Rechercher votre connecteur de données Microsoft Sentinel

2025-05-28
S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Cet article répertorie tous les connecteurs de données prêts à l’emploi pris en charge et des liens vers les étapes de déploiement de chacun.

Important

Les connecteurs de données Microsoft Sentinel notés sont actuellement en préversion. Les termes supplémentaires de la préversion Azure incluent des termes juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore publiées dans la disponibilité générale.
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5. À compter de juillet 2026, Microsoft Sentinel sera pris en charge uniquement dans le portail Defender, et tous les clients restants utilisant le portail Azure seront automatiquement redirigés. Nous vous recommandons que tous les clients utilisant Microsoft Sentinel dans Azure commencent à planifier la transition vers le portail Defender pour l’expérience complète des opérations de sécurité unifiée offerte par Microsoft Defender. Pour plus d’informations, consultez Planification de votre passage au portail Microsoft Defender pour tous les clients Microsoft Sentinel (blog).

Les connecteurs de données sont disponibles dans le cadre des offres suivantes :

Solutions : de nombreux connecteurs de données sont déployés dans le cadre de la solution Microsoft Sentinel avec du contenu associé, comme les règles d’analyse, les classeurs et les playbooks. Pour plus d’informations, consultez le catalogue de solutions Microsoft Sentinel.
Connecteurs de la communauté : d’autres connecteurs de données sont fournis par la communauté Microsoft Sentinel et se trouvent sur la Place de marché Azure. La documentation relative aux connecteurs de données de la communauté relève de la responsabilité de l’organisation qui a créé le connecteur.
Connecteurs personnalisés : Si vous avez une source de données qui n’est pas répertoriée ou n’est pas actuellement prise en charge, vous pouvez également créer votre propre connecteur personnalisé. Pour plus d’informations, consultez Ressources pour créer des connecteurs personnalisés Microsoft Sentinel.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds US Government, consultez les tables Microsoft Sentinel dans la disponibilité des fonctionnalités cloud pour les clients us Government.

Prérequis des connecteurs de données

Chaque connecteur de données a son propre ensemble de prérequis. Parmi les prérequis figure la nécessité de disposer d’autorisations spécifiques sur votre espace de travail, votre abonnement ou votre stratégie. Ou, de répondre à d’autres exigences liées à la source de données partenaire à laquelle vous vous connectez.

Les prérequis de chaque connecteur de données sont listés sur la page du connecteur de données approprié dans Microsoft Sentinel.

Les connecteurs de données basés sur l’agent Azure Monitor (AMA) nécessitent une connexion Internet à partir du système où l’agent est installé. Activez le port 443 sortant pour autoriser une connexion entre le système où l’agent est installé et Microsoft Sentinel.

Connecteurs Syslog and Common Event Format (CEF)

La collecte de journaux à partir de nombreuses appliances de sécurité et appareils est prise en charge par les connecteurs de données Syslog via AMA ou CEF (Common Event Format) via AMA dans Microsoft Sentinel. Pour transférer des données à votre espace de travail Log Analytics pour Microsoft Sentinel, suivez les étapes de réception des messages syslog et CEF vers Microsoft Sentinel avec l’agent Azure Monitor. Ces étapes incluent l’installation de la solution Microsoft Sentinel pour une appliance de sécurité ou un appareil à partir du hub de contenu dans Microsoft Sentinel. Ensuite, configurez Syslog via AMA ou COMMON Event Format (CEF) via le connecteur de données AMA approprié pour la solution Microsoft Sentinel que vous avez installée. Terminez la configuration en configurant l’appareil de sécurité ou l’appliance. Recherchez des instructions pour configurer votre appareil de sécurité ou votre appliance dans l’un des articles suivants :

Contactez le fournisseur de solutions pour plus d’informations ou pour savoir où les informations ne sont pas disponibles pour l’appliance ou l’appareil.

Journaux personnalisés via le connecteur AMA

Filtrer et ingérer des journaux au format de fichier texte à partir d’applications réseau ou de sécurité installées sur des machines Windows ou Linux à l’aide des journaux personnalisés via le connecteur AMA dans Microsoft Sentinel. Pour plus d’informations, consultez les articles suivants :

Connecteurs de données Sentinel

Notes

Le tableau suivant répertorie les connecteurs de données disponibles dans le hub de contenu Microsoft Sentinel. Les connecteurs sont pris en charge par le fournisseur de produits. Pour obtenir la prise en charge, consultez le lien dans la colonne Prise en charge par colonne du tableau suivant.

