables Log Analytics :
- MimecastSIEM_CL
- MimecastDLP_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API Mimecast : vous devez disposer des informations suivantes pour configurer l’intégration :
- mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié
- mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié
- mimecastAppId : ID d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
- mimecastAppKey : clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
- mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié
- mimecastSecretKey : Clé secrète pour l’utilisateur administrateur Mimecast dédié
- mimecastBaseURL : URL de base de l’API régionale Mimecast

> L’ID d’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié sont récupérables via la console d’administration Mimecast : Administration | Services | Intégrations d’API et de plateforme.

> L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

- Resource group: You need to have a resource group created with a subscription you are going to use.

- Functions app: You need to have an Azure App registered for this connector to use
1. ID d’application
2. ID de locataire
3. ID client
4. Clé secrète client

Mimecast
Mimecast Secure Email Gateway (à l’aide d’Azure Functions)
Le connecteur de données pour Mimecast Secure Email Gateway facilite la collecte de journaux à partir de Secure Email Gateway pour faire apparaître des insights sur les e-mails et l’activité des utilisateurs au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Produits et fonctionnalités Mimecast requis :
- Mimecast Cloud Gateway
- Mimecast Data Leak Prevention

Tables Log Analytics :
- Seg_Cg_CL
- Seg_Dlp_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest

Mimecast
Mimecast Targeted Threat Protection (à l’aide d’Azure Functions)
Le connecteur de données pour Mimecast Targeted Threat Protection offre aux clients une visibilité sur des événements de sécurité liés aux technologies d’inspection Targeted Threat Protection au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants :
- Protection de l’URL
- Protection contre l’emprunt d’identité
- Protection des pièces jointes

Tables Log Analytics :
- MimecastTTPUrl_CL
- MimecastTTPAttachment_CL
- MimecastTTPImpersonation_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : vous devez disposer des informations suivantes pour configurer l’intégration :
- mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié
- mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié
- mimecastAppId : ID d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
- mimecastAppKey : clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast
- mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié
- mimecastSecretKey : Clé secrète pour l’utilisateur administrateur Mimecast dédié
- mimecastBaseURL : URL de base de l’API régionale Mimecast

> L’ID d’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié sont récupérables via la console d’administration Mimecast : Administration | Services | Intégrations d’API et de plateforme.

> L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Mimecast
Mimecast Targeted Threat Protection (à l’aide d’Azure Functions)
Le connecteur de données pour Mimecast Targeted Threat Protection offre aux clients une visibilité sur des événements de sécurité liés aux technologies d’inspection Targeted Threat Protection au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants :
- Protection de l’URL
- Protection contre l’emprunt d’identité
- Protection des pièces jointes

Tables Log Analytics :
- Ttp_Url_CL
- Ttp_Attachment_CL
- Ttp_Impersonation_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest

Mimecast
MISP2Sentinel
Cette solution installe le connecteur MISP2Sentinel qui vous permet d’envoyer (push) automatiquement des indicateurs de menaces de MISP vers Microsoft Sentinel via l’API REST Indicateurs de chargement. Après l’installation de la solution, configurez et activez ce connecteur de données en suivant l’aide de la vue Gérer la solution.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Community
MuleSoft Cloudhub (à l’aide d’Azure Functions)
The MuleSoft Cloudhub data connector provides the capability to retrieve logs from Cloudhub applications using the Cloudhub API and more events into Microsoft Sentinel through the REST API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- MuleSoft_Cloudhub_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername et MuleSoftPassword sont nécessaires pour effectuer des appels d’API.

Microsoft Corporation
NC Protect
Le connecteur de données NC Protect (archtis.com) offre la capacité d’ingérer les événements et journaux d’activité des utilisateurs dans Microsoft Sentinel. Le connecteur offre une visibilité sur les événements et journaux d’activité des utilisateurs NC Protect dans Microsoft Sentinel afin d’améliorer les fonctionnalités de surveillance et d’investigation.

Tables Log Analytics :
- NCProtectUAL_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- NC Protect: You must have a running instance of NC Protect for O365. Please contact us.

archTIS
Netclean ProActive Incidents
Ce connecteur utilise le Webhook Netclean (obligatoire) et les Azure Logic Apps pour transmettre les données à Microsoft Sentinel Log Analytics

Tables Log Analytics :
- Netclean_Incidents_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

NetClean
Alertes et événements Netskope
Alertes et événements de sécurité Netskope

Tables Log Analytics :
- NetskopeAlerts_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- URL de l’organisation Netskope : le connecteur de données Netskope vous oblige à fournir l’URL de votre organisation. Vous trouverez l’URL de votre organisation en vous connectant au portail Netskope.

- Clé API Netskope : le connecteur de données Netskope vous oblige à fournir une clé API valide. You can create one by following the Netskope documentation.

Netskope
Netskope Data Connector (à l’aide d’Azure Functions)
The Netskope data connector provides the following capabilities:
1. NetskopeToAzureStorage :
>* Obtenez les données Netskope Alerts and Events de Netskope et ingérer dans le stockage Azure.
2. StorageToSentinel :
>* Obtenez les données Netskope Alerts and Events à partir du stockage Azure et ingérer dans une table de journaux personnalisée dans l’espace de travail Log Analytics.
3. WebTxMetrics :
>* Obtenir les données WebTxMetrics de Netskope et ingérer dans une table de journaux personnalisée dans l’espace de travail Log Analytics.


Pour plus d’informations sur les API REST, consultez les documentations ci-dessous :
1. Documentation de l’API Netskope :
> https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/
2. Documentation sur le stockage Azure :
> /azure/storage/common/storage-introduction
3. Documentation analytique des journaux Microsoft :
> /azure/azure-monitor/logs/log-analytics-overview

Tables Log Analytics :
- alertscompromisedcredentialdata_CL
- alertsctepdata_CL
- alertsdlpdata_CL
- alertsmalsitedata_CL
- alertsmalwaredata_CL
- alertspolicydata_CL
- alertsquarantinedata_CL
- alertsremediationdata_CL
- alertssecurityassessmentdata_CL
- alertsubadata_CL
- eventsapplicationdata_CL
- eventsauditdata_CL
- eventsconnectiondata_CL
- eventsincidentdata_CL
- eventsnetworkdata_CL
- eventspagedata_CL
- Netskope_WebTx_metrics_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in azure active directory() and assign role of contributor to app in resource group.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : Netskope Tenant et Netskope API Token sont requis. Consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest

Netskope
Netskope Web Transactions Data Connector (à l’aide d’Azure Functions)
Le connecteur de données Netskope Web Transactions fournit les fonctionnalités d’une image Docker pour extraire les données Netskope Web Transactions de google pubsublite, traiter les données et ingérer les données traitées dans Log Analytics. Dans le cadre de ce connecteur de données, deux tables sont créées dans Log Analytics, une pour les données Web Transactions et une autre pour les erreurs rencontrées pendant l’exécution.


Pour plus d’informations sur les transactions web, consultez la documentation ci-dessous :
1. Documentation Netskope Web Transactions :
> https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Tables Log Analytics :
- NetskopeWebtxData_CL
- NetskopeWebtxErrors_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group.

- Microsoft.Compute permissions: Read and write permissions to Azure VMs is required. For more information, see Azure VMs.

- Informations d’identification et autorisations TransactionEvents : Netskope Tenant et Netskope API Token sont requis. For more information, see Transaction Events.

- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

Netskope
Groupes de sécurité réseau
Les groupes de sécurité réseau (NSG) Azure vous permettent de filtrer le trafic réseau à destination et en provenance des ressources Azure dans un réseau virtuel Azure. Un groupe de sécurité réseau comprend des règles qui autorisent ou refusent le trafic vers un sous-réseau de réseau virtuel et/ou une interface réseau.