Connecteur	Pris en charge par
1Password (serverless) Le connecteur CCF 1Password permet à l’utilisateur d’ingérer des événements 1Password Audit, Signin &ItemUsage dans Microsoft Sentinel. Tables Log Analytics : - `OnePasswordEventLogs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Jeton d’API 1Password : un jeton d’API 1Password est requis. Consultez la documentation 1Password sur la création d’un jeton d’API.	1Password
1Password (à l’aide d’Azure Functions) La solution 1Password pour Microsoft Sentinel vous permet d’ingérer des tentatives de connexion, une utilisation des éléments et des événements d’audit à partir de votre compte professionnel 1Password à l’aide de l’API de création de rapports d’événements 1Password. Cela vous permet de surveiller et d’examiner les événements dans 1Password dans Microsoft Sentinel, ainsi que les autres applications et services que votre organisation utilise. Technologies sous-jacentes Microsoft utilisées : Cette solution dépend des technologies suivantes, dont certaines peuvent être en Préversion ou peuvent entraîner des coûts supplémentaires d’ingestion ou d’exploitation : - Azure Functions Tables Log Analytics : - `OnePasswordEventLogs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - 1Password Events API Token : A 1Password Events API Token is required. Pour plus d’informations, consultez l’API 1Password. Note: Un compte 1Password Business est requis	1Password
AnomalieSecurity (à l’aide d’Azure Function) Le connecteur de données Abnormal Security permet d’ingérer des journaux de menace et de cas dans Microsoft Sentinel à l’aide de l’API REST Abnormal Security. Tables Log Analytics : - `ABNORMAL_THREAT_MESSAGES_CL` - `ABNORMAL_CASES_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Jeton d’API de sécurité anormal : un jeton d’API de sécurité anormal est requis. Pour plus d’informations, consultez l’API de sécurité anormale. Note: Un compte de sécurité anormal est requis	Sécurité anormale
AIShield Le connecteur AIShield permet aux utilisateurs de se connecter aux journaux du mécanisme de défense personnalisé AIShield avec Microsoft Sentinel, ce qui permet de créer des tableaux de bord dynamiques, des classeurs, des notebooks et des alertes personnalisées afin d’améliorer l’investigation et de contrecarrer les attaques sur les systèmes IA. Il donne aux utilisateurs plus d’informations sur la sécurité des ressources IA de leur organisation et améliore leurs fonctionnalités d’opération de sécurité des systèmes d’INTELLIGENCE artificielle. AIShield.GuArdIan analyse le contenu généré par LLM pour identifier et atténuer les contenus nuisibles, protéger contre les violations légales, de stratégie, basées sur des rôles et basées sur l’utilisation Tables Log Analytics : - `AIShield_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Remarque : Les utilisateurs doivent avoir utilisé l’offre AIShield SaaS pour effectuer une analyse des vulnérabilités et déployer des mécanismes de défense personnalisés générés avec leur ressource IA. Cliquez ici pour en savoir plus ou contacter.	AIShield
AliCloud (à l’aide d’Azure Functions) Le connecteur de données AliCloud permet de récupérer des journaux d’applications cloud à l’aide de l’API cloud et de stocker des événements dans Microsoft Sentinel via l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `AliCloud_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : AliCloudAccessKeyId et AliCloudAccessKey sont nécessaires pour effectuer des appels d’API.	Microsoft Corporation
Amazon Web Services Les instructions de connexion à AWS et de diffuser en continu vos journaux CloudTrail dans Microsoft Sentinel sont affichées pendant le processus d’installation. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AWSCloudTrail` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Amazon Web Services S3 Il vous permet d’ingérer des journaux des services AWS, collectés dans des compartiments AWS S3, dans Microsoft Sentinel. Les types de données actuellement pris en charge sont les suivants : * AWS CloudTrail * Journaux de flux DU VPC * AWS GuardDuty * AWSCloudWatch Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AWSGuardDuty` - `AWSVPCFlow` - `AWSCloudTrail` - `AWSCloudWatch` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Environnement : les ressources AWS suivantes doivent être définies et configurées : S3, Simple Queue Service (SQS), les stratégies de rôles et d’autorisations IAM et les services AWS dont vous souhaitez collecter les journaux.	Microsoft Corporation
Amazon Web Services S3 WAF Ce connecteur vous permet d’ingérer des journaux WAF AWS, collectés dans des compartiments AWS S3, dans Microsoft Sentinel. Les journaux WAF AWS sont des enregistrements détaillés du trafic que les listes de contrôle d’accès web (ACL) analysent, ce qui est essentiel pour maintenir la sécurité et les performances des applications web. Ces journaux contiennent des informations telles que l’heure à laquelle AWS WAF a reçu la demande, les spécificités de la demande et l’action effectuée par la règle correspondant à la demande. Tables Log Analytics : - `AWSWAF` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Sécurité du cloud ARGOS L’intégration d’ARGOS Cloud Security pour Microsoft Sentinel vous permet d’avoir tous vos événements importants de sécurité cloud au même endroit. Cela vous permet de créer facilement des tableaux de bord, des alertes et de mettre en corrélation des événements sur plusieurs systèmes. Dans l’ensemble, cela améliorera la posture de sécurité et la réponse aux incidents de sécurité de votre organisation. Tables Log Analytics : - `ARGOS_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Sécurité du cloud ARGOS
Activités d’alertes Armis (à l’aide d’Azure Functions) Le connecteur Activités des alertes Armis offre la possibilité d’ingérer des alertes et des activités Armis dans Microsoft Sentinel via l’API REST Armis. Pour plus d’informations, consultez la documentation de l’API : `https://<YourArmisInstance>.armis.com/api/v1/docs` Le connecteur permet d’obtenir des informations sur les alertes et les activités à partir de la plateforme Armis et d’identifier et de hiérarchiser les menaces dans votre environnement. Armis utilise votre infrastructure existante pour découvrir et identifier des appareils en évitant de déployer des agents. Tables Log Analytics : - `Armis_Alerts_CL` - `Armis_Activities_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : la clé secrète Armis est requise. Consultez la documentation pour en savoir plus sur l’API sur le `https://<YourArmisInstance>.armis.com/api/v1/doc`	Armis Corporation
Appareils Armis (à l’aide d’Azure Functions) Le connecteur Armis Devices offre la possibilité d’ingérer Armis Devices dans Microsoft Sentinel via l’API REST Armis. Pour plus d’informations, consultez la documentation de l’API : `https://<YourArmisInstance>.armis.com/api/v1/docs` Le connecteur offre la possibilité d’obtenir des informations sur des appareils à partir de la plateforme Armis. Armis utilise votre infrastructure existante pour découvrir et identifier des appareils en évitant de déployer des agents. Armis peut également s’intégrer à vos outils informatiques et de gestion de la sécurité existants pour identifier et hiérarchiser tous les appareils, gérés ou non gérés, de votre environnement. Tables Log Analytics : - `Armis_Devices_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : la clé secrète Armis est requise. Consultez la documentation pour en savoir plus sur l’API sur le `https://<YourArmisInstance>.armis.com/api/v1/doc`	Armis Corporation
Armorblox (à l’aide d’Azure Function) Le connecteur de données Armorblox permet d’ingérer des incidents à partir de votre instance Armorblox dans Microsoft Sentinel via l’API REST. Le connecteur offre la possibilité d’obtenir des événements, ce qui permet d’examiner les risques de sécurité potentiels, et bien plus encore. Tables Log Analytics : - `Armorblox_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Détails de l’instance Armorblox : ArmorbloxInstanceName OR ArmorbloxInstanceURL est requis - Informations d’identification de l’API Armorblox : ArmorbloxAPIToken est requis	armorblox
Alertes de beacon Atlassian Atlassian Beacon est un produit cloud conçu pour la détection intelligente des menaces sur les plateformes Atlassian (Jira, Confluence, and Atlassian Admin). Il permet aux utilisateurs de détecter, d’enquêter et de répondre à l’activité d’un utilisateur à risque pour la suite de produits Atlassian. La solution est un connecteur de données personnalisé de DEFEND Ltd. utilisé pour afficher les alertes ingérées d’Atlassian Beacon vers Microsoft Sentinel via une application logique. Tables Log Analytics : - `atlassian_beacon_alerts_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	DEFEND Ltd.
Atlassian Confluence Audit (via Codeless Connector Framework) Le connecteur de données Atlassian Confluence Audit permet d’ingérer des événements Confluence Audit Records dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `ConfluenceAuditLogs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Accès à l’API Atlassian Confluence : l’autorisation d’administrer Confluence est requise pour accéder à l’API des journaux d’audit Confluence. Consultez la documentation de l’API Confluence pour en savoir plus sur l’API d’audit.	Microsoft Corporation
Atlassian Jira Audit (à l’aide d’Azure Functions) Le connecteur de données Atlassian Jira Audit permet d’ingérer des événements Jira Audit Records dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `Jira_Audit_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : JiraAccessToken, JiraUsername est requis pour l’API REST. Pour plus d’informations, consultez l’API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.	Microsoft Corporation
Atlassian Jira Audit (à l’aide de l’API REST) Le connecteur de données Atlassian Jira Audit permet d’ingérer des événements Jira Audit Records dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `Jira_Audit_v2_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Accès à l’API Atlassian Jira : l’autorisation d’administrer Jira est requise pour accéder à l’API des journaux d’audit Jira. Consultez la documentation de l’API Jira pour en savoir plus sur l’API d’audit.	Microsoft Corporation
Gestion des accès auth0 (à l’aide d’Azure Functions) Le connecteur de données Auth0 Access Management offre la possibilité d’ingérer des événements de journal Auth0 dans Microsoft Sentinel Tables Log Analytics : - `Auth0AM_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : le jeton d’API est requis. Pour plus d’informations, consultez le jeton d’API	Microsoft Corporation
Journaux d’authentification Le connecteur de données Auth0 permet d’ingérer des journaux d’activité à partir de l’API Auth0 dans Microsoft Sentinel. Le connecteur de données est basé sur Microsoft Sentinel Codeless Connector Framework. Il utilise l’API Auth0 pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances. Tables Log Analytics : - `Auth0Logs_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Logique automatisée WebCTRL Vous pouvez diffuser en continu les journaux d’audit à partir du serveur SQL WebCTRL hébergé sur des machines Windows connectées à votre instance Microsoft Sentinel. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela donne des insights sur vos systèmes de contrôle industriel surveillés ou contrôlés par l’application WebCTRL BAS. Tables Log Analytics : - `Event` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Activité Azure Le Journal d'activité Azure est un journal d'abonnement qui fournit des insights sur les événements au niveau de l'abonnement qui se produisent dans Azure, notamment les événements des données opérationnelles Azure Resource Manager, les événements d'intégrité du service, les opérations d'écriture effectuées sur les ressources de votre abonnement et l'état des activités exécutées dans Azure. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AzureActivity` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Compte Azure Batch Un compte Azure Batch est une entité identifiée de façon unique au sein du service Batch. La plupart des solutions Batch utilisent le stockage Azure pour stocker des fichiers de ressources et des fichiers de sortie. Par conséquent, chaque compte Batch est généralement associé à un compte de stockage correspondant. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic de compte Azure Batch dans Microsoft Sentinel, afin de pouvoir surveiller en continu l’activité. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie	Microsoft Corporation
Azure CloudNGFW By Palo Alto Networks Le Pare-feu cloud nouvelle génération de Palo Alto Networks, un service ISV natif Azure, est le pare-feu de nouvelle génération (NGFW) Palo Alto Networks fourni en tant que service natif cloud sur Azure. Vous pouvez découvrir Cloud NGFW sur la Place de marché Azure et l’utiliser dans vos réseaux virtuels Azure. Avec Cloud NGFW, vous pouvez accéder aux principales fonctionnalités NGFW telles que l’ID d’application et les technologies basées sur le filtrage d’URL. Il fournit la prévention et la détection des menaces par le biais de services de sécurité fournis par le cloud et de signatures de prévention des menaces. Le connecteur vous permet de connecter facilement vos journaux Cloud NGFW à Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Pour plus d’informations, consultez la documentation Azure relative à Cloud NGFW. Tables Log Analytics : - `fluentbit_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Réseaux Palo Alto
Recherche cognitive Azure Recherche cognitive Azure est un service de recherche cloud qui offre aux développeurs une infrastructure, des API et des outils permettant d’élaborer une expérience de recherche riche, sur du contenu privé et hétérogène, dans les applications web, mobiles et d’entreprise. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic Recherche cognitive Azure dans Microsoft Sentinel, ce qui vous permet de superviser en continu l’activité. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie	Microsoft Corporation
Azure DDoS Protection Connectez-vous aux journaux Azure DDoS Protection Standard via les journaux de diagnostic d’adresse IP publique. Outre la protection DDoS de base sur la plateforme, Azure DDoS Protection Standard fournit des fonctions d’atténuation DDoS avancées contre les attaques réseau. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques. Vous pouvez facilement activer cette protection durant la création de réseaux virtuels. Vous pouvez également l’activer après la création ; aucun changement au niveau de l’application ou de la ressource ne s’impose. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Journaux d’audit Azure DevOps (via Codeless Connector Framework) Le connecteur de données journaux d’audit Azure DevOps vous permet d’ingérer des événements d’audit d’Azure DevOps dans Microsoft Sentinel. Ce connecteur de données est créé à l’aide de Microsoft Sentinel Codeless Connector Framework, ce qui garantit une intégration transparente. Il tire parti de l’API Journaux d’audit Azure DevOps pour extraire des événements d’audit détaillés et prend en charge les transformations de temps d’ingestion basées sur DCR. Ces transformations permettent d’analyser les données d’audit reçues dans une table personnalisée pendant l’ingestion, ce qui améliore les performances des requêtes en éliminant la nécessité d’analyser supplémentaire. À l’aide de ce connecteur, vous pouvez bénéficier d’une visibilité améliorée de votre environnement Azure DevOps et simplifier vos opérations de sécurité. Tables Log Analytics : - `ADOAuditLogs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Prérequis Azure DevOps : vérifiez les éléments suivants : 1. Inscrivez une application Entra dans le Centre d’administration Microsoft Entra sous Inscriptions d’applications. 2. Dans « Autorisations d’API », ajoutez des autorisations à « Azure DevOps - vso.auditlog ». 3. Dans « Certificats & secrets », générez « Secret client ». 4. Dans « Authentification », ajoutez l’URI de redirection : «https://portal.azure.com/TokenAuthorize/ExtensionName/Microsoft_Azure_Security_Insights ». 5. Dans les paramètres Azure DevOps , activez le journal d’audit et définissez le journal d’audit Afficher l’utilisateur. Audit Azure DevOps.	Microsoft Corporation
Azure Event Hub Azure Event Hubs est une plateforme de streaming de Big Data et un service d’ingestion d’événements. Il peut recevoir et traiter des millions d’événements par seconde. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic Azure Event Hub dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie	Microsoft Corporation
Pare-feu Azure Connectez-vous au Pare-feu Azure. Le Pare-feu Azure est un service de sécurité réseau cloud managé qui protège vos ressources de réseau virtuel Azure. Il s’agit d’un service de pare-feu avec état intégral, doté d’une haute disponibilité intégrée et d’une scalabilité illimitée dans le cloud. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AzureDiagnostics` - `AZFWApplicationRule` - `AZFWFlowTrace` - `AZFWFatFlow` - `AZFWNatRule` - `AZFWDnsQuery` - `AZFWIdpsSignature` - `AZFWInternalFqdnResolutionFailure` - `AZFWNetworkRule` - `AZFWThreatIntel` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Azure Key Vault Azure Key Vault est un service cloud permettant de stocker et d’accéder en toute sécurité aux secrets. Un secret est tout ce que vous souhaitez contrôler étroitement l’accès, comme les clés API, les mots de passe, les certificats ou les clés de chiffrement. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic Azure Key Vault dans Microsoft Sentinel, afin de pouvoir surveiller en continu l'activité de toutes vos instances. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Azure Kubernetes Service (AKS) Azure Kubernetes Service (AKS) est un service d’orchestration de conteneurs open source et entièrement managé qui vous permet de déployer, de mettre à l’échelle et de gérer des conteneurs Docker et des applications basées sur des conteneurs dans un environnement de cluster. Ce connecteur vous permet de diffuser en streaming vos journaux de diagnostic AKS (Azure Kubernetes Service) dans Microsoft Sentinel, ce qui vous permet de superviser continuellement l’activité dans toutes vos instances. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Azure Logic Apps Azure Logic Apps est une plateforme cloud pour la création et l’exécution de workflows automatisés qui intègrent vos applications, données, services et systèmes. Ce connecteur vous permet d’envoyer en streaming vos journaux de diagnostic Azure Logic Apps dans Microsoft Sentinel, afin que vous puissiez superviser en permanence l’activité. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie	Microsoft Corporation
Azure Service Bus Azure Service Bus est un répartiteur de messages d’entreprise entièrement géré avec des files d’attente de messages et des rubriques de publication-abonnement (dans un espace de noms). Ce connecteur vous permet de diffuser en streaming vos journaux de diagnostic Azure Service Bus dans Microsoft Sentinel, ce qui vous permet de superviser en continu l’activité. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie	Microsoft Corporation
Bases de données Azure SQL Azure SQL est un moteur de base de données PaaS (Platform-as-a-Service) complètement managé qui prend en charge la plupart des fonctions de gestion de base de données telles que la mise à niveau, la mise à jour corrective, les sauvegardes et la surveillance, sans nécessiter l’intervention de l’utilisateur. Ce connecteur vous permet d’envoyer les journaux d’audit et de diagnostic de vos bases de données Azure SQL vers Microsoft Sentinel, ce qui vous permet de surveiller en permanence l’activité de toutes vos instances. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Compte de stockage Azure Le compte Stockage Azure est une solution cloud pour les scénarios modernes de stockage de données. Il contient tous vos objets de données : blobs, fichiers, files d’attente, tables et disques. Ce connecteur vous permet de diffuser en continu les journaux de diagnostic des comptes de stockage Azure dans votre espace de travail Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité dans toutes vos instances et de détecter les activités malveillantes au sein de votre organisation. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AzureMetrics` - `StorageBlobLogs` - `StorageQueueLogs` - `StorageTableLogs` - `StorageFileLogs` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie	Microsoft Corporation
Azure Stream Analytics Azure Stream Analytics est un moteur complexe d’analyse et de traitement d’événements en temps réel conçu pour analyser et traiter de grands volumes de données diffusées, ou de données diffusées rapidement à partir de nombreuses sources à la fois. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic du hub Azure Stream Analytics dans Microsoft Sentinel, ce qui vous permet de surveiller en continu l’activité. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Stratégie : rôle propriétaire attribué pour chaque étendue d’attribution de stratégie	Microsoft Corporation
Pare-feu d’applications web Azure (WAF) Connectez-vous à Azure Web Application Firewall (WAF) pour Application Gateway, Front Door ou CDN. Ce pare-feu d’applications web (WAF) protège vos applications contre les vulnérabilités web courantes telles que l’injection SQL et les scripts intersites, et vous permet de personnaliser les règles afin de réduire le nombre de faux positifs. Les instructions pour diffuser en continu vos journaux de pare-feu d’applications web Microsoft dans Microsoft Sentinel sont affichées pendant le processus d’installation. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
BETTER Mobile Threat Defense (MTD) Le connecteur BETTER MTD permet aux entreprises de connecter leurs instances Better MTD à Microsoft Sentinel, d’afficher leurs données dans des tableaux de bord, de créer des alertes personnalisées, de les utiliser pour déclencher des playbooks et d’étendre des fonctionnalités de repérage des menaces. Cela fournit aux utilisateurs davantage d’informations sur les appareils mobiles de leur organisation et leur offre la possibilité d’analyser rapidement la posture de sécurité mobile actuelle, ce qui améliore leurs capacités globales SecOps. Tables Log Analytics : - `BetterMTDIncidentLog_CL` - `BetterMTDDeviceLog_CL` - `BetterMTDNetflowLog_CL` - `BetterMTDAppLog_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Better Mobile Security Inc.
Bitglass (à l’aide d’Azure Functions) Le connecteur de données Bitglass offre la capacité de récupérer les journaux des événements de sécurité des services Bitglass et autres événements dans Microsoft Sentinel via l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `BitglassLogs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : BitglassToken et BitglassServiceURL sont nécessaires pour effectuer des appels d’API.	Microsoft Corporation
Connecteur de données Bitsight (à l’aide d’Azure Functions) Le connecteur de données BitSight prend en charge la surveillance des cyber-risques basés sur des preuves en apportant des données BitSight dans Microsoft Sentinel. Tables Log Analytics : - `Alerts_data_CL` - `BitsightBreaches_data_CL` - `BitsightCompany_details_CL` - `BitsightCompany_rating_details_CL` - `BitsightDiligence_historical_statistics_CL` - `BitsightDiligence_statistics_CL` - `BitsightFindings_data_CL` - `BitsightFindings_summary_CL` - `BitsightGraph_data_CL` - `BitsightIndustrial_statistics_CL` - `BitsightObservation_statistics_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : Le jeton d’API BitSight est requis. Consultez la documentation pour en savoir plus sur le jeton d’API.	Prise en charge de BitSight
Journaux des événements Bitwarden Ce connecteur fournit un aperçu de l’activité de votre organisation Bitwarden, telle que l’activité de l’utilisateur (connecté, mot de passe modifié, 2fa, etc.), l’activité de chiffrement (créée, mise à jour, supprimée, partagée, etc.), l’activité de collecte, l’activité de l’organisation, etc. Tables Log Analytics : - `BitwardenEventLogs` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - ID client bitwarden et clé secrète client : votre clé API se trouve dans la console d’administration de l’organisation Bitwarden. Pour plus d’informations, consultez la documentation Bitwarden .	Bitwarden Inc
Box (à l’aide d’Azure Functions) Le connecteur de données Box permet d’ingérer les événements d’entreprise Box dans Microsoft Sentinel à l’aide de l’API REST Box. Reportez-vous à la documentation Box pour plus d’informations. Tables Log Analytics : - `BoxEvents_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API Box : le fichier JSON de configuration Box est requis pour l’authentification JWT de l’API REST Box. Pour plus d’informations, consultez l’authentification JWT.	Microsoft Corporation
Box Events (CCF) Le connecteur de données Box permet d’ingérer les événements d’entreprise Box dans Microsoft Sentinel à l’aide de l’API REST Box. Reportez-vous à la documentation Box pour plus d’informations. Tables Log Analytics : - `BoxEventsV2_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Informations d’identification de l’API Box : l’API Box nécessite un ID client Box App et une clé secrète client pour s’authentifier. Pour plus d’informations, consultez l’octroi des informations d’identification du client - ID Box Enterprise : l’ID Box Enterprise est requis pour établir la connexion. Consultez la documentation pour rechercher l’ID d’entreprise	Microsoft Corporation
Check Point CloudGuard CNAPP Connector pour Microsoft Sentinel Le connecteur de données CloudGuard permet l’ingestion d’événements de sécurité à partir de l’API CloudGuard dans Microsoft Sentinel, à l’aide de l’infrastructure de connecteur sans code de Microsoft Sentinel™. Le connecteur prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité entrantes en colonnes personnalisées. Ce processus de pré-analyse élimine la nécessité d’analyser le temps des requêtes, ce qui améliore les performances des requêtes de données. Tables Log Analytics : - `CloudGuard_SecurityEvents_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Clé API CloudGuard : reportez-vous aux instructions fournies ici pour générer une clé API.	Point de Vérification
Cisco ASA/FTD via AMA (préversion) Le connecteur de pare-feu Cisco ASA vous permet de connecter facilement vos journaux Cisco ASA à Microsoft Sentinel, de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer les enquêtes. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Tables Log Analytics : - `CommonSecurityLog` Prise en charge des règles de collecte de données : Transformation de l’espace de travail DCR Configuration requise : - Pour collecter des données à partir de machines virtuelles non-Azure, azure Arc doit être installé et activé. Pour en savoir plus	Microsoft Corporation
Cisco Duo Security (à l’aide d’Azure Functions) Le connecteur de données Cisco Duo Security permet d’ingérer les journaux d’authentification, les journaux d’administration, les journaux de téléphonie, les journaux d’inscription hors connexion et les événements Trust Monitor dans Microsoft Sentinel à l’aide de l’API Cisco Duo Administration. Pour plus d’informations, consultez la documentation de l’API. Tables Log Analytics : - `CiscoDuo_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API Cisco Duo : les informations d’identification de l’API Cisco Duo avec autorisation Accorder le journal de lecture sont requises pour l’API Cisco Duo. Consultez la documentation pour en savoir plus sur la création d’informations d’identification de l’API Cisco Duo.	Microsoft Corporation
Cisco ETD (à l’aide d’Azure Functions) Le connecteur extrait des données de l’API ETD pour l’analyse des menaces Tables Log Analytics : - `CiscoETD_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - API Protection contre les menaces par e-mail, clé API, ID client et Secret : vérifiez que vous disposez de la clé API, de l’ID client et de la clé secrète.	N/A
Cisco Meraki (à l’aide de l’API REST) Le connecteur Cisco Meraki vous permet de connecter facilement vos événements d’organisation Cisco Meraki (événements de sécurité, modifications de configuration et demandes d’API) à Microsoft Sentinel. Le connecteur de données utilise l’API REST Cisco Meraki pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données reçues et ingèrent dans des tables ASIM et personnalisées dans votre espace de travail Log Analytics. Ce connecteur de données bénéficie de fonctionnalités telles que le filtrage au moment de l’ingestion basé sur DCR, la normalisation des données. Schéma ASIM pris en charge : 1. Session réseau 2. Session web 3. Événement d’audit Tables Log Analytics : - `ASimNetworkSessionLogs` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Clé API REST Cisco Meraki : activez l’accès à l’API dans Cisco Meraki et générez la clé API. Pour plus d’informations, consultez la documentation officielle de Cisco Meraki. - Id de l’organisation Cisco Meraki : obtenez votre ID d’organisation Cisco Meraki pour récupérer les événements de sécurité. Suivez les étapes décrites dans la documentation pour obtenir l’ID d’organisation à l’aide de la clé API Meraki obtenue à l’étape précédente.	Microsoft Corporation
Cisco Secure Endpoint (AMP) (à l’aide d’Azure Functions) Le connecteur de données Cisco Secure Endpoint (anciennement AMP for Endpoints) offre la capacité d’ingérer des journaux d’audit et des événements Cisco Secure Endpoint dans Microsoft Sentinel. Tables Log Analytics : - `CiscoSecureEndpoint_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API Cisco Secure Endpoint : l’ID client du point de terminaison sécurisé Cisco et la clé API sont nécessaires. Pour plus d’informations, consultez l’API Cisco Secure Endpoint. Le domaine d’API doit également être fourni.	Microsoft Corporation