Quand vous activez la journalisation pour un groupe de sécurité réseau, vous pouvez collecter les types suivants d’informations sur le journal de ressources :

- Event: Entries are logged for which NSG rules are applied to VMs, based on MAC address.
- Rule counter: Contains entries for how many times each NSG rule is applied to deny or allow traffic. L’état de ces règles est collecté toutes les 300 secondes.


Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic NSG dans Microsoft Sentinel, pour surveiller en continu l’activité de toutes vos instances. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- AzureDiagnostics

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Authentification unique Okta
Le connecteur de données Okta Single Sign-On (SSO) permet d’ingérer les journaux d’audit et d’événements de l’API du journal Okta Sysem dans Microsoft Sentinel. Le connecteur de données est basé sur Microsoft Sentinel Codeless Connector Framework et utilise l’API du journal système Okta pour extraire les événements. Le connecteur prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité reçues dans des colonnes personnalisées afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances.

Tables Log Analytics :
- OktaSSO

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Jeton d’API Okta : jeton d’API Okta. Follow the following instructions to create an See the documentation to learn more about Okta System Log API.

Microsoft Corporation
Okta Single Sign-On (à l’aide d’Azure Functions)
Le connecteur Okta Single Sign-On (SSO) permet d’ingérer les journaux d’audit et d’événements de l’API Okta dans Microsoft Sentinel. Le connecteur fournit une visibilité sur ces types de journaux dans Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.

Tables Log Analytics :
- Okta_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Jeton d’API Okta : un jeton d’API Okta est requis. Consultez la documentation pour en savoir plus sur l’API du journal système Okta.

Microsoft Corporation
OneLogin IAM Platform (via Codeless Connector Framework)
The OneLogin data connector provides the capability to ingest common OneLogin IAM Platform events into Microsoft Sentinel through REST API by using OneLogin Events API and OneLogin Users API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- OneLoginEventsV2_CL
- OneLoginUsersV2_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Informations d’identification de l’API OneLogin IAM : pour créer des informations d’identification d’API, suivez le lien de document fourni ici, cliquez ici.
Veillez à disposer d’un type de compte de propriétaire de compte ou d’administrateur pour créer les informations d’identification de l’API.
Une fois que vous avez créé les informations d’identification de l’API, vous obtenez votre ID client et votre clé secrète client.

Microsoft Corporation
Oracle Cloud Infrastructure (à l’aide d’Azure Functions)
The Oracle Cloud Infrastructure (OCI) data connector provides the capability to ingest OCI Logs from OCI Stream into Microsoft Sentinel using the OCI Streaming REST API.

Tables Log Analytics :
- OCI_Logs_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API OCI : le fichier de configuration de clé API et la clé privée sont requis pour la connexion d’API OCI. Consultez la documentation pour en savoir plus sur la création de clés pour l’accès à l’API

Microsoft Corporation
Alertes de sécurité Orca
Le connecteur Orca Security Alerts vous permet d’exporter facilement les journaux des alertes dans Microsoft Sentinel.

Tables Log Analytics :
- OrcaAlerts_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Orca Security
Palo Alto Cortex XDR
Le connecteur de données Palo Alto Cortex XDR permet d’ingérer des journaux à partir de l’API Palo Alto Cortex XDR dans Microsoft Sentinel. Le connecteur de données est basé sur Microsoft Sentinel Codeless Connector Framework. Il utilise l’API Palo Alto Cortex XDR pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances.

Tables Log Analytics :
- PaloAltoCortexXDR_Incidents_CL
- PaloAltoCortexXDR_Endpoints_CL
- PaloAltoCortexXDR_Audit_Management_CL
- PaloAltoCortexXDR_Audit_Agent_CL
- PaloAltoCortexXDR_Alerts_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Palo Alto Prisma Cloud CSPM (à l’aide d’Azure Functions)
Le connecteur de données CSPM Cloud Palo Alto Prisma offre la possibilité d’ingérer des alertes CSPM Prisma Cloud et des journaux d’audit dans Microsoft Sentinel à l’aide de l’API CSPM Prisma Cloud. Pour plus d’informations, consultez la documentation de l’API Prisma Cloud CSPM.

Tables Log Analytics :
- PaloAltoPrismaCloudAlert_CL
- PaloAltoPrismaCloudAudit_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API Palo Alto Prisma Cloud : URL de l’API Prisma Cloud, ID de clé d’accès au cloud Prisma, clé secrète cloud Prisma sont requises pour la connexion d’API Prisma Cloud. Consultez la documentation pour en savoir plus sur la création de la clé d’accès cloud Prisma et sur l’obtention de l’URL de l’API Prisma Cloud

Microsoft Corporation
Palo Alto Prisma Cloud CWPP (à l’aide de l’API REST)
Le connecteur de données PALO Alto Prisma Cloud CWPP vous permet de vous connecter à votre instance Palo Alto Prisma Cloud CWPP et d’ingérer des alertes dans Microsoft Sentinel. Le connecteur de données est basé sur l’infrastructure codeless Connector de Microsoft Sentinel et utilise l’API Prisma Cloud pour extraire des événements de sécurité et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événements de sécurité reçues dans des colonnes personnalisées afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances.

Tables Log Analytics :
- PrismaCloudCompute_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Clé API PrismaCloudCompute : un nom d’utilisateur et un mot de passe de l’API Palo Alto Prisma Cloud CWPP Monitor sont requis. Pour plus d’informations, consultez l’API SIEM PrismaCloudCompute.

Microsoft Corporation
Journaux d’activité de périmètre 81
Le connecteur des journaux d’activité Perimeter 81 vous permet de connecter facilement vos journaux d’activité Perimeter 81 à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation.

Tables Log Analytics :
- Perimeter81_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Perimeter 81
Phosphorus Devices
Le connecteur de périphérique Phosphorus offre à Phosphorus la possibilité d’ingérer les journaux de données de périphérique dans Microsoft Sentinel via l’API REST Phosphorus. Le connecteur offre une visibilité sur les appareils inscrits à Phosphorus. Ce connecteur de données extrait les informations des appareils ainsi que les alertes correspondantes.

Tables Log Analytics :
- Phosphorus_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Informations d’identification/autorisations de l’API REST : Clé API Phosphore est requise. Veuillez vous assurer que la clé API associée à l'utilisateur dispose des autorisations Gérer les paramètres activées.

Suivez ces instructions pour activer les autorisations Gérer les paramètres.
1. Connectez-vous à l’application de phosphore
2. Accédez à « Paramètres » -> « Groupes »
3. Sélectionner le groupe dont l’utilisateur d’intégration fait partie
4. Accédez à « Actions du produit » :> activez l’autorisation « Gérer les paramètres ».

Phosphorus Inc.
Connecteur de données prancer
The Prancer Data Connector has provides the capability to ingest Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] and PAC data to process through Microsoft Sentinel. Refer to Prancer Documentation for more information.

Tables Log Analytics :
- prancer_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Inclure des conditions préalables personnalisées si la connectivité nécessite - sinon supprimer les douanes : Description de tout prérequis personnalisé

Intégration de Prancer PenSuiteAI
Informations sur les menaces Microsoft Defender Premium
Microsoft Sentinel vous offre la possibilité d’importer le renseignement généré sur les menaces par Microsoft pour activer la surveillance, les alertes et le repérage. Utilisez ce connecteur de données pour importer des indicateurs de compromission (IOC) de Premium Microsoft Defender Threat Intelligence (MDTI) dans Microsoft Sentinel. Les indicateurs de menace peuvent comprendre des adresses IP, des domaines, des URL, des codes de hachage de fichiers, etc. Remarque : il s'agit d'un connecteur payant. Pour utiliser et ingérer des données, veuillez acheter le SKU « MDTI API Access » auprès du Centre des partenaires.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Proofpoint On Demand Email Security (via Codeless Connector Framework)
Le connecteur de données Proofpoint On Demand Email Security permet d’obtenir des données Proofpoint on Demand Email Protection, laisse les utilisateurs vérifier la traçabilité des messages, en surveillant l’activité du courrier électronique, les menaces et l’exfiltration de données par des attaquants et des personnes internes malveillantes. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir les fichiers journaux des événements par incréments horaires pour l’activité récente.