Cisco Software Defined WAN Le connecteur de données Cisco Software Define Wan (SD-WAN) offre la possibilité d’ingérer des données Cisco SD-WAN Syslog et Netflow dans Microsoft Sentinel. Tables Log Analytics : - `Syslog` - `CiscoSDWANNetflow_CL` Prise en charge des règles de collecte de données : Transformation d’espace de travail DCR	Cisco Systems
Cisco Umbrella (à l’aide d’Azure Functions) Le connecteur de données Cisco Umbrella offre la possibilité d’ingérer des événements Cisco Umbrella stockés dans Amazon S3 dans Microsoft Sentinel à l’aide de l’API REST Amazon S3. Pour plus d’informations, consultez la documentation sur la gestion des journaux Cisco Umbrella. Tables Log Analytics : - `Cisco_Umbrella_dns_CL` - `Cisco_Umbrella_proxy_CL` - `Cisco_Umbrella_ip_CL` - `Cisco_Umbrella_cloudfirewall_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST Amazon S3 : ID de clé d’accès AWS, clé d’accès au secret AWS, le nom du compartiment AWS S3 est requis pour l’API REST Amazon S3.	Microsoft Corporation
Claroty xDome Claroty xDome offre des fonctionnalités complètes de gestion des alertes et de la sécurité pour les environnements de réseau médical et industriel. Il est conçu pour mapper plusieurs types sources, identifier les données collectées et les intégrer dans des modèles de données Microsoft Sentinel. Cela entraîne la possibilité de surveiller toutes les menaces potentielles dans vos environnements médicaux et industriels dans un même emplacement, ce qui entraîne une surveillance de sécurité plus efficace et une posture de sécurité plus forte. Tables Log Analytics : - `CommonSecurityLog` Prise en charge des règles de collecte de données : Transformation d’espace de travail DCR	Support technique xDome
Prévisualise (préversion) (à l’aide d’Azure Functions) Le connecteur de données Cloudflare offre la possibilité d’ingérer des journaux Cloudflare dans Microsoft Sentinel à l’aide de Cloudflare Logpush et du Stockage Blob Azure. Pour plus d’informations, consultez la documentation de Cloudfare. Tables Log Analytics : - `Cloudflare_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Chaîne de connexion et nom de conteneur stockage Blob Azure : chaîne de connexion stockage Blob Azure et nom de conteneur vers lequel les journaux sont envoyés (push) par Débogage Logpush. Pour plus d’informations, consultez la création d’un conteneur Stockage Blob Azure.	Déployé
Cognni Le connecteur Cognni offre une intégration rapide et simple à Microsoft Sentinel. Vous pouvez utiliser Cognni pour mapper de manière autonome vos informations importantes non classifiées et détecter les incidents associés. Cela vous permet d’identifier les risques liés à vos informations importantes, de comprendre la gravité des incidents et d’investiguer les détails que vous devez corriger de manière suffisamment rapide pour faire la différence. Tables Log Analytics : - `CognniIncidents_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Cognni
Cohesity (à l’aide d’Azure Functions) Les applications de fonction Cohesity permettent d’ingérer les alertes de rançongiciel Cohesity Datahawk dans Microsoft Sentinel. Tables Log Analytics : - `Cohesity_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Chaîne de connexion et nom de conteneur stockage Blob Azure : chaîne de connexion et nom de conteneur Stockage Blob Azure	Cohesity
CommvaultSecurityIQ (à l’aide d’Azure Functions) Cette fonction Azure permet aux utilisateurs Commvault d’ingérer des alertes/événements dans leur instance Microsoft Sentinel. Avec les règles analytiques, Microsoft Sentinel peut créer automatiquement des incidents Microsoft Sentinel à partir d’événements et de journaux entrants. Tables Log Analytics : - `CommvaultSecurityIQ_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - URL du point de terminaison de l’environnement Commvault : veillez à suivre la documentation et à définir la valeur secrète dans KeyVault - Jeton QSDK Commvault : veillez à suivre la documentation et à définir la valeur secrète dans KeyVault	Commvault
Exportateur de connecteur Corelight Le connecteur de données Corelight permet aux personnes chargées de répondre aux incidents et de chasser les menaces d’utiliser Microsoft Sentinel pour travailler plus rapidement et plus efficacement. Le connecteur de données permet d’ingérer les événements de Zeek et de Suricata via des capteurs Corelight dans Microsoft Sentinel. Tables Log Analytics : - `Corelight` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Corelight
Cortex XDR - Incidents Connecteur de données personnalisé de DEFEND pour utiliser l’API Cortex pour ingérer des incidents de la plateforme Cortex XDR dans Microsoft Sentinel. Tables Log Analytics : - `CortexXDR_Incidents_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Informations d’identification de l’API Cortex : Le jeton d’API Cortex est requis pour l’API REST. Pour plus d’informations, consultez l’API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.	DEFEND Ltd.
Lit d’enfant Le connecteur Cribl vous permet de connecter facilement vos journaux Cribl (Cribl Édition Entreprise – Autonome) avec Microsoft Sentinel. Cela vous permet d’avoir une meilleure vision de la sécurité des pipelines de données de votre organisation. Tables Log Analytics : - `CriblInternal_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Lit d’enfant
CrowdStrike Falcon Adversary Intelligence (à l’aide d’Azure Functions) Le connecteur CrowdStrike Falcon Indicators of Compromise récupère les indicateurs de compromission auprès de l’API Falcon Intel et les charge dans Microsoft Sentinel Threat Intelligence. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - ID client de l’API CrowdStrike et clé secrète client : CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Les informations d’identification CrowdStrike doivent avoir une étendue de lecture d’indicateurs (Falcon Intelligence).	Microsoft Corporation
CrowdStrike Falcon Data Replicator (interrogation S3 via l’infrastructure du connecteur sans code) Le connecteur Crowdstrike Falcon Data Replicator (S3) permet d’ingérer des données d’événements brutes à partir des événements Falcon Platform dans Microsoft Sentinel en interrogeant les API CrowdStrike. Le connecteur permet d’obtenir les événements de Falcon Agents pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc. Tables Log Analytics : - `CrowdStrike_Additional_Events_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
CTERA Syslog Le connecteur de données CTERA pour Microsoft Sentinel offre des fonctionnalités de monitoring et de détection des menaces pour votre solution CTERA. Il comprend un classeur pour visualiser le total de toutes les opérations par type, les suppressions et les opérations d’accès refusé. Il fournit également des règles analytiques qui détectent les incidents liés à des rançongiciels et vous alertent en cas de blocage d’un utilisateur en raison d’une activité de rançongiciel suspecte. En outre, il vous aide à identifier des modèles critiques tels que les événements d’accès refusés par lots, ce qui permet une gestion des menaces et une réponse proactives. Tables Log Analytics : - `Syslog` Prise en charge des règles de collecte de données : Transformation d’espace de travail DCR	CTERA
Journaux personnalisés via AMA De nombreuses applications journalisent des informations sur des fichiers texte ou JSON au lieu de services de journalisation standard, tels que les journaux d’événements Windows, Syslog ou CEF. Le connecteur de données journaux personnalisés vous permet de collecter des événements à partir de fichiers sur des ordinateurs Windows et Linux et de les diffuser en continu vers des tables de journaux personnalisées que vous avez créées. Lors de la diffusion en continu des données, vous pouvez analyser et transformer le contenu à l’aide de la DCR. Après avoir collecté les données, vous pouvez appliquer des règles analytiques, la chasse, la recherche, le renseignement sur les menaces, les enrichissements et bien plus encore. REMARQUE : Utilisez ce connecteur pour les appareils suivants : Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, serveur Apache HTTP, Apache Tomcat, plateforme d’application Jboss Enterprise, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP and AI vectra stream. Tables Log Analytics : - `JBossEvent_CL<br>` - `JuniperIDP_CL<br>` - `ApacheHTTPServer_CL<br>` - `Tomcat_CL<br>` - `meraki_CL<br>` - `VectraStream_CL<br>` - `MarkLogicAudit_CL<br>` - `MongoDBAudit_CL<br>` - `NGINX_CL<br>` - `OracleWebLogicServer_CL<br>` - `PostgreSQL_CL<br>` - `SquidProxy_CL<br>` - `Ubiquiti_CL<br>` - `vcenter_CL<br>` - `ZPA_CL<br>` - `SecurityBridgeLogs_CL<br>` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations : pour collecter des données à partir de machines virtuelles non-Azure, azure Arc doit être installé et activé. Pour en savoir plus	Microsoft Corporation
Intégration de Cyber Blind Spot (à l’aide d’Azure Functions) Dans l’intégration de l’API, vous avez la possibilité de récupérer tous les problèmes liés à vos organisations CBS via une interface RESTful. Tables Log Analytics : - `CBSLog_Azure_1_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.	Cyber Threat Management 360
CyberArkAudit (à l’aide d’Azure Functions) Le connecteur de données CyberArk Audit permet de récupérer les journaux des événements de sécurité du service CyberArkAudit et autres événements dans Microsoft Sentinel via l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `CyberArk_AuditEvents_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Auditer les détails et les informations d’identification des connexions d’API REST : OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint et AuditApiBaseUrl sont nécessaires pour effectuer des appels d’API.	Prise en charge de CyberArk
CyberArkEPM (à l’aide d’Azure Functions) Le connecteur de données CyberArk Endpoint Privilege Manager permet de récupérer les journaux d’événements de sécurité des services CyberArk EPM et d’autres événements dans Microsoft Sentinel par l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `CyberArkEPM_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : CyberArkEPMUsername, CyberArkEPMPassword et CyberArkEPMServerURL sont nécessaires pour effectuer des appels d’API.	Prise en charge de CyberArk
Journaux de sécurité de cyberpion Le connecteur de données Cyberpion Security Logs ingère les journaux d’activité du système Cyberpion directement dans Sentinel. Le connecteur permet aux utilisateurs de visualiser leurs données, de créer des alertes et des incidents et d’améliorer les enquêtes de sécurité. Tables Log Analytics : - `CyberpionActionItems_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Cyberpion : un abonnement et un compte sont requis pour les journaux d’activité de cyberpion. On peut être acquis ici.	Cyberpion
Alertes actionnables Cybersixgill (à l’aide d’Azure Functions) Les alertes actionnables fournissent des alertes personnalisées basées sur des ressources configurées Tables Log Analytics : - `CyberSixgill_Alerts_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : Client_ID et Client_Secret sont nécessaires pour effectuer des appels d’API.	Cybersixgill
Packages de chasse à cyborg Security HUNTER Cyborg Security est un fournisseur de premier plan de solutions de repérage avancé des menaces dont la mission est d’offrir aux organisations une technologie d’avant-garde et des outils collaboratifs pour détecter et répondre de manière proactive aux cybermenaces. L’offre phare de Cyborg Security, la Plateforme HUNTER, associe des analyses puissantes, du contenu organisé de repérage des menaces et des fonctionnalités complètes de gestion du repérage afin de créer un écosystème dynamique d’opérations de repérage efficaces. Suivez les étapes pour accéder à la communauté de Cyborg Security et configurer les fonctionnalités « Ouvrir dans l’outil » dans la Plateforme HUNTER. Tables Log Analytics : - `SecurityEvent` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Sécurité cyborg
Alertes de surface d’attaque Cyfirma N/A Tables Log Analytics : - `CyfirmaASCertificatesAlerts_CL` - `CyfirmaASConfigurationAlerts_CL` - `CyfirmaASDomainIPReputationAlerts_CL` - `CyfirmaASOpenPortsAlerts_CL` - `CyfirmaASCloudWeaknessAlerts_CL` - `CyfirmaASDomainIPVulnerabilityAlerts_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Cyfirma
Alertes Cyfirma Brand Intelligence N/A Tables Log Analytics : - `CyfirmaBIDomainITAssetAlerts_CL` - `CyfirmaBIExecutivePeopleAlerts_CL` - `CyfirmaBIProductSolutionAlerts_CL` - `CyfirmaBISocialHandlersAlerts_CL` - `CyfirmaBIMaliciousMobileAppsAlerts_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Cyfirma
Alertes de risque numérique Cyfirma Le connecteur de données Des alertes Cyfirma DeCYFIR/DeTCT permet l’ingestion de journal transparente à partir de l’API DeCYFIR/DeTCT dans Microsoft Sentinel. Basé sur Microsoft Sentinel Codeless Connector Framework, il tire parti de l’API Alertes DeCYFIR pour récupérer les journaux. En outre, il prend en charge les transformations de temps d’ingestion basées sur DCR, qui analysent les données de sécurité dans une table personnalisée pendant l’ingestion. Cela élimine la nécessité d’analyser le temps des requêtes, d’améliorer les performances et l’efficacité. Tables Log Analytics : - `CyfirmaDBWMPhishingAlerts_CL` - `CyfirmaDBWMRansomwareAlerts_CL` - `CyfirmaDBWMDarkWebAlerts_CL` - `CyfirmaSPESourceCodeAlerts_CL` - `CyfirmaSPEConfidentialFilesAlerts_CL` - `CyfirmaSPEPIIAndCIIAlerts_CL` - `CyfirmaSPESocialThreatAlerts_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Cyfirma
Événements de sécurité Cynerio Le connecteur Cynerio vous permet de connecter facilement vos événements de sécurité Cynerio à Microsoft Sentinel de façon à afficher les événements IDS. Cela vous donne plus d’informations sur la position de sécurité du réseau de votre organisation et améliore vos capacités d’opération de sécurité. Tables Log Analytics : - `CynerioEvent_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Cynerio
Connecteur Darktrace pour l’API REST Microsoft Sentinel Le connecteur d’API REST Darktrace envoie des événements en temps réel de Darktrace à Microsoft Sentinel et est conçu pour être utilisé avec la solution Darktrace pour Sentinel. Le connecteur écrit les journaux dans une table de journal personnalisée intitulée « darktrace_model_alerts_CL » ; les violations de modèles, les incidents d’analyste d’IA, les alertes système et les alertes e-mail peuvent être ingérés. Des filtres supplémentaires peuvent être configurés dans la page Configuration du système Darktrace. Les données sont envoyées à Sentinel à partir des maîtres Darktrace. Tables Log Analytics : - `darktrace_model_alerts_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Conditions préalables à Darktrace : pour utiliser ce connecteur de données, un maître Darktrace exécutant v5.2+ est requis. Les données sont envoyées à l’API collecteur de données HTTP Azure Monitor par le biais de HTTPS à partir des maîtres Darktrace. Par conséquent, la connectivité sortante du maître Darktrace vers l’API REST Microsoft Sentinel est requise. - Filtrer les données Darktrace : pendant la configuration, il est possible de configurer un filtrage supplémentaire sur la page Configuration du système Darktrace pour limiter la quantité ou les types de données envoyées. - Essayez la solution Darktrace Sentinel : vous pouvez tirer le meilleur parti de ce connecteur en installant la solution Darktrace pour Microsoft Sentinel. Cela fournit des classeurs pour visualiser les données d’alerte et les règles d’analyse pour créer automatiquement des alertes et des incidents à partir de violations de modèle Darktrace et d’incidents d’analyste IA.	Darktrace