Tables Log Analytics :
- ProofpointPODMailLog_CL
- ProofpointPODMessage_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Informations d’identification/autorisations de l’API Websocket : ProofpointClusterID et ProofpointToken sont nécessaires. For more information, see API.

Microsoft Corporation
Proofpoint TAP (via Codeless Connector Framework)
Le connecteur Proofpoint Targeted Attack Protection (TAP) offre la capacité d’ingérer les journaux et événements Proofpoint TAP dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les événements de message et de clic dans Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.

Tables Log Analytics :
- ProofPointTAPMessagesDeliveredV2_CL
- ProofPointTAPMessagesBlockedV2_CL
- ProofPointTAPClicksPermittedV2_CL
- ProofPointTAPClicksBlockedV2_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Clé API Proofpoint TAP : un principal de service d’API Proofpoint TAP et un secret sont requis pour accéder à l’API SIEM de Proofpoint. Pour plus d’informations, consultez l’API SIEM Proofpoint.

Microsoft Corporation
Qualys VM KnowledgeBase (à l’aide d’Azure Functions)
Le connecteur Qualys Vulnerability Management (VM) KnowledgeBase (base de connaissances) permet d’ingérer les dernières données de vulnérabilité de la base de connaissances Qualys dans Microsoft Sentinel.

Ces données peuvent être utilisées pour mettre en corrélation et enrichir les détections de vulnérabilités trouvées par le connecteur de données Qualys Vulnerability Management (VM).

Tables Log Analytics :
- QualysKB_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Clé API Qualys : un nom d’utilisateur et un mot de passe de l’API de machine virtuelle Qualys sont requis. Pour plus d’informations, consultez l’API de machine virtuelle Qualys.

Microsoft Corporation
Qualys Vulnerability Management (via Codeless Connector Framework)
Le connecteur de données Qualys Vulnerability Management (VM) permet d’ingérer des données de détection d’hôte de vulnérabilité dans Microsoft Sentinel via l’API Qualys. Le connecteur offre une visibilité sur les données de détection d’hôte à partir d’analyses de vulnérabilité.

Tables Log Analytics :
- QualysHostDetectionV3_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Accès et rôles d’API : vérifiez que l’utilisateur de machine virtuelle Qualys a un rôle lecteur ou supérieur. Si le rôle est Lecteur, vérifiez que l’accès à l’API est activé pour le compte. Le rôle d’auditeur n’est pas pris en charge pour accéder à l’API. Pour plus d’informations, consultez l’API De détection d’hôte de machine virtuelle Qualys et le document de comparaison des rôles utilisateur .

Microsoft Corporation
Radiflow iSID via AMA
iSID permet une surveillance non perturbatrice des réseaux ICS distribués pour les changements de topologie et de comportement, à l’aide de plusieurs packages de sécurité, chacun offrant une fonctionnalité unique relative à un type spécifique d’activité réseau

Tables Log Analytics :
- RadiflowEvent

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Radiflow
Rapports de gestion des vulnérabilités de la plateforme Rapid7 Insight (à l’aide d’Azure Functions)
Le connecteur de données rapport Rapid7 Insight VM permet d’ingérer des rapports d’analyse et des données de vulnérabilité dans Microsoft Sentinel via l’API REST à partir de la plateforme Rapid7 Insight (managée dans le cloud). Refer to API documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- NexposeInsightVMCloud_assets_CL
- NexposeInsightVMCloud_vulnerabilities_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API REST : InsightVMAPIKey est requis pour l’API REST. For more information, see API. Vérifiez toutes les conditions requises et suivez les instructions pour obtenir des informations d’identification

Microsoft Corporation
Connecteur de données Cloud Rubrik Security (à l’aide d’Azure Functions)
Le connecteur de données Rubrik Security Cloud permet aux équipes des opérations de sécurité d’intégrer à Microsoft Sentinel les insights des services d’observabilité des données de Rubrik. Les insights englobent l’identification du comportement anormal du système de fichiers associé aux ransomwares et à la suppression en masse, l’évaluation du rayon d’explosion d’une attaque par ransomware et les opérateurs de données sensibles pour hiérarchiser et examiner plus rapidement les incidents potentiels.

Tables Log Analytics :
- Rubrik_Anomaly_Data_CL
- Rubrik_Ransomware_Data_CL
- Rubrik_ThreatHunt_Data_CL
- Rubrik_Events_Data_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

Rubrik
SaaS Security
Connecte la plateforme de sécurité Valence SaaS à Azure Log Analytics via l’interface API REST

Tables Log Analytics :
- ValenceAlert_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Valence Security
SailPoint IdentityNow (à l’aide d’Azure Function)
The SailPoint IdentityNow data connector provides the capability to ingest [SailPoint IdentityNow] search events into Microsoft Sentinel through the REST API. Le connecteur permet aux clients d’extraire des informations d’audit de leur locataire IdentityNow. Il est destiné à faciliter encore l’intégration des événements d’activité et de gouvernance des utilisateurs IdentityNow dans Microsoft Sentinel afin d’améliorer les insights de votre solution de surveillance des incidents et des événements de sécurité.

Tables Log Analytics :
- SailPointIDN_Events_CL
- SailPointIDN_Triggers_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification d’authentification de l’API SailPoint IdentityNow : TENANT_ID, CLIENT_ID et CLIENT_SECRET sont requises pour l’authentification.

N/A
Salesforce Service Cloud (via Codeless Connector Framework) (préversion)
Le connecteur de données Salesforce Service Cloud permet d’ingérer les informations sur vos événements opérationnels Salesforce dans Microsoft Sentinel via l’API REST. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir les fichiers journaux des événements par incréments horaires pour l’activité récente.

Tables Log Analytics :
- SalesforceServiceCloudV2_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Accès à l’API Salesforce Service Cloud : l’accès à l’API Salesforce Service Cloud via une application connectée est nécessaire.

Microsoft Corporation
Samsung Knox Asset Intelligence (préversion)
Samsung Knox Asset Intelligence Data Connector vous permet de centraliser vos événements et journaux de sécurité mobiles afin d’afficher des insights personnalisés à l’aide du modèle de classeur et d’identifier les incidents basés sur des modèles de règles d’analyse.

Tables Log Analytics :
- Samsung_Knox_Audit_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Entra app: An Entra app needs to be registered and provisioned with ‘Microsoft Metrics Publisher’ role and configured with either Certificate or Client Secret as credentials for secure data transfer. Consultez le tutoriel d’ingestion des journaux pour en savoir plus sur la création, l’inscription et la configuration des informations d’identification de l’application Entra.

Samsung Electronics Co., Ltd.
SAP BTP
SAP Business Technology Platform (SAP BTP) regroupe la gestion des données, l’analytique, l’intelligence artificielle, le développement d’applications, l’automatisation et l’intégration dans un environnement unifié.

Tables Log Analytics :
- SAPBTPAuditLog_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- ID client et clé secrète client pour l’API d’extraction d’audit : activez l’accès à l’API dans BTP.

Microsoft Corporation
SAP Enterprise Threat Detection, édition cloud
Le connecteur de données SAP Enterprise Threat Detection, ETD (Cloud Edition) permet l’ingestion d’alertes de sécurité d’ETD dans Microsoft Sentinel, prenant en charge la corrélation croisée, les alertes et la chasse aux menaces.

Tables Log Analytics :
- SAPETDAlerts_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- ID client et clé secrète client pour l’API de récupération ETD : activez l’accès à l’API dans ETD.

SAP
SAP LogServ (RISE), S/4HANA Cloud Private Edition
SAP LogServ est un service SAP Enterprise Cloud Services (ECS) destiné à la collecte, au stockage, au transfert et à l’accès des journaux. LogServ centralise les journaux d’activité de tous les systèmes, applications et services ECS utilisés par un client inscrit.
Les principales fonctionnalités sont les suivantes :
Collection de journaux en temps réel proche : capacité à s’intégrer à Microsoft Sentinel en tant que solution SIEM.
LogServ complète la surveillance et les détections des menaces de la couche Application SAP existantes dans Microsoft Sentinel avec les types de journaux appartenant à SAP ECS en tant que fournisseur système. Cela inclut les journaux tels que : Journal d’audit de sécurité SAP (AS ABAP), base de données HANA, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, système d’exploitation, passerelle SAP, base de données tierce, réseau, DNS, proxy, pare-feu

Tables Log Analytics :
- SAPLogServ_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft Entra: Permission to create an app registration in Microsoft Entra ID. Nécessite généralement le rôle Développeur d’applications Entra ID ou version ultérieure.

- Microsoft Azure: Permission to assign Monitoring Metrics Publisher role on data collection rules. En règle générale, le rôle Propriétaire azure RBAC ou Administrateur d’accès utilisateur est requis.

SAP
SenservaPro (Preview)
Le connecteur de données SenservaPro fournit une expérience d’affichage pour vos journaux d’analyse SenservaPro. Affichez les tableaux de bord de vos données, utilisez des requêtes pour repérer et explorer, et créez des alertes personnalisées.

Tables Log Analytics :
- SenservaPro_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Senserva
SentinelOne
The SentinelOne data connector allows ingesting logs from the SentinelOne API into Microsoft Sentinel. Le connecteur de données est basé sur Microsoft Sentinel Codeless Connector Framework. Il utilise l’API SentinelOne pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances.

Tables Log Analytics :
- SentinelOneActivities_CL
- SentinelOneAgents_CL
- SentinelOneGroups_CL
- SentinelOneThreats_CL
- SentinelOneAlerts_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
SentinelOne (à l’aide d’Azure Functions)
The SentinelOne data connector provides the capability to ingest common SentinelOne server objects such as Threats, Agents, Applications, Activities, Policies, Groups, and more events into Microsoft Sentinel through the REST API. Pour plus d’informations, consultez la https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewdocumentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- SentinelOne_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : SentinelOneAPIToken est obligatoire. Consultez la documentation pour en savoir plus sur l’API sur le https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

Microsoft Corporation
Sécurité web seraphique
Le connecteur de données Seraphic Web Security fournit la possibilité d’ingérer des événements et des alertes Seraphic Web Security dans Microsoft Sentinel.

Tables Log Analytics :
- SeraphicWebSecurity_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Clé API Seraphic : clé API pour Microsoft Sentinel connectée à votre locataire Seraphic Web Security. Pour obtenir cette clé API pour votre locataire, lisez cette documentation.

Seraphic Security
Console d’administration Silverfort
The Silverfort ITDR Admin Console connector solution allows ingestion of Silverfort events and logging into Microsoft Sentinel.
Silverfort fournit la journalisation et les événements basés sur syslog en utilisant le format CEF (Common Event Format). En transférant vos données CEF Silverfort ITDR Admin Console dans Microsoft Sentinel, vous pouvez tirer parti de la recherche et de la corrélation, de la création d’alertes et de l’enrichissement de la veille des menaces sur les données Silverfort que propose Sentinel.
Veuillez contacter Silverfort ou consulter la documentation Silverfort pour plus d’informations.

Tables Log Analytics :
- CommonSecurityLog

Prise en charge des règles de collecte de données :
Transformation d’espace de travail DCR

Silverfort
SINEC Security Guard
La solution SINEC Security Guard pour Microsoft Sentinel vous permet d’ingérer des événements de sécurité de vos réseaux industriels à partir de SINEC Security Guard dans Microsoft Sentinel.

Tables Log Analytics :
- SINECSecurityGuard_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Siemens AG
SlackAudit (via Codeless Connector Framework)
Le connecteur de données SlackAudit permet d’ingérer les journaux d’audit Slack dans Microsoft Sentinel via l’API REST. Refer to API documentation for more information.

Tables Log Analytics :
- SlackAuditV2_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- UserName, SlackAudit API Key &Action Type : Pour générer le jeton d’accès, créez une application dans Slack, puis ajoutez les étendues nécessaires et configurez l’URL de redirection. For detailed instructions on generating the access token, user name and action name limit, refer the link.

Microsoft Corporation
Snowflake (via Codeless Connector Framework) (préversion)
Le connecteur de données Snowflake offre la possibilité d’ingérer les journaux d’historique des connexions Snowflake, les journaux d’historique des requêtes, les journaux d'User-Grant les journaux d’activité, les journaux d'Role-Grant les journaux d’activité de l’historique de chargement, les journaux d’activité de l’historique des chargements, les journaux d’activité de l’historique des actualisations matérialisées, les journaux des rôles, les journaux des tables, les journaux des métriques de stockage table, les journaux des utilisateurs dans Microsoft Sentinel à l’aide de l’API SQL Snowflake. Pour plus d’informations, consultez la documentation de l’API SQL Snowflake .

Tables Log Analytics :
- SnowflakeLogin_CL
- SnowflakeQuery_CL
- SnowflakeUserGrant_CL
- SnowflakeRoleGrant_CL
- SnowflakeLoad_CL
- SnowflakeMaterializedView_CL
- SnowflakeRoles_CL
- SnowflakeTables_CL
- SnowflakeTableStorageMetrics_CL
- SnowflakeUsers_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Connecteur de données Sonrai
Utilisez ce connecteur de données pour intégrer à Sonrai Security et obtenir des tickets Sonrai envoyés directement à Microsoft Sentinel.

Tables Log Analytics :
- Sonrai_Tickets_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

N/A
Sophos Cloud Optix
Le connecteur Sophos Cloud Optix vous permet de connecter facilement vos journaux Sophos Cloud Optix à Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les investigations. Il vous donne davantage d’insights sur la posture de sécurité et de conformité cloud de votre organisation, et améliore les capacités de fonctionnement de votre sécurité cloud.

Tables Log Analytics :
- SophosCloudOptix_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Sophos
Sophos Endpoint Protection (à l’aide d’Azure Functions)
Le connecteur de données Sophos Endpoint Protection offre la possibilité d’ingérer des événements Sophos dans Microsoft Sentinel. Pour plus d’informations, consultez la documentation Administration centrale Sophos.

Tables Log Analytics :
- SophosEP_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : le jeton d’API est requis. For more information, see API token

Microsoft Corporation
Sophos Endpoint Protection (à l’aide de l’API REST)
Le connecteur de données Sophos Endpoint Protection offre la possibilité d’ingérer des événements Sophos et des alertes Sophos dans Microsoft Sentinel. Pour plus d’informations, consultez la documentation Administration centrale Sophos.

Tables Log Analytics :
- SophosEPEvents_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Accès à l’API Sophos Endpoint Protection : l’accès à l’API Sophos Endpoint Protection via un principal de service est requis.

Microsoft Corporation
Symantec Integrated Cyber Defense Exchange
Le connecteur Symantec ICDx vous permet de connecter facilement les journaux de vos solutions de sécurité Symantec à Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité.

Tables Log Analytics :
- SymantecICDx_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Syslog via AMA
Syslog est un protocole de journalisation d’événements commun à Linux. Les applications envoient les messages qui peuvent être stockés sur l’ordinateur local ou remis à un collecteur Syslog. Lorsque l’agent pour Linux est installé, il configure le démon local Syslog pour qu’il transfère des messages à l’agent. L’agent envoie ensuite le message à l’espace de travail.

En savoir plus >

Tables Log Analytics :
- Syslog

Prise en charge des règles de collecte de données :
Transformation d’espace de travail DCR

Microsoft Corporation
Talon Insights
Le connecteur de journaux d’activité Talon Security vous permet de connecter facilement vos événements Talon et journaux d’audit à Microsoft Sentinel afin de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation.

Tables Log Analytics :
- Talon_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Talon Security
Team Cymru Scout Data Connector (à l’aide d’Azure Functions)
The TeamCymruScout Data Connector allows users to bring Team Cymru Scout IP, domain and account usage data in Microsoft Sentinel for enrichment.