Datalake2Sentinel Cette solution installe le connecteur Datalake2Sentinel qui est créé à l’aide de l’infrastructure du connecteur sans code et vous permet d’ingérer automatiquement des indicateurs de renseignement sur les menaces à partir de la plateforme CTI de Datalake Orange Cyberdefense dans Microsoft Sentinel via l’API REST Upload Indicators. Après l’installation de la solution, configurez et activez ce connecteur de données en suivant l’aide de la vue Gérer la solution. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Orange Cyberdefense
Dataminr Pulse Alerts Data Connector (à l’aide d’Azure Functions) Dataminr Pulse Alerts Data Connector associe notre intelligence en temps réel basée sur l’IA à Microsoft Sentinel pour accélérer la détection et la réponse aux menaces. Tables Log Analytics : - `DataminrPulse_Alerts_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : l’abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans l’ID Microsoft Entra et attribuer le rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations Dataminr requises : a) Les utilisateurs doivent avoir un ID client et un secret d’API Dataminr Pulse valides pour utiliser ce connecteur de données. b. Une ou plusieurs watchlists Dataminr Pulse doivent être configurées sur le site web Dataminr Pulse.	Prise en charge de Dataminr
Derdack SIGNL4 En cas de défaillance de systèmes critiques ou d’incidents de sécurité, SIGNL4 établit un pont correspondant au « dernier kilomètre » à destination de votre personnel, de vos ingénieurs, de vos administrateurs informatiques et de vos employé sur le terrain. Il ajoute des alertes mobiles en temps réel à vos services, systèmes et processus en un rien de temps. SIGNL4 avertit via l’envoi mobile persistant, le sms et les appels vocaux avec accusé de réception, suivi et escalade. La planification intégrée des tâches et des équipes permet d’alerter les personnes concernées au bon moment. En savoir plus > Tables Log Analytics : - `SecurityIncident` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Derdack
Recherche d’ombres numériques (à l’aide d’Azure Functions) Le connecteur de données Digital Shadows permet d’ingérer les incidents et alertes de Digital Shadows Searchlight dans Microsoft Sentinel à l’aide de l’API REST. Le connecteur fournit les incidents et les informations d’alerte afin qu’il aide à examiner, diagnostiquer et analyser les risques et menaces de sécurité potentiels. Tables Log Analytics : - `DigitalShadows_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : l’ID de compte Digital Shadows, le secret et la clé sont requis. Consultez la documentation pour en savoir plus sur l’API sur le `https://portal-digitalshadows.com/learn/searchlight-api/overview/description`.	Ombres numériques
DNS Le connecteur de journal DNS vous permet de connecter facilement vos journaux d’analyse et d’audit DNS à Microsoft Sentinel, ainsi qu’à d’autres données associées, afin d’améliorer l’investigation. Lorsque vous activez la collecte de journaux DNS, vous pouvez : - Identifiez les clients qui tentent de résoudre les noms de domaine malveillants. - Identifier les enregistrements de ressources obsolètes. - Identifiez les noms de domaine fréquemment interrogés et les clients DNS talkatives. - Afficher la charge des demandes sur les serveurs DNS. - Afficher les échecs d’inscription DNS dynamiques. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `DnsEvents` - `DnsInventory` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Connecteur de données Doppel Le connecteur de données est basé sur Microsoft Sentinel pour les événements et alertes Doppel et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événements de sécurité reçues en colonnes personnalisées afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances. Tables Log Analytics : - `DoppelTable_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - ID client Microsoft Entra, ID client et Secret client : Microsoft Entra ID nécessite un ID client et une clé secrète client pour authentifier votre application. En outre, l’accès au niveau administrateur général/propriétaire est requis pour affecter à l’application inscrite à l’entrée un rôle Éditeur de métriques de surveillance de groupe de ressources. - Nécessite l’ID d’espace de travail, DCE-URI, DCR-ID : vous devez obtenir l’ID d’espace de travail Log Analytics, l’URI d’ingestion des journaux DCE et l’ID immuable DCR pour la configuration.	Doppel
Dragos Notifications via Cloud Sitestore La plateforme Dragos est la première plateforme de cyber-sécurité industrielle qu’elle offre une détection complète des cybermenaces de technologie opérationnelle (OT) créée par une expertise inégalée en matière de cybersécurité industrielle. Cette solution permet d’afficher les données de notification de la plateforme Dragos dans Microsoft Sentinel afin que les analystes de sécurité puissent trier les événements potentiels de cybersécurité qui se produisent dans leurs environnements industriels. Tables Log Analytics : - `DragosAlerts_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Accès à l’API Sitestore Dragos : compte d’utilisateur Sitestore disposant de l’autorisation `notification:read` . Ce compte doit également disposer d’une clé API qui peut être fournie à Sentinel.	Dragos Inc
Connecteur d’événements Druva Permet d’ingérer les événements Druva à partir des API Druva Tables Log Analytics : - `DruvaSecurityEvents_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Accès à l’API Druva : l’API Druva nécessite un ID client et une clé secrète client pour s’authentifier	Druva Inc
Dynamics 365 Finance and Operations Dynamics 365 for Finance and Operations est une solution complète de planification des ressources d’entreprise (ERP) qui combine des fonctionnalités financières et opérationnelles pour aider les entreprises à gérer leurs opérations quotidiennes. Elle offre une gamme de fonctionnalités qui permet aux entreprises de rationaliser leurs processus, d’automatiser les tâches et d’obtenir des informations précieuses sur leurs performances opérationnelles. Le connecteur de données Dynamics 365 Finance and Operations ingère les activités d’administration Dynamics 365 Finance et Operations, ainsi que les journaux d’audit des processus métier et des activités d’application utilisateur dans Microsoft Sentinel. Tables Log Analytics : - `FinanceOperationsActivity_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Inscription de l’application Microsoft Entra : ID client d’application et secret utilisés pour accéder à Dynamics 365 Finance and Operations.	Microsoft Corporation
Dynamics365 Le connecteur d’activités Dynamics 365 Common Data Service (CDS) fournit des informations sur les activités d’administration, d’utilisateur et de support, ainsi que sur les événements de journalisation Microsoft Social Engagement. En connectant des journaux Dynamics 365 CRM à Microsoft Sentinel, vous pouvez afficher ces données dans des classeurs, les utiliser pour créer des alertes personnalisées et améliorer votre processus d’investigation. Tables Log Analytics : - `Dynamics365Activity` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Attaques dynatrace Ce connecteur utilise l’API REST de Dynatrace Attacks pour ingérer les attaques détectées dans l’analytique des journaux d'activité Microsoft Sentinel Tables Log Analytics : - `DynatraceAttacks_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide avec Application Security activé, en savoir plus sur la plateforme Dynatrace. - Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace, le jeton doit avoir une étendue d’attaques en lecture (attaques.read).	Dynatrace
Journaux d’audit Dynatrace Ce connecteur utilise l’API REST Dynatrace Audit Logs pour ingérer les journaux d’audit des locataires dans Microsoft Sentinel Log Analytics Tables Log Analytics : - `DynatraceAuditLogs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide, pour en savoir plus sur la plateforme Dynatrace , démarrez votre essai gratuit. - Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace, le jeton doit avoir l’étendue des journaux d’audit en lecture (auditLogs.read).	Dynatrace
Problèmes de dynatrace Ce connecteur utilise l’API REST Dynatrace Problem pour ingérer les événements de problème dans Microsoft Sentinel Log Analytics Tables Log Analytics : - `DynatraceProblems_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide, pour en savoir plus sur la plateforme Dynatrace , démarrez votre essai gratuit. - Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace, le jeton doit avoir des problèmes de lecture (problèmes.read ).	Dynatrace
Vulnérabilités du runtime Dynatrace Ce connecteur utilise l’API REST du problème de sécurité Dynatrace pour ingérer les vulnérabilités d’exécution détectées dans Microsoft Sentinel Log Analytics. Tables Log Analytics : - `DynatraceSecurityProblems_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Locataire Dynatrace (par exemple, xyz.dynatrace.com) : vous avez besoin d’un locataire Dynatrace valide avec Application Security activé, en savoir plus sur la plateforme Dynatrace. - Jeton d’accès Dynatrace : vous avez besoin d’un jeton d’accès Dynatrace, le jeton doit avoir des problèmes de sécurité en lecture (securityProblems.read).	Dynatrace
Agent élastique (autonome) Le connecteur de données Elastic Agent offre la capacité d’ingérer les journaux, les métriques et les données de sécurité d’Elastic Agent dans Microsoft Sentinel. Tables Log Analytics : - `ElasticAgentEvent` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Inclure des conditions préalables personnalisées si la connectivité nécessite - sinon supprimer les douanes : Description de tout prérequis personnalisé	Microsoft Corporation
Événements de sécurité ermes Browser Événements de sécurité ermes Browser Tables Log Analytics : - `ErmesBrowserSecurityEvents_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - ID client ermes et clé secrète client : activez l’accès à l’API dans Ermes. Pour plus d’informations, contactez le support technique Ermes Cyber Security .	Ermes Cyber Security S.p.A.
PLATEFORME DE PROTECTION DE LA FONCTION (à l’aide d’Azure Functions) Le connecteur de données ESET Protect Platform permet aux utilisateurs d’injecter des données de détection depuis ESET Protect Platform en utilisant l’API REST d’intégration fournie. L’API REST d’intégration s’exécute en tant qu’application de fonction Azure planifiée. Tables Log Analytics : - `IntegrationTable_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Autorisation d’inscrire une application dans l’ID Microsoft Entra : les autorisations suffisantes pour inscrire une application auprès de votre locataire Microsoft Entra sont requises. - Autorisation d’attribuer un rôle à l’application inscrite : l’autorisation d’attribuer le rôle Serveur de publication de métriques de surveillance à l’application inscrite dans l’ID Microsoft Entra est requise.	Intégrations d’entreprise ESET
Collecteur local Exchange Security Insights Connecteur utilisé pour envoyer (push) la configuration de la sécurité locale Exchange pour l’analyse Microsoft Sentinel Tables Log Analytics : - `ESIExchangeConfig_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Compte de service avec rôle Gestion de l’organisation : le compte de service qui lance le script en tant que tâche planifiée doit être Gestion de l’organisation pour pouvoir récupérer toutes les informations de sécurité nécessaires. - Documentation détaillée : > Vous trouverez ici la documentation détaillée sur la procédure d’installation et l’utilisation	Communauté
Collecteur Exchange Security Insights Online (à l’aide d’Azure Functions) Connecteur utilisé pour pousser la configuration de la sécurité Exchange Online pour Microsoft Sentinel Analysis Tables Log Analytics : - `ESIExchangeOnlineConfig_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - autorisations microsoft.automation/automationaccounts : les autorisations de lecture et d’écriture pour créer une instance Azure Automation avec un Runbook sont requises. Pour plus d’informations, consultez Compte Automation. - Autorisations Microsoft.Graph : les autorisations Groups.Read, Users.Read et Auditing.Read sont requises pour récupérer les informations utilisateur/groupe liées aux affectations Exchange Online. Consultez la documentation pour découvrir plus d’informations. - Autorisations Exchange Online : l’autorisation Exchange.ManageAsApp et le rôle lecteur général ou lecteur de sécurité sont nécessaires pour récupérer la configuration de sécurité Exchange Online. Pour en savoir plus, consultez la documentation. - (Facultatif) Autorisations de stockage des journaux : Contributeur aux données blob de stockage à un compte de stockage lié à l’identité managée du compte Automation ou un ID d’application est obligatoire pour stocker les journaux. Pour en savoir plus, consultez la documentation.	Communauté
F5 BIG-IP Le connecteur de pare-feu F5 vous permet de connecter facilement vos journaux F5 à Microsoft Sentinel, de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer les enquêtes. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Tables Log Analytics : - `F5Telemetry_LTM_CL` - `F5Telemetry_system_CL` - `F5Telemetry_ASM_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	F5 Networks
Flux Ce connecteur vous permet d'ingérer des IoCs depuis Feedly. Tables Log Analytics : - `feedly_indicators_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Conditions préalables personnalisées si nécessaire, sinon supprimez cette balise de douane : Description de toutes les conditions préalables personnalisées	Feedly Inc
Fusée éclairante Le connecteur Flare vous permet de recevoir des données et des informations de Flare sur Microsoft Sentinel. Tables Log Analytics : - `Firework_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Flare requises : seuls les administrateurs de l’organisation Flare peuvent configurer l’intégration de Microsoft Sentinel.	Fusée éclairante
Forcepoint DLP Le connecteur Forcepoint DLP (protection contre la perte de données) vous permet d’exporter automatiquement et en temps réel les données d’incident DLP de Forcepoint DLP vers Microsoft Sentinel. Cette fonctionnalité enrichit la visibilité des activités des utilisateurs et des incidents de perte de données, permet une corrélation supplémentaire avec les données des charges de travail Azure et d’autres flux, et améliore la capacité de supervision avec les Classeurs dans Microsoft Sentinel. Tables Log Analytics : - `ForcepointDLPEvents_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Communauté