Tables Log Analytics :
- Cymru_Scout_Domain_Data_CL
- Cymru_Scout_IP_Data_Foundation_CL
- Cymru_Scout_IP_Data_Details_CL
- Cymru_Scout_IP_Data_Communications_CL
- Cymru_Scout_IP_Data_PDNS_CL
- Cymru_Scout_IP_Data_Fingerprints_CL
- Cymru_Scout_IP_Data_OpenPorts_CL
- Cymru_Scout_IP_Data_x509_CL
- Cymru_Scout_IP_Data_Summary_Details_CL
- Cymru_Scout_IP_Data_Summary_PDNS_CL
- Cymru_Scout_IP_Data_Summary_OpenPorts_CL
- Cymru_Scout_IP_Data_Summary_Certs_CL
- Cymru_Scout_IP_Data_Summary_Fingerprints_CL
- Cymru_Scout_Account_Usage_Data_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Team Cymru Scout Credentials/permissions : Team Cymru Scout account credentials(Username, Password) is required.

Team Cymru
Exposition d’identité tenable
Le connecteur Tenable Identity Exposure permet aux indicateurs d’exposition, aux indicateurs d’attaque et aux journaux de flux de fin d’être ingérés dans Microsoft Sentinel. Les différents classeurs et analyseurs de données vous permettent de manipuler plus facilement les journaux et de superviser votre environnement Active Directory. Les modèles analytiques vous permettent d’automatiser les réponses concernant différents événements, expositions et attaques.

Tables Log Analytics :

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Accès à la configuration TenableIE : autorisations pour configurer le moteur d’alerte syslog

Tenable
Gestion des vulnérabilités tenables (à l’aide d’Azure Functions)
Le connecteur de données TVM offre la possibilité d’ingérer des données d’actifs, de vulnérabilité, de conformité, de ressources WAS et de vulnérabilités WAS dans Microsoft Sentinel à l’aide des API REST TVM. Refer to API documentation for more information. Le connecteur offre la possibilité d’obtenir des données qui permettent d’examiner les risques de sécurité potentiels, d’obtenir des informations sur vos ressources informatiques, de diagnostiquer les problèmes de configuration et bien plus encore

Tables Log Analytics :
- Tenable_VM_Asset_CL
- Tenable_VM_Vuln_CL
- Tenable_VM_Compliance_CL
- Tenable_WAS_Asset_CL
- Tenable_WAS_Vuln_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : TenableAccessKey et TenableSecretKey sont nécessaires pour accéder à l’API REST Tenable. For more information, see API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

Tenable
Microsoft Defender pour cloud basé sur le locataire
Microsoft Defender pour le cloud est un outil de gestion de la sécurité qui vous permet de détecter les menaces et d’y répondre rapidement sur les charges de travail Azure, hybrides et multiclouds. Ce connecteur vous permet de diffuser en continu vos alertes de sécurité MDC à partir de Microsoft 365 Defender dans Microsoft Sentinel. Vous pouvez ainsi tirer profit des avantages des corrélations XDR faisant des liens dans l’ensemble de vos identités, appareils et ressources cloud et afficher les données dans des classeurs, requêtes, ainsi qu’enquêter et répondre à des incidents. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- SecurityAlert

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Projet TheHive - TheHive (à l’aide d’Azure Functions)
The TheHive data connector provides the capability to ingest common TheHive events into Microsoft Sentinel through Webhooks. TheHive peut notifier le système externe des événements de modification (création de cas, mise à jour d’alerte, affectation de tâche) en temps réel. Quand une modification se produit dans TheHive, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de connecteur de données de rappel. Refer to Webhooks documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- TheHive_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Webhooks Credentials/permissions: TheHiveBearerToken, Callback URL are required for working Webhooks. See the documentation to learn more about configuring Webhooks.

Microsoft Corporation
Theom
Le connecteur de données Theom permet aux organisations de connecter leur environnement Theom à Microsoft Sentinel. Cette solution permet aux utilisateurs de recevoir des alertes sur les risques de sécurité des données, de créer et d’enrichir des incidents, de vérifier des statistiques et de déclencher des playbooks SOAR dans Microsoft Sentinel

Tables Log Analytics :
- TheomAlerts_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Theom
Renseignement sur les menaces - TAXII
Microsoft Sentinel s’intègre avec les sources de données TAXII 2.0 et 2.1 pour permettre la surveillance, les alertes et la recherche à l’aide de vos renseignements sur les menaces. Utilisez ce connecteur pour envoyer les types d’objets STIX pris en charge à partir de serveurs TAXII à Microsoft Sentinel. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL et des codes de hachage de fichiers. Pour plus d’informations, consultez la documentation Microsoft Sentinel>.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Plateformes de renseignement sur les menaces
Microsoft Sentinel s’intègre avec les sources de données de l’API de sécurité Microsoft Graph pour permettre la surveillance, les alertes et la recherche à l’aide de vos renseignements sur les menaces. Utilisez ce connecteur pour envoyer des indicateurs de menace à Microsoft Sentinel à partir de votre plateforme de renseignement sur les menaces (TIP), telles que Threat Connect, Palo Alto Networks MindMeld, MISP ou d’autres applications intégrées. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL et des codes de hachage de fichiers. Pour plus d’informations, consultez la documentation Microsoft Sentinel>.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
API Threat Intelligence Upload (préversion)
Microsoft Sentinel propose une API de plan de données pour fournir une veille des menaces à partir de votre plateforme TIP (Threat Intelligence Platform), telle que Threat Connect, Palo Alto Networks MineMeld, MISP ou d’autres applications intégrées. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL, des hachages de fichiers et des adresses e-mail. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- ThreatIntelligenceIndicator

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Transmettre le connecteur de sécurité (à l’aide d’Azure Functions)
Le connecteur de données [Transmit Security] offre la possibilité d’ingérer des événements courants de l’API De sécurité de transmission dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- TransmitSecurityActivity_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- ID client de l’API REST : TransmitSecurityClientID est requis. Consultez la documentation pour en savoir plus sur l’API, disponible sur le https://developer.transmitsecurity.com/.

- Clé secrète client de l’API REST : TransmitSecurityClientSecret est obligatoire. Consultez la documentation pour en savoir plus sur l’API sur le https://developer.transmitsecurity.com/.

Transmit Security
Trend Vision One (à l’aide d’Azure Functions)
Le connecteur Trend Vision One vous permet de connecter facilement vos données d'alerte Workbench à Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer les capacités de surveillance et d'investigation. Cela vous donne plus d’informations sur les réseaux et systèmes de votre organisation et améliore vos capacités d’opération de sécurité.

Le connecteur Trend Vision One est pris en charge dans Microsoft Sentinel dans les régions suivantes : Australie Est, Australie Sud-Est, Brésil Sud, Canada Centre, Canada Est, Inde Centre, USA Centre, Asie Est, USA Est, USA Est 2, France Centre, Japon Est, Corée du Centre, Nord du Centre des États-Unis, Europe du Nord, Norvège Est, Afrique du Sud Nord, Sud des États-Unis du Centre, Asie du Sud-Est, Suède du Centre, Suisse du Nord, Émirats arabes unis du Nord, Royaume-Uni du Sud, Royaume-Uni de l'Ouest, Europe de l'Ouest, des États-Unis de l'Ouest, des États-Unis de l'Ouest 2 , Ouest des États-Unis 3.

Tables Log Analytics :
- TrendMicro_XDR_WORKBENCH_CL
- TrendMicro_XDR_RCA_Task_CL
- TrendMicro_XDR_RCA_Result_CL
- TrendMicro_XDR_OAT_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Jeton d’API Trend Vision One : un jeton d’API Trend Vision One est requis. Consultez la documentation pour en savoir plus sur l’API Trend Vision One.