Forescout Le connecteur de données Forescout offre la possibilité d’ingérer des événements Forescout dans Microsoft Sentinel. Reportez-vous à la documentation Forescout pour plus d’informations. Tables Log Analytics : - `ForescoutEvent` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Moniteur de propriétés de l’hôte Forescout Le connecteur Forescout Host Property Monitor vous permet de connecter les propriétés de l’hôte à partir de la plateforme Forescout à Microsoft Sentinel, afin d’afficher, de créer des incidents personnalisés et d’améliorer l’investigation. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Tables Log Analytics : - `ForescoutHostProperties_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Spécification du plug-in Forescout : assurez-vous que le plug-in Forescout Microsoft Sentinel s’exécute sur la plateforme Forescout	Microsoft Corporation
Fortinet FortiNDR Cloud Le connecteur de données Fortinet FortiNDR Cloud offre la possibilité d’ingérer des données Fortinet FortiNDR Cloud dans Microsoft Sentinel à l’aide de l’API FortiNDR Cloud. Tables Log Analytics : - `FncEventsSuricata_CL` - `FncEventsObservation_CL` - `FncEventsDetections_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification MetaStream : ID de clé d’accès AWS, clé d’accès au secret AWS, code du compte cloud FortiNDR sont nécessaires pour récupérer les données d’événement. - Informations d’identification de l’API : Jeton d’API Cloud FortiNDR, l’UUID du compte cloud FortiNDR est nécessaire pour récupérer les données de détection.	Fortinet
Garrison ULTRA Remote Logs (à l’aide d’Azure Functions) Le connecteur Garrison ULTRA Remote Logs vous permet d’ingérer des journaux distants Garrison ULTRA dans Microsoft Sentinel. Tables Log Analytics : - `Garrison_ULTRARemoteLogs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Garrison ULTRA : Pour utiliser ce connecteur de données, vous devez disposer d’une licence Garrison ULTRA active.	Garnison
Journaux d’audit de pub/sous-audit GCP Les journaux d’audit Google Cloud Platform (GCP), ingérés à partir du connecteur de Microsoft Sentinel, vous permettent de capturer trois types de journaux d’audit : les journaux d’activité d’administrateur, les journaux d’accès aux données et les journaux de transparence d’accès. Les journaux d’audit google cloud enregistrent une piste que les praticiens peuvent utiliser pour surveiller l’accès et détecter les menaces potentielles dans les ressources Google Cloud Platform (GCP). Tables Log Analytics : - `GCPAuditLogs` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Journaux de pub/sous-équilibreur de charge GCP (via l’infrastructure du connecteur sans code). Les journaux d’équilibreur de charge Google Cloud Platform (GCP) fournissent des insights détaillés sur le trafic réseau, en capturant les activités entrantes et sortantes. Ces journaux sont utilisés pour surveiller les modèles d’accès et identifier les menaces de sécurité potentielles dans les ressources GCP. En outre, ces journaux incluent également les journaux WAF (Web Application Firewall) GCP, ce qui améliore la capacité de détecter et d’atténuer efficacement les risques. Tables Log Analytics : - `GCPLoadBalancerLogs_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Journaux de flux GCP Pub/Sub VPC (via Codeless Connector Framework) (préversion) Les journaux de flux VPC (GCP) Google Cloud Platform vous permettent de capturer l’activité du trafic réseau au niveau du VPC, ce qui vous permet de surveiller les modèles d’accès, d’analyser les performances du réseau et de détecter les menaces potentielles sur les ressources GCP. Tables Log Analytics : - `GCPVPCFlow` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Connecteur de données Gigamon AMX Utilisez ce connecteur de données à intégrer à Gigamon Application Metadata Exporter (AMX) et obtenir des données envoyées directement à Microsoft Sentinel. Tables Log Analytics : - `Gigamon_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Gigamon
GitHub (à l’aide de Webhooks) (à l’aide d’Azure Functions) Le connecteur de données de webhook GitHub offre la possibilité d’ingérer des événements GitHub auxquels vous êtes abonnés dans Microsoft Sentinel à l’aide d’événements webhook GitHub. Le connecteur permet d’obtenir les événements dans Microsoft Sentinel afin d’examiner les risques de sécurité potentiels, d’analyser la collaboration de votre équipe, de diagnostiquer les problèmes de configuration, etc. Note: Si vous souhaitez ingérer des journaux d’audit GitHub, reportez-vous à GitHub Enterprise Audit Log Connector à partir de la galerie « Connecteurs de données ». Tables Log Analytics : - `githubscanaudit_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.	Microsoft Corporation
Journal d’audit GitHub Enterprise Le connecteur de journal d’audit GitHub permet d’ingérer des journaux GitHub dans Microsoft Sentinel. En connectant les journaux d’audit GitHub à Microsoft Sentinel, vous pouvez afficher ces données dans des classeurs, les utiliser pour créer des alertes personnalisées et les exploiter pour améliorer votre processus d’investigation. Remarque : si vous êtes destiné à ingérer des événements GitHub abonnés dans Microsoft Sentinel, veuillez vous reporter au connecteur GitHub (à l’aide de Webhooks) à partir de la galerie « Connecteurs de données ». Tables Log Analytics : - `GitHubAuditLogPolling_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Jeton d’accès personnel de l’API GitHub : vous avez besoin d’un jeton d’accès personnel GitHub pour activer l’interrogation du journal d’audit de l’organisation. Vous pouvez utiliser un jeton classique avec une étendue « read:org » OU un jeton ajusté avec l’étendue « Administration : en lecture seule ». - Type GitHub Enterprise : ce connecteur fonctionne uniquement avec GitHub Enterprise Cloud ; il ne prend pas en charge GitHub Enterprise Server.	Microsoft Corporation
Google ApigeeX (à l’aide d’Azure Functions) Le connecteur de données Google ApigeeX permet d’ingérer les journaux d’audit ApigeeX dans Microsoft Sentinel à l’aide de l’API de journalisation GCP. Pour plus d’informations, consultez la documentation de l’API de journalisation GCP. Tables Log Analytics : - `ApigeeX_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Compte de service GCP : le compte de service GCP disposant des autorisations de lecture des journaux est requis pour l’API de journalisation GCP. Un fichier json avec une clé de compte de service est également requis. Consultez la documentation pour en savoir plus sur les autorisations requises, la création d’un compte de service et la création de la clé de compte de service.	Microsoft Corporation
Google Cloud Platform Cloud Monitoring (à l’aide d’Azure Functions) Le connecteur de données Google Cloud Platform Cloud Monitoring permet d’ingérer des métriques de surveillance GCP dans Microsoft Sentinel à l’aide de l’API de surveillance GCP. Pour plus d’informations, consultez la documentation de l’API de surveillance GCP. Tables Log Analytics : - `GCP_MONITORING_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Compte de service GCP : le compte de service GCP disposant des autorisations nécessaires pour lire les métriques de supervision cloud est requis pour l’API de supervision GCP (rôle Visionneuse de surveillance requis). Un fichier json avec une clé de compte de service est également requis. Consultez la documentation pour en savoir plus sur la création d’un compte de service et la création de la clé de compte de service.	Microsoft Corporation
Google Cloud Platform DNS (via Codeless Connector Framework) (préversion) Le connecteur de données DNS Google Cloud Platform offre la possibilité d’ingérer les journaux de requête DNS cloud et les journaux d’audit DNS cloud dans Microsoft Sentinel à l’aide de l’API DNS Google Cloud. Pour plus d’informations, consultez la documentation de l’API DNS cloud . Tables Log Analytics : - `GCPDNS` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Google Cloud Platform IAM (via Codeless Connector Framework) (préversion) Le connecteur de données GOOGLE Cloud Platform IAM offre la possibilité d’ingérer les journaux d’audit relatifs aux activités gestion des identités et des accès (IAM) dans Google Cloud dans Microsoft Sentinel à l’aide de l’API Google IAM. Pour plus d’informations, consultez la documentation de l’API IAM GCP . Tables Log Analytics : - `GCPIAM` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Centre de commandes Google Security Google Cloud Platform (GCP) Security Command Center est une plateforme complète de gestion des risques et de sécurité pour Google Cloud, ingérée à partir du connecteur de Sentinel. Il offre des fonctionnalités telles que l’inventaire et la découverte des ressources, la détection des vulnérabilités et les menaces, ainsi que l’atténuation et la correction des risques pour vous aider à obtenir des informations sur la surface d’attaque de sécurité et de données de votre organisation. Cette intégration vous permet d’effectuer des tâches liées aux résultats et aux ressources de manière plus efficace. Tables Log Analytics : - `GoogleCloudSCC` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Google Workspace (G Suite) (à l’aide d’Azure Functions) Le connecteur de données Google Workspace offre la possibilité d’ingérer des événements d’activité Google Workspace dans Microsoft Sentinel via l’API REST. Le connecteur permet d’obtenir des événements, ce qui vous permet d’examiner les risques de sécurité potentiels, d’analyser la collaboration de votre équipe, de diagnostiquer des problèmes de configuration, de savoir qui se connecte et quand, d’analyser l’activité de l’administrateur, de comprendre comment les utilisateurs créent, puis partagent du contenu, et de passer en revue d’autres événements au sein de votre organisation. Tables Log Analytics : - `GWorkspace_ReportsAPI_admin_CL` - `GWorkspace_ReportsAPI_calendar_CL` - `GWorkspace_ReportsAPI_drive_CL` - `GWorkspace_ReportsAPI_login_CL` - `GWorkspace_ReportsAPI_mobile_CL` - `GWorkspace_ReportsAPI_token_CL` - `GWorkspace_ReportsAPI_user_accounts_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : GooglePickleString est requis pour l’API REST. Pour plus d’informations, consultez l’API. Des instructions pour obtenir les informations d’identification sont affichées pendant le processus d’installation. Vous pouvez également vérifier toutes les exigences et suivre les instructions fournies ici.	Microsoft Corporation
GreyNoise Threat Intelligence (à l’aide d’Azure Functions) Ce connecteur de données installe une application Azure Function pour télécharger les indicateurs GreyNoise une fois par jour et les insère dans la table ThreatIntelligenceIndicator dans Microsoft Sentinel. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Clé API GreyNoise : récupérez votre clé API GreyNoise ici.	GreyNoise
Intégration HackerView (à l’aide d’Azure Functions) Dans l’intégration de l’API, vous avez la possibilité de récupérer tous les problèmes liés à vos organisations HackerView via une interface RESTful. Tables Log Analytics : - `HackerViewLog_Azure_1_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.	Cyber Threat Management 360
Données de ressources de sécurité Holm (à l’aide d’Azure Functions) Le connecteur offre la capacité à interroger des données de Holm Security Center dans Microsoft Sentinel. Tables Log Analytics : - `net_assets_CL` - `web_assets_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Jeton d’API de sécurité Holm : jeton d’API de sécurité Holm est requis. Jeton d’API de sécurité Holm	Sécurité Holm
Journaux IIS des serveurs Microsoft Exchange [Option 5] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu tous les journaux d’activité IIS à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer les enquêtes. Tables Log Analytics : - `W3CIISLog` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus - Documentation détaillée : > Vous trouverez ici la documentation détaillée sur la procédure d’installation et l’utilisation	Communauté
Illumio SaaS (à l’aide d’Azure Functions) Le connecteur Illumio permet d’ingérer des événements dans Microsoft Sentinel. Le connecteur permet d’ingérer des événements auditables et des événements de flux à partir d’un compartiment AWS S3. Tables Log Analytics : - `Illumio_Auditable_Events_CL` - `Illumio_Flow_Events_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL est nécessaire. Si vous utilisez le compartiment 3 fourni par Illumio, contactez le support Illumio. À votre demande, ils vous fourniront le nom du compartiment AWS S3, l’URL AWS SQS ainsi que les informations d’identification AWS pour y accéder. - Clé ET secret de l’API Illumio : ILLUMIO_API_KEY, ILLUMIO_API_SECRET est nécessaire pour qu’un classeur effectue une connexion à SaaS PCE et récupère des réponses d’API.	Illumio
Waf Imperva Cloud (à l’aide d’Azure Functions) Le connecteur de données WAF Imperva Cloud offre la possibilité d’intégrer et d’ingérer des événements du Pare-feu d’applications web dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation d’intégration des journaux. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `ImpervaWAFCloud_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI sont requises pour l’API. Pour plus d’informations, consultez le processus d’intégration des journaux d’installation. Vérifiez toutes les conditions requises et suivez les instructions d’obtention des informations d’identification. Notez que ce connecteur utilise le format d’événement du journal CEF. Plus d’informations sur le format du journal.	Microsoft Corporation
Infoblox Cloud Data Connector via AMA Le connecteur de données cloud Infoblox vous permet de connecter facilement vos données Infoblox à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal. Tables Log Analytics : - `CommonSecurityLog` Prise en charge des règles de collecte de données : Transformation d’espace de travail DCR	Infoblox
Infoblox Data Connector via l’API REST (à l’aide d’Azure Functions) Le connecteur Infoblox Data Connector vous permet de connecter facilement vos données Infoblox TIDE et vos données Dossier à Microsoft Sentinel. En connectant vos données à Microsoft Sentinel, vous pouvez bénéficier de la recherche et de la corrélation, des alertes et de l’enrichissement de la veille des menaces pour chaque journal. Tables Log Analytics : - `Failed_Range_To_Ingest_CL` - `Infoblox_Failed_Indicators_CL` - `dossier_whois_CL` - `dossier_tld_risk_CL` - `dossier_threat_actor_CL` - `dossier_rpz_feeds_records_CL` - `dossier_rpz_feeds_CL` - `dossier_nameserver_matches_CL` - `dossier_nameserver_CL` - `dossier_malware_analysis_v3_CL` - `dossier_inforank_CL` - `dossier_infoblox_web_cat_CL` - `dossier_geo_CL` - `dossier_dns_CL` - `dossier_atp_threat_CL` - `dossier_atp_CL` - `dossier_ptr_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : l’abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans l’ID Microsoft Entra et attribuer le rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : La clé API Infoblox est requise. Consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest	Infoblox