Trend Micro
Varonis SaaS
Varonis SaaS provides the capability to ingest Varonis Alerts into Microsoft Sentinel.

Varonis donne la priorité à la visibilité approfondie des données, aux fonctionnalités de classification et à la correction automatisée pour l’accès aux données. Varonis crée une vue unique des risques classés par priorité pour vos données, ce qui vous permet d’éliminer de façon proactive et systématique les risques liés aux menaces internes et aux cyberattaques.

Tables Log Analytics :
- VaronisAlerts_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

Varonis
Vectra XDR (à l’aide d’Azure Functions)
The Vectra XDR connector gives the capability to ingest Vectra Detections, Audits, Entity Scoring, Lockdown, Health and Entities data into Microsoft Sentinel through the Vectra REST API. Pour plus d’informations, consultez la documentation de l’API : https://support.vectra.ai/s/article/KB-VS-1666

Tables Log Analytics :
- Detections_Data_CL
- Audits_Data_CL
- Entity_Scoring_Data_CL
- Lockdown_Data_CL
- Health_Data_CL
- Entities_Data_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : l’ID client Vectra et la clé secrète client sont requis pour l’intégrité, le scoring d’entités, les entités, les détections, le verrouillage et la collecte de données d’audit. Consultez la documentation pour en savoir plus sur l’API sur le https://support.vectra.ai/s/article/KB-VS-1666.

Vectra Support
VMware Carbon Black Cloud (à l’aide d’Azure Functions)
Le connecteur VMware Carbon Black Cloud permet d’ingérer des données Carbon Black dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les journaux d’événement, de notification et d’audit dans Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de supervision et d’examen.

Tables Log Analytics :
- CarbonBlackEvents_CL
- CarbonBlackNotifications_CL
- CarbonBlackAuditLogs_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- VMware Carbon Black API Key(s) : l’API Carbon Black et/ou les clés API au niveau SIEM sont requises. Consultez la documentation pour en savoir plus sur l’API Carbon Black.
- A Carbon Black API access level API ID and Key is required for Audit and Event logs.
- A Carbon Black SIEM access level API ID and Key is required for Notification alerts.

- Informations d’identification/autorisations de l’API REST Amazon S3 : ID de clé d’accès AWS, clé d’accès au secret AWS, nom du compartiment AWS S3, nom du dossier dans le compartiment AWS S3 sont requis pour l’API REST Amazon S3.

Microsoft
VMware Carbon Black Cloud via AWS S3
Le connecteur de données VMware Carbon Black Cloud via AWS S3 permet d’ingérer des événements de watchlist, d’alertes, d’authentification et de points de terminaison via AWS S3 et de les diffuser en continu vers des tables normalisées ASIM. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- CarbonBlack_Alerts_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Environment: You must have the following AWS resources defined and configured: S3, Simple Queue Service (SQS), IAM roles and permissions policies

- Environment: You must have the a Carbon black account and required permissions to create a Data Forwarded to AWS S3 buckets.
Pour plus d’informations, consultez Docs sur le redirecteur de données noirs carboniques

Microsoft
Événements DNS Windows via AMA
Le connecteur Windows DNS Events vous permet de filtrer et de streamer facilement tous les journaux d’analytique de vos serveurs DNS Windows vers votre espace de travail Microsoft Sentinel à l’aide de l’agent Azure Monitor (AMA). Le fait d’avoir ces données dans Microsoft Sentinel vous permet d’identifier les problèmes et les menaces de sécurité comme :
- Essayer de résoudre les noms de domaine malveillants.
- Enregistrements de ressources obsolètes.
- Noms de domaine fréquemment interrogés et clients DNS talkatives.
- Attaques effectuées sur le serveur DNS.

Vous pouvez obtenir les insights suivants sur vos serveurs DNS Windows à partir de Microsoft Sentinel :
- Tous les journaux centralisés dans un emplacement unique.
- Charge de la demande sur les serveurs DNS.
- Échecs d’inscription DNS dynamiques.

Les événements DNS Windows sont pris en charge par le modèle ASIM (Advanced SIEM Information Model) et streament les données dans la table ASimDnsActivityLogs. Learn more.

Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- ASimDnsActivityLogs

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Windows Firewall
Le Pare-feu Windows est une application Microsoft Windows qui filtre les informations provenant d’Internet et bloque les programmes potentiellement dangereux. Le logiciel empêche la plupart des programmes de communiquer via le pare-feu. Les utilisateurs ajoutent simplement un programme à la liste des programmes autorisés pour lui permettre de communiquer via le pare-feu. Lors de l’utilisation d’un réseau public, le Pare-feu Windows peut également sécuriser le système en bloquant toutes les tentatives de connexion non sollicitées à votre ordinateur. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- WindowsFirewall

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Événements de pare-feu Windows via AMA
Le Pare-feu Windows est une application Microsoft Windows qui filtre les informations provenant d’Internet et bloque les programmes potentiellement dangereux. Le logiciel de pare-feu empêche la plupart des programmes de communiquer via le pare-feu. Pour diffuser en continu vos journaux d’application du Pare-feu Windows collectés à partir de vos ordinateurs, utilisez l’agent Azure Monitor (AMA) pour diffuser ces journaux vers l’espace de travail Microsoft Sentinel.

Un point de terminaison de collecte de données configuré (data collection endpoint, ou DCE) doit être lié à la règle de collecte de données (data collection rule, ou DCR) créée pour que l’AMA collecte les journaux. Pour ce connecteur, un DCE est automatiquement créé dans la même région que l’espace de travail. Si vous utilisez déjà un DCE stocké dans la même région, il est possible de modifier le DCE créé par défaut et d’utiliser votre DCE existant via l’API. DCEs can be located in your resources with SentinelDCE prefix in the resource name.

Pour plus d’informations, consultez les articles suivants :
- Points de terminaison de collecte de données dans Azure Monitor
- Documentation Microsoft Sentinel

Tables Log Analytics :
- ASimNetworkSessionLogs

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Événements transférés Windows
Vous pouvez diffuser en continu tous les journaux de transfert d’événements Windows (WEF) à partir des serveurs Windows connectés à votre espace de travail Microsoft Sentinel à l’aide de l’agent Azure Monitor (AMA).
Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations.
Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- WindowsEvent

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Événements de sécurité Windows via AMA
Vous pouvez diffuser en continu tous les événements de sécurité à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- SecurityEvent

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
API WithSecure Elements (Fonction Azure)
WithSecure Elements est la plateforme unifiée de cybersécurité basée sur le cloud, conçue pour réduire les risques, la complexité et l’inefficacité.

Élevez le niveau de sécurité de vos points de terminaison à vos applications cloud. Armez-vous contre tous les types de cybermenaces, des attaques ciblées aux ransomwares exploitant une vulnérabilité zero-day.

WithSecure Elements associe de puissantes fonctionnalités de sécurité prédictives, préventives et réactives, le tout faisant l’objet d’une gestion et d’un monitoring via un seul centre de sécurité. Notre structure modulaire et nos modèles tarifaires flexibles vous donnent la liberté d’évoluer. Grâce à notre expertise et nos insights, vous aurez toujours les moyens d’agir, et vous ne serez jamais seul.

With Microsoft Sentinel integration, you can correlate security events data from the WithSecure Elements solution with data from other sources, enabling a rich overview of your entire environment and faster reaction to threats.

Avec cette solution, une fonction Azure est déployée sur votre tenant (locataire), et interroge périodiquement les événements de sécurité de WithSecure Elements.

Pour plus d’informations, visitez notre site web à l’adresse : https://www.withsecure.com.

Tables Log Analytics :
- WsSecurityEvents_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification du client de l’API WithSecure Elements : les informations d’identification du client sont requises. Pour en savoir plus, consultez la documentation.

WithSecure
Wiz (à l’aide d’Azure Functions)
Le connecteur Wiz vous permet d’envoyer facilement des problèmes Wiz, des résultats des vulnérabilités et des journaux d’audit à Microsoft Sentinel.

Tables Log Analytics :
- union isfuzzy=true <br>(WizIssues_CL),<br>(WizIssuesV2_CL)
- union isfuzzy=true <br>(WizVulnerabilities_CL),<br>(WizVulnerabilitiesV2_CL)
- union isfuzzy=true <br>(WizAuditLogs_CL),<br>(WizAuditLogsV2_CL)

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification du compte de service Wiz : vérifiez que vous disposez de votre ID client de compte de service Wiz et de la clé secrète client, de l’URL du point de terminaison de l’API et de l’URL d’authentification. Instructions can be found on Wiz documentation.

Wiz
Activité de l’utilisateur Workday
The Workday User Activity data connector provides the capability to ingest User Activity Logs from Workday API into Microsoft Sentinel.

Tables Log Analytics :
- ASimAuditEventLogs

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Accès à l’API Activité utilisateur Workday : l’accès à l’API d’activité utilisateur Workday via Oauth est requis. Le client d’API doit avoir l’étendue : système et doit être autorisé par un compte disposant d’autorisations d’audit système.

Microsoft Corporation
Workplace from Facebook (à l’aide d’Azure Functions)
The Workplace data connector provides the capability to ingest common Workplace events into Microsoft Sentinel through Webhooks. Les webhooks permettent aux applications d’intégration personnalisées de s’abonner à des événements dans Workplace et de recevoir des mises à jour en temps réel. Quand une modification se produit dans Workplace, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de rappel du connecteur de données. Refer to Webhooks documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- Workplace_Facebook_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Webhooks Credentials/permissions: WorkplaceAppSecret, WorkplaceVerifyToken, Callback URL are required for working Webhooks. See the documentation to learn more about configuring Webhooks, configuring permissions.

Microsoft Corporation
Audit de segment de réseaux zéro
Le connecteur de données Zero Networks Segment Audit permet d’ingérer des événements Zero Networks Audit dans Microsoft Sentinel via l’API REST. Ce connecteur de données utilise la fonctionnalité d’interrogation native de Microsoft Sentinel.

Tables Log Analytics :
- ZNSegmentAuditNativePoller_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Jeton d’API Zero Networks : ZeroNetworksAPIToken est requis pour l’API REST. Consultez le Guide de l’API et suivez les instructions pour obtenir des informations d’identification.

Zero Networks
Audit de segment de réseaux zéro (fonction) (à l’aide d’Azure Functions)
Le connecteur de données Zero Networks Segment Audit permet d’ingérer des événements d’audit dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous au guide de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- ZNSegmentAudit_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API REST : Aucun jeton d’APIsegment de réseaux est requis pour l’API REST. Consultez le Guide de l’API.

Zero Networks
ZeroFox CTI (à l’aide d’Azure Functions)
The ZeroFox CTI data connectors provide the capability to ingest the different ZeroFox cyber threat intelligence alerts into Microsoft Sentinel.

Tables Log Analytics :
- ZeroFox_CTI_advanced_dark_web_CL
- ZeroFox_CTI_botnet_CL
- ZeroFox_CTI_breaches_CL
- ZeroFox_CTI_C2_CL
- ZeroFox_CTI_compromised_credentials_CL
- ZeroFox_CTI_credit_cards_CL
- ZeroFox_CTI_dark_web_CL
- ZeroFox_CTI_discord_CL
- ZeroFox_CTI_disruption_CL
- ZeroFox_CTI_email_addresses_CL
- ZeroFox_CTI_exploits_CL
- ZeroFox_CTI_irc_CL
- ZeroFox_CTI_malware_CL
- ZeroFox_CTI_national_ids_CL
- ZeroFox_CTI_phishing_CL
- ZeroFox_CTI_phone_numbers_CL
- ZeroFox_CTI_ransomware_CL
- ZeroFox_CTI_telegram_CL
- ZeroFox_CTI_threat_actors_CL
- ZeroFox_CTI_vulnerabilities_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API ZeroFox : Le nom d’utilisateur ZeroFox, le jeton d’accès personnel ZeroFox est requis pour l’API REST ZeroFox CTI.

ZeroFox
ZeroFox Enterprise - Alertes (interrogation CCF)
Collecte des alertes à partir de l’API ZeroFox.

Tables Log Analytics :
- ZeroFoxAlertPoller_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Jeton d’accès personnel ZeroFox (PAT) : un PAT ZeroFox est requis. Vous pouvez l’obtenir dans les >.

ZeroFox
Zimperium Mobile Threat Defense
Le connecteur Zimperium Mobile Threat Defense vous permet de connecter le journal des menaces Zimperium avec Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer l’investigation. Cela vous donne plus d’informations sur le paysage des menaces mobiles de votre organisation et améliore vos capacités d’opération de sécurité.

Tables Log Analytics :
- ZimperiumThreatLog_CL

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Zimperium
Rapports de zoom (à l’aide d’Azure Functions)
The Zoom Reports data connector provides the capability to ingest Zoom Reports events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

Tables Log Analytics :
- Zoom_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : AccountID, ClientID et ClientSecret sont requis pour l’API Zoom. For more information, see Zoom API. Suivez les instructions pour les configurations de l’API Zoom.

Microsoft Corporation

Connecteurs de données Sentinel déconseillés

Note

Le tableau suivant répertorie les connecteurs de données déconseillés et hérités. Les connecteurs déconseillés ne sont plus pris en charge.

Connector Supported by
[Déconseillé] Atlassian Confluence Audit (à l’aide d’Azure Functions)
The Atlassian Confluence Audit data connector provides the capability to ingest Confluence Audit Records for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :
- Confluence_Audit_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : ConfluenceAccessToken, ConfluenceUsername est requis pour l’API REST. For more information, see API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

Microsoft Corporation
[Déconseillé] Cisco Secure Endpoint (AMP) (à l’aide d’Azure Functions)
The Cisco Secure Endpoint (formerly AMP for Endpoints) data connector provides the capability to ingest Cisco Secure Endpoint audit logs and events into Microsoft Sentinel.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification de l’API Cisco Secure Endpoint : l’ID client du point de terminaison sécurisé Cisco et la clé API sont nécessaires. Pour plus d’informations, consultez l’API Cisco Secure Endpoint. API domain must be provided as well.

Microsoft Corporation
[Déconseillé] Google Cloud Platform Cloud Monitoring (à l’aide d’Azure Functions)
Le connecteur de données Google Cloud Platform Cloud Monitoring permet d’ingérer des métriques de surveillance GCP dans Microsoft Sentinel à l’aide de l’API de surveillance GCP. Pour plus d’informations, consultez la documentation de l’API de surveillance GCP.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Compte de service GCP : le compte de service GCP disposant des autorisations nécessaires pour lire les métriques de supervision cloud est requis pour l’API de supervision GCP (rôle Visionneuse de surveillance requis). Un fichier json avec une clé de compte de service est également requis. Consultez la documentation pour en savoir plus sur la création d’un compte de service et la création de la clé de compte de service.

Microsoft Corporation
[Déconseillé] Google Cloud Platform DNS (à l’aide d’Azure Functions)
Le connecteur de données Google Cloud Platform DNS permet d’ingérer des journaux de requête DNS cloud et des journauxd’audit DNS cloud dans Microsoft Sentinel à l’aide de l’API de journalisation GCP. Pour plus d’informations, consultez la documentation de l’API de journalisation GCP.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Compte de service GCP : le compte de service GCP disposant des autorisations nécessaires pour lire les journaux (avec l’autorisation « logging.logEntries.list ») est requis pour l’API de journalisation GCP. Un fichier json avec une clé de compte de service est également requis. See the documentation to learn more about permissions, creating service account and creating service account key.

Microsoft Corporation
[Déconseillé] Google Cloud Platform IAM (à l’aide d’Azure Functions)
Le connecteur de données Google Cloud Platform IAM (Identity and Access Management) offre la possibilité d’ingérer des journaux IAM GCP dans Microsoft Sentinel à l’aide de l’API de journalisation GCP. Pour plus d’informations, consultez la documentation de l’API de journalisation GCP.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Compte de service GCP : le compte de service GCP disposant des autorisations de lecture des journaux est requis pour l’API de journalisation GCP. Un fichier json avec une clé de compte de service est également requis. See the documentation to learn more about required permissions, creating service account and creating service account key.

Microsoft Corporation
[Déconseillé] Infoblox SOC Insight Data Connector via l’agent hérité
Le connecteur Infoblox SOC Insight Data Connector vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal.

Ce connecteur de données ingère les journaux Infoblox SOC Insight CDC dans votre espace de travail Log Analytics à l’aide de l’agent Log Analytics hérité.

Microsoft recommande l’installation d’Infoblox SOC Insight Data Connector via AMA Connector. Le connecteur hérité utilise l’agent Log Analytics qui est sur le point d’être déconseillé par le 31 août 2024 et ne doit être installé que si AMA n’est pas pris en charge.

L’utilisation de MMA et AMA sur le même ordinateur peut entraîner la duplication des journaux et un coût d’ingestion supplémentaire. More details.

Tables Log Analytics :
- CommonSecurityLog

Prise en charge des règles de collecte de données :
Transformation d’espace de travail DCR

Infoblox
[Déconseillé] Journaux et événements Microsoft Exchange
Déconseillé, utilisez les dataconnecteurs « ESI-Opt ». Vous pouvez transmettre en continu tous les événements d’audit Exchange, les journaux IIS, les journaux proxy HTTP et les journaux des événements de sécurité des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela est utilisé par les classeurs de sécurité de Microsoft Exchange pour fournir des informations de sécurité sur votre environnement Exchange local

Tables Log Analytics :
- Event
- SecurityEvent
- W3CIISLog
- MessageTrackingLog_CL
- ExchangeHttpProxy_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. Learn more

- Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here

Community
[Déconseillé] OneLogin IAM Platform (à l’aide d’Azure Functions)
The OneLogin data connector provides the capability to ingest common OneLogin IAM Platform events into Microsoft Sentinel through Webhooks. L’API de webhook d’événement OneLogin, également appelée Diffuseur d’événements, envoie des lots d’événements en quasi-temps réel à un point de terminaison que vous spécifiez. Quand une modification se produit dans OneLogin, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de connecteur de données de rappel. Refer to Webhooks documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Webhooks Credentials/permissions: OneLoginBearerToken, Callback URL are required for working Webhooks. See the documentation to learn more about configuring Webhooks.You need to generate OneLoginBearerToken according to your security requirements and use it in Custom Headers section in format: Authorization: Bearer OneLoginBearerToken. Format des journaux : tableau JSON.

Microsoft Corporation
[Déconseillé] Proofpoint On Demand Email Security (à l’aide d’Azure Functions)
Le connecteur de données Proofpoint On Demand Email Security permet d’obtenir des données Proofpoint on Demand Email Protection, laisse les utilisateurs vérifier la traçabilité des messages, en surveillant l’activité du courrier électronique, les menaces et l’exfiltration de données par des attaquants et des personnes internes malveillantes. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir les fichiers journaux des événements par incréments horaires pour l’activité récente.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :
- ProofpointPOD_message_CL
- ProofpointPOD_maillog_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API Websocket : ProofpointClusterID, ProofpointToken est requis. For more information, see API.

Microsoft Corporation
[Déconseillé] Tap Proofpoint (à l’aide d’Azure Functions)
Le connecteur Proofpoint Targeted Attack Protection (TAP) offre la capacité d’ingérer les journaux et événements Proofpoint TAP dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les événements de message et de clic dans Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :
- ProofPointTAPMessagesDelivered_CL
- ProofPointTAPMessagesBlocked_CL
- ProofPointTAPClicksPermitted_CL
- ProofPointTAPClicksBlocked_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Clé API Proofpoint TAP : un nom d’utilisateur et un mot de passe de l’API Proofpoint TAP sont requis. Pour plus d’informations, consultez l’API SIEM Proofpoint.

Microsoft Corporation
[Déconseillé] Qualys Vulnerability Management (à l’aide d’Azure Functions)
Le connecteur de données Qualys Vulnerability Management (VM) permet d’ingérer des données de détection d’hôte de vulnérabilité dans Microsoft Sentinel via l’API Qualys. Le connecteur offre une visibilité sur les données de détection d’hôte à partir d’analyses de vulnérabilité. Ce connecteur fournit à Microsoft Sentinel la possibilité d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :
- QualysHostDetectionV2_CL
- QualysHostDetection_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Clé API Qualys : un nom d’utilisateur et un mot de passe de l’API de machine virtuelle Qualys sont requis. Pour plus d’informations, consultez l’API de machine virtuelle Qualys.

Microsoft Corporation
[Déconseillé] Salesforce Service Cloud (à l’aide d’Azure Functions)
Le connecteur de données Salesforce Service Cloud permet d’ingérer les informations sur vos événements opérationnels Salesforce dans Microsoft Sentinel via l’API REST. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir les fichiers journaux des événements par incréments horaires pour l’activité récente.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : nom d’utilisateur de l’API Salesforce, mot de passe de l’API Salesforce, jeton de sécurité Salesforce, clé de consommateur Salesforce, secret consommateur Salesforce est requis pour l’API REST. For more information, see API.

Microsoft Corporation
[Déconseillé] Slack Audit (à l’aide d’Azure Functions)
The Slack Audit data connector provides the capability to ingest Slack Audit Records events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :
- SlackAudit_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Informations d’identification/autorisations de l’API REST : SlackAPIBearerToken est requis pour l’API REST. For more information, see API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.

Microsoft Corporation
[Déconseillé] Snowflake (à l’aide d’Azure Functions)
The Snowflake data connector provides the capability to ingest Snowflake login logs and query logs into Microsoft Sentinel using the Snowflake Python Connector. Refer to Snowflake documentation for more information.

REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée.

Tables Log Analytics :
- Snowflake_CL

Prise en charge des règles de collecte de données :
Non prise en charge pour le moment

Prerequisites:
- Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.

- Snowflake Credentials: Snowflake Account Identifier, Snowflake User and Snowflake Password are required for connection. Consultez la documentation pour en savoir plus sur l’identificateur de compte Snowflake. Les instructions de création de l’utilisateur pour ce connecteur s’affichent pendant le processus d’installation.

Microsoft Corporation
Événements de sécurité via l’agent hérité
Vous pouvez diffuser en continu tous les événements de sécurité à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Pour plus d’informations, consultez la documentation Microsoft Sentinel.

Tables Log Analytics :
- SecurityEvent

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Microsoft Defender pour cloud basé sur un abonnement (hérité)
Microsoft Defender pour le cloud est un outil de gestion de la sécurité qui vous permet de détecter les menaces et d’y répondre rapidement sur les charges de travail Azure, hybrides et multiclouds. Ce connecteur vous permet de diffuser en streaming vos alertes de sécurité à partir de Microsoft Defender pour le cloud dans Microsoft Sentinel, ce qui vous permet d’afficher les données Defender dans des classeurs, de les interroger pour produire des alertes, et d’investiguer les incidents et d’y répondre.

Pour plus d’informations>

Tables Log Analytics :
- SecurityAlert

Prise en charge des règles de collecte de données :
Non pris en charge actuellement

Microsoft Corporation
Syslog via l’agent hérité
Syslog est un protocole de journalisation d’événements commun à Linux. Les applications envoient les messages qui peuvent être stockés sur l’ordinateur local ou remis à un collecteur Syslog. Lorsque l’agent pour Linux est installé, il configure le démon local Syslog pour qu’il transfère des messages à l’agent. L’agent envoie ensuite le message à l’espace de travail.

En savoir plus >

Tables Log Analytics :
- Syslog

Prise en charge des règles de collecte de données :
Transformation d’espace de travail DCR

Microsoft Corporation

Next steps

Pour plus d'informations, consultez les pages suivantes :