Infoblox SOC Insight Data Connector via AMA Le connecteur Infoblox SOC Insight Data Connector vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal. Ce connecteur de données ingère les journaux Infoblox SOC Insight CDC dans votre espace de travail Log Analytics en tirant parti du nouvel agent Azure Monitor. Découvrez plus d’informations sur l’ingestion en utilisant le nouvel agent Azure Monitor ici. Microsoft recommande l’utilisation de ce connecteur de données. Tables Log Analytics : - `CommonSecurityLog` Prise en charge des règles de collecte de données : Transformation de l’espace de travail DCR Configuration requise : - Pour collecter des données à partir de machines virtuelles non-Azure, azure Arc doit être installé et activé. En savoir plus - Le format d’événement commun (CEF) via AMA et Syslog via les connecteurs de données AMA doit être installé. Pour en savoir plus	Infoblox
Infoblox SOC Insight Data Connector via l’API REST Le connecteur Infoblox SOC Insight Data Connector vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal. Tables Log Analytics : - `InfobloxInsight_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Infoblox
InfoSecGlobal Data Connector Utilisez ce connecteur de données pour intégrer à InfoSec Crypto Analytics et obtenir des données envoyées directement à Microsoft Sentinel. Tables Log Analytics : - `InfoSecAnalytics_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	InfoSecGlobal
Island Enterprise Browser Admin Audit (Interrogation CCF) Le connecteur d’administration Island permet d’ingérer les journaux d’audit d’Administration Island dans Microsoft Sentinel. Tables Log Analytics : - `Island_Admin_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Clé API island : une clé API island est requise.	Île
Island Enterprise Browser User Activity (Interrogation CCF) Le connecteur Island permet d’ingérer les journaux d’activité des utilisateurs Island dans Microsoft Sentinel. Tables Log Analytics : - `Island_User_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Clé API island : une clé API island est requise.	Île
Connecteur Push Jamf Protect Le connecteur Jamf Protect offre la possibilité de lire des données d’événements brutes à partir de Jamf Protect dans Microsoft Sentinel. Tables Log Analytics : - `jamfprotecttelemetryv2_CL` - `jamfprotectunifiedlogs_CL` - `jamfprotectalerts_CL` Prise en charge des règles de collecte de données : Soutenu Configuration requise : - Microsoft Entra : Autorisation de créer une inscription d’application dans l’ID Microsoft Entra. Nécessite généralement le rôle Développeur d’applications Entra ID ou version ultérieure. - Microsoft Azure : autorisation d’attribuer le rôle d’éditeur de métriques de surveillance sur la règle de collecte de données (DCR). En règle générale, le rôle Propriétaire ou Administrateur d’accès utilisateur Azure RBAC est requis	Jamf Software, LLC
LastPass Enterprise - Reporting (Interrogation CCF) Le connecteur LastPass Enterprise offre la possibilité de créer des journaux de création de rapports (audit) LastPass dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les connexions et l’activité dans LastPass (par exemple la lecture et la suppression de mots de passe). Tables Log Analytics : - `LastPassNativePoller_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Clé API LastPass et CID : une clé API LastPass et CID sont requises. Pour plus d’informations, consultez l’API LastPass.	Le conseil collectif
Lookout (à l’aide de la fonction Azure) Le connecteur de données Lookout offre la possibilité d’ingérer des événements Lookout dans Microsoft Sentinel via l’API Mobile Risk. Pour plus d’informations, consultez la documentation de l’API. Le connecteur de données Lookoutoffre la possibilité d’obtenir des événements, ce qui permet d’examiner les risques de sécurité potentiels, et bien plus encore. Tables Log Analytics : - `Lookout_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API Risque mobile : EnterpriseName & ApiKey sont requises pour l’API Mobile Risk. Pour plus d’informations, consultez l’API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.	Guetteur
IOC de Luminar et informations d’identification divulguées (à l’aide d’Azure Functions) Le connecteur Luminar IOCs DNS et Leaked Credentials permet d’intégrer des données IOC basées sur l’intelligence et des enregistrements divulguées liées à un client identifiées par Luminar. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : Un abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans azure active directory() et attribuer un rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : ID client Luminar, Secret client Luminar et ID de compte Luminar sont requis.	Cognyte Luminar
MailGuard 365 MailGuard 365 – Sécurité améliorée des e-mails pour Microsoft 365. Exclusif à la marketplace Microsoft, MailGuard 365 est intégré à la sécurité Microsoft 365 (y compris Defender) pour une protection améliorée contre les menaces avancées liées aux e-mails comme le hameçonnage, les rançongiciels et les attaques BEC sophistiquées. Tables Log Analytics : - `MailGuard365_Threats_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	MailGuard 365
MailRisk by Secure Practice (à l’aide d’Azure Functions) Connecteur de données pour envoyer des e-mails de MailRisk vers Microsoft Sentinel Log Analytics. Tables Log Analytics : - `MailRiskEmails_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API : votre paire de clés API Secure Practice est également nécessaire, qui sont créées dans les paramètres du portail d’administration. Si vous avez perdu votre clé secrète API, vous pouvez générer une nouvelle paire de clés (AVERTISSEMENT : toutes les autres intégrations utilisant l’ancienne paire de clés cesseront de fonctionner).	Pratique sécurisée
Microsoft 365 (anciennement Office 365) Le connecteur de journal d’activité Microsoft 365 (anciennement Office 365) fournit des informations sur les activités utilisateur en cours. Vous obtiendrez des détails sur les opérations telles que les téléchargements de fichiers, les demandes d’accès envoyées, les modifications apportées aux événements de groupe, la boîte aux lettres définie et les détails de l’utilisateur qui a effectué les actions. En connectant les journaux Microsoft 365 à Microsoft Sentinel, vous pouvez utiliser ces données pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer votre processus d’investigation. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `OfficeActivity` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Gestion des risques internes Microsoft 365 Microsoft 365 Insider Risk Management est une solution de conformité dans Microsoft 365 qui aide à réduire les risques internes en vous permettant de détecter, d’investiguer et d’agir sur les activités malveillantes et accidentelle au sein de votre organisation. Les analystes de risques de votre organisation peuvent rapidement prendre les mesures appropriées pour s'assurer que les utilisateurs respectent les normes de conformité de votre organisation. Les stratégies de risque interne vous permettent de : - définissez les types de risques que vous souhaitez identifier et détecter dans votre organisation. - décider des actions à entreprendre en réponse, y compris l’escalade des cas à Microsoft Advanced eDiscovery si nécessaire. Cette solution génère des alertes qui peuvent être consultées par les clients Office dans la solution de gestion des risques internes du Centre de conformité Microsoft 365. Apprenez-en davantage sur la gestion des risques internes. Ces alertes peuvent être importées dans Microsoft Sentinel avec ce connecteur, ce qui vous permet de les voir, de procéder à une investigation, et d’y répondre dans un contexte de menace organisationnel plus large. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `SecurityAlert` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Journaux des événements de sécurité des contrôleurs de domaine Microsoft Active-Directory [Option 3 et 4] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu tout ou partie des Journaux d’événements de sécurité de contrôleurs de domaine à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer les enquêtes. Tables Log Analytics : - `SecurityEvent` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus - Documentation détaillée : > Vous trouverez ici la documentation détaillée sur la procédure d’installation et l’utilisation	Communauté
Microsoft Dataverse Microsoft Dataverse est une plateforme de données évolutive et sécurisée qui permet aux organisations de stocker et de gérer les données utilisées par les applications métier. Le connecteur de données Microsoft Dataverse permet d’ingérer les journaux d’activité Dataverse et Dynamics 365 CRM à partir du journal d’audit Microsoft Purview dans Microsoft Sentinel. Tables Log Analytics : - `DataverseActivity` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations de locataire : « Administrateur de sécurité » ou « Administrateur général » sur le locataire de l’espace de travail. - Microsoft Purview Audit : Microsoft Purview Audit (Standard ou Premium) doit être activé. - Dataverse de production : la journalisation des activités est disponible uniquement pour les environnements de production. D’autres types, tels que le bac à sable, ne prennent pas en charge la journalisation des activités. - Paramètres d’audit dataverse : les paramètres d’audit doivent être configurés globalement et au niveau de l’entité/table. Pour plus d’informations, consultez les paramètres d’audit Dataverse.	Microsoft Corporation
Microsoft Defender pour Cloud Apps En vous connectant à Microsoft Defender pour Cloud Apps , vous obtiendrez une visibilité sur vos applications cloud, obtenez des analyses sophistiquées pour identifier et combattre les cyberthréats et contrôler la façon dont vos données voyagent. - Identifiez les applications cloud de l’informatique fantôme sur votre réseau. - Contrôler et limiter l’accès en fonction des conditions et du contexte de session. - Utilisez des stratégies intégrées ou personnalisées pour le partage de données et la protection contre la perte de données. - Identifiez l’utilisation à haut risque et recevez des alertes pour les activités utilisateur inhabituelles avec les fonctionnalités d’analyse comportementale et de détection d’anomalies Microsoft, notamment l’activité ransomware, les déplacements impossibles, les règles de transfert de courrier suspect et le téléchargement massif de fichiers. - Téléchargement de masse de fichiers Déployer maintenant > Tables Log Analytics : - `SecurityAlert` - `McasShadowItReporting` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Defender pour point de terminaison Microsoft Defender pour point de terminaison est une plateforme de sécurité conçue pour empêcher, détecter, examiner et répondre aux menaces avancées. La plateforme crée des alertes lorsque des événements de sécurité suspects sont détectés dans une organisation. Récupérez les alertes générées dans Microsoft Defender for Endpoint pour pouvoir analyser efficacement les événements de sécurité. Vous pouvez créer des règles, des tableaux de bord et des playbooks pour une réponse immédiate. Pour plus d’informations, consultez la documentation Microsoft Sentinel>. Tables Log Analytics : - `SecurityAlert` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Defender pour Identity Connectez-vous à Microsoft Defender pour Identity pour obtenir une visibilité sur les événements et l’analytique utilisateur. Microsoft Defender pour Identity identifie, détecte et vous aide à examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organisation. Microsoft Defender pour Identity permet aux analystes SecOp et aux professionnels de la sécurité chargés de détecter les attaques avancées dans les environnements hybrides de : - Surveiller les utilisateurs, le comportement d’entité et les activités avec l’analytique basée sur l’apprentissage - Protéger les identités utilisateur et les informations d’identification stockées dans Active Directory - Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées dans toute la chaîne de destruction - Fournir des informations claires sur les incidents sur une chronologie simple pour le tri rapide Essayer dès maintenant > Déployer maintenant > Pour plus d’informations, consultez la documentation Microsoft Sentinel>. Tables Log Analytics : - `SecurityAlert` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Defender pour IoT Obtenez des insights sur votre sécurité IoT en connectant des alertes Microsoft Defender pour IoT à Microsoft Sentinel. Vous pouvez obtenir des métriques et des données d’alerte prêtes à l’emploi, notamment les tendances d’alerte, les alertes les plus fréquentes et la répartition des alertes par gravité. Vous pouvez également obtenir des informations sur les recommandations fournies pour vos hubs IoT, notamment les recommandations qui reviennent le plus et les recommandations par gravité. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `SecurityAlert` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Defender pour Office 365 (préversion) Microsoft Defender pour Office 365 protège votre organisation contre les menaces malveillantes issues d’e-mails, de liens (URL) et d’outils de collaboration. En ingérant les alertes de Microsoft Defender pour Office 365 dans Microsoft Sentinel, vous pouvez incorporer des informations sur les menaces basées sur les e-mails et les URL dans votre analyse des risques plus large, et élaborer des scénarios de réponse en conséquence. Les types d’alertes suivants seront importés : - Un clic d’URL potentiellement malveillant a été détecté - Messages électroniques contenant des programmes malveillants supprimés après la remise - Messages électroniques contenant des URL de phish supprimées après la remise - E-mail signalé par l’utilisateur comme programme malveillant ou phish - Modèles d’envoi d’e-mails suspects détectés - Utilisateur restreint de l’envoi d’e-mails Ces alertes peuvent être consultées par les clients d’Office dans le Centre de sécurité et de conformité d’Office. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `SecurityAlert` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Defender Threat Intelligence Microsoft Sentinel vous offre la possibilité d’importer le renseignement généré sur les menaces par Microsoft pour activer la surveillance, les alertes et le repérage. Utilisez ce connecteur de données pour importer des indicateurs de compromission (IOC)depuis Microsoft Defender Threat Intelligence (MDTI) dans Microsoft Sentinel. Les indicateurs de menace peuvent comprendre des adresses IP, des domaines, des URL, des codes de hachage de fichiers, etc. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Defender XDR Microsoft Defender XDR est une suite unifiée, intégrée de manière native, de défense d’entreprise antérieure et postérieure à une violation qui protège un point de terminaison, une identité, une adresse e-mail et des applications pour vous aider à détecter, empêcher, enquêter des attaques sophistiquées et à y répondre automatiquement. La suite XDR Microsoft Defender inclut les éléments suivants : - Microsoft Defender pour point de terminaison - Microsoft Defender pour Identity - Microsoft Defender pour Office 365 - Gestion des menaces et des vulnérabilités - Microsoft Defender pour Cloud Apps Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `SecurityIncident` - `SecurityAlert` - `DeviceEvents` - `EmailEvents` - `IdentityLogonEvents` - `CloudAppEvents` - `AlertEvidence` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Entra ID Obtenez des insights sur Microsoft Entra ID en connectant les journaux d’audit et de connexion à Microsoft Sentinel pour obtenir des insights sur les scénarios Microsoft Entra ID. Vous pouvez en savoir plus sur l’utilisation des applications, les stratégies d’accès conditionnel et les détails relatifs à l’authentification héritée à l’aide de nos journaux de connexion. Vous pouvez obtenir des informations sur votre utilisation de la réinitialisation de mot de passe en libre-service (SSPR), les activités de gestion de Microsoft Entra ID comme la gestion des utilisateurs, des groupes, des rôles et des applications à l’aide de notre table des journaux d’audit. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `SigninLogs` - `AuditLogs` - `AADNonInteractiveUserSignInLogs` - `AADServicePrincipalSignInLogs` - `AADManagedIdentitySignInLogs` - `AADProvisioningLogs` - `ADFSSignInLogs` - `AADUserRiskEvents` - `AADRiskyUsers` - `NetworkAccessTraffic` - `AADRiskyServicePrincipals` - `AADServicePrincipalRiskEvents` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Entra ID Protection Microsoft Entra ID Protection fournit une vue consolidée des utilisateurs à risque, des événements à risque et des vulnérabilités, et permet d’éliminer ces risques immédiatement et de définir des stratégies de remédiation automatique pour les événements futurs. Le service repose sur l’expérience de Microsoft en matière de protection des identités des consommateurs et bénéficie d’une précision spectaculaire grâce à plus de 13 milliards d’ouvertures de session par jour. Intégrez des alertes Microsoft Entra ID Protection à Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer des enquêtes. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Obtenir Microsoft Entra ID Premium P1/P2 Tables Log Analytics : - `SecurityAlert` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Journaux d’audit d’administration Microsoft Exchange par journaux d’événements [Option 1] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu des journaux de tout les événements d’audit Exchange à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela est utilisé par les classeurs de sécurité de Microsoft Exchange pour fournir des informations de sécurité sur votre environnement Exchange local Tables Log Analytics : - `Event` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus - Documentation détaillée : > Vous trouverez ici la documentation détaillée sur la procédure d’installation et l’utilisation	Communauté
Journaux du proxy HTTP Microsoft Exchange [Option 7] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu des journaux de proxy HTTP et des journaux d’événements d’audit à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer les enquêtes. En savoir plus Tables Log Analytics : - `ExchangeHttpProxy_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Azure Log Analytics sera déconseillé : Azure Log Analytics sera déconseillé pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus - Documentation détaillée : > Vous trouverez ici la documentation détaillée sur la procédure d’installation et l’utilisation	Communauté
Journaux et événements Microsoft Exchange [Option 2] - Utilisation de l’agent Azure Monitor - Vous pouvez diffuser en continu tous les journaux d’événements Exchange Security &Application à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet de créer des alertes personnalisées et d’améliorer les enquêtes. Tables Log Analytics : - `Event` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Azure Log Analytics sera déconseillé : Azure Log Analytics sera déconseillé pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus - Documentation détaillée : > Vous trouverez ici la documentation détaillée sur la procédure d’installation et l’utilisation	Communauté
Journaux de suivi des messages Microsoft Exchange [Option 6] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu des journaux de tout le Suivi des messages Exchange à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Ces journaux peuvent être utilisés pour suivre le flux de messages dans votre environnement Exchange. Ce connecteur de données est basé sur l’option 6 du Wiki de sécurité Microsoft Exchange. Tables Log Analytics : - `MessageTrackingLog_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Azure Log Analytics sera déconseillé : Azure Log Analytics sera déconseillé pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus - Documentation détaillée : > Vous trouverez ici la documentation détaillée sur la procédure d’installation et l’utilisation	Communauté
Microsoft Power Automate Power Automate est un service Microsoft qui aide les utilisateurs à créer des flux de travail automatisés entre les applications et les services pour synchroniser des fichiers, obtenir des notifications, collecter des données, etc. Il simplifie l’automatisation des tâches, augmentant l’efficacité en réduisant les tâches manuelles, répétitives et en améliorant la productivité. Le connecteur de données Power Automate permet d’ingérer les journaux d’activité Power Automate à partir du journal d’audit Microsoft Purview dans Microsoft Sentinel. Tables Log Analytics : - `PowerAutomateActivity` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations de locataire : « Administrateur de sécurité » ou « Administrateur général » sur le locataire de l’espace de travail. - Microsoft Purview Audit : Microsoft Purview Audit (Standard ou Premium) doit être activé.	Microsoft Corporation
Activité d’administration de Microsoft Power Platform Microsoft Power Platform est une suite à code faible/sans code qui permet aux développeurs citoyens et professionnels de simplifier les processus métier en permettant la création d’applications personnalisées, l’automatisation des flux de travail et l’analyse des données avec un codage minimal. Le connecteur de données d’administration Power Platform offre la possibilité d’ingérer les journaux d’activité d’administrateur Power Platform à partir du journal d’audit Microsoft Purview dans Microsoft Sentinel. Tables Log Analytics : - `PowerPlatformAdminActivity` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations de locataire : « Administrateur de sécurité » ou « Administrateur général » sur le locataire de l’espace de travail. - Microsoft Purview Audit : Microsoft Purview Audit (Standard ou Premium) doit être activé.	Microsoft Corporation
Microsoft PowerBI Microsoft PowerBI est une collection de services logiciels, d’applications et de connecteurs qui fonctionnent ensemble pour transformer vos sources de données non liées en insights cohérents, visuellement immersifs et interactifs. Vos données peuvent être une feuille de calcul Excel, une collection d’entrepôts de données hybrides locaux et cloud, ou un magasin de données d’un autre type. Ce connecteur vous permet de diffuser en continu les journaux d’audit PowerBI dans Microsoft Sentinel, ce qui vous permet de suivre les activités des utilisateurs dans votre environnement PowerBI. Vous pouvez filtrer les données d’audit par période, utilisateur, tableau de bord, rapport, jeu de données et type d’activité. Tables Log Analytics : - `PowerBIActivity` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Project Microsoft Project (MSP) est une solution logicielle de gestion de projet. En fonction de votre plan, Microsoft Project vous permet de planifier des projets, d’attribuer des tâches, de gérer des ressources, de créer des rapports et plus encore. Ce connecteur vous permet d’envoyer en streaming vos journaux d’audit Azure Project à Microsoft Sentinel afin de suivre les activités de votre projet. Tables Log Analytics : - `ProjectActivity` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft
Microsoft Purview Connectez-vous à Microsoft Purview pour activer l’enrichissement de la sensibilité des données de Microsoft Sentinel. Les journaux de classification des données et d’étiquettes de confidentialité des analyses Microsoft Purview peuvent être ingérés et visualisés via des classeurs, des règles analytiques, etc. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `PurviewDataSensitivityLogs` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Purview Information Protection Microsoft Purview Information Protection vous permet de découvrir, classifier, protéger et gouverner les informations sensibles, où qu’elles se trouvent ou se déplacent. L’utilisation de ces fonctionnalités vous permet de connaître vos données, d’identifier les éléments sensibles et d’obtenir une visibilité sur la façon dont ils sont utilisés pour mieux protéger vos données. Les étiquettes de confidentialité sont la fonctionnalité fondamentale qui fournit des actions de protection, en appliquant le chiffrement, les restrictions d’accès et les marquages visuels. Intégrez les journaux Microsoft Purview Information Protection à Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer l’investigation. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `MicrosoftPurviewInformationProtection` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Mimecast Audit (à l’aide d’Azure Functions) Le connecteur de données pour Mimecast Audit offre aux clients une visibilité sur les événements de sécurité liés aux événements d’audit et d’authentification au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés qui permet aux analystes de consulter des insights sur l’activité des utilisateurs, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Les produits Mimecast inclus dans le connecteur sont les suivants : Vérification Tables Log Analytics : - `MimecastAudit_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : l’abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans l’ID Microsoft Entra et attribuer le rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest	Mimecast
Mimecast Audit &Authentication (à l’aide d’Azure Functions) Le connecteur de données pour Mimecast Audit & Authentication offre aux clients une visibilité sur les événements de sécurité liés aux événements d’audit et d’authentification au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés qui permet aux analystes de consulter des insights sur l’activité des utilisateurs, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Les produits Mimecast inclus dans le connecteur sont les suivants : Audit &Authentification Tables Log Analytics : - `MimecastAudit_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API Mimecast : vous devez disposer des informations suivantes pour configurer l’intégration : - mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié - mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié - mimecastAppId : ID d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast - mimecastAppKey : clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast - mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié - mimecastSecretKey : Clé secrète pour l’utilisateur administrateur Mimecast dédié - mimecastBaseURL : URL de base de l’API régionale Mimecast > L’ID d’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié sont récupérables via la console d’administration Mimecast : Administration \| Services \| Intégrations d’API et de plateforme. > L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - Groupe de ressources : vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser. - Application Functions : Vous devez disposer d’une application Azure inscrite pour que ce connecteur utilise 1. ID d’application 2. ID de locataire 3. ID client 4. Clé secrète client	Mimecast
Mimecast Awareness Training (à l’aide d’Azure Functions) Le connecteur de données pour Mimecast Awareness Training offre aux clients une visibilité sur des événements de sécurité liés aux technologies d’inspection Targeted Threat Protection au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Les produits Mimecast inclus dans le connecteur sont les suivants : - Détails des performances - Détails du score de sécurité - Données utilisateur - Détails de la liste de surveillance Tables Log Analytics : - `Awareness_Performance_Details_CL` - `Awareness_SafeScore_Details_CL` - `Awareness_User_Data_CL` - `Awareness_Watchlist_Details_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : l’abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans l’ID Microsoft Entra et attribuer le rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest	Mimecast
Mimecast Cloud Integrated (à l’aide d’Azure Functions) Le connecteur de données pour Mimecast Cloud Integrated offre aux clients une visibilité sur des événements de sécurité liés aux technologies d’inspection Cloud Integrated au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Tables Log Analytics : - `Cloud_Integrated_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : l’abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans l’ID Microsoft Entra et attribuer le rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest	Mimecast
Mimecast Intelligence pour Microsoft - Microsoft Sentinel (à l’aide d’Azure Functions) Le connecteur de données pour Mimecast Intelligence pour Microsoft offre une veille des menaces régionale à partir des technologies d’inspection des e-mails de Mimecast avec des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces basées sur les e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes. Produits et fonctionnalités Mimecast requis : - Mimecast Secure Email Gateway - Mimecast Threat Intelligence Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API Mimecast : vous devez disposer des informations suivantes pour configurer l’intégration : - mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié - mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié - mimecastAppId : ID d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast - mimecastAppKey : clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast - mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié - mimecastSecretKey : Clé secrète pour l’utilisateur administrateur Mimecast dédié - mimecastBaseURL : URL de base de l’API régionale Mimecast > L’ID d’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié sont récupérables via la console d’administration Mimecast : Administration \| Services \| Intégrations d’API et de plateforme. > L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - Groupe de ressources : vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser. - Application Functions : Vous devez disposer d’une application Azure inscrite pour que ce connecteur utilise 1. ID d’application 2. ID de locataire 3. ID client 4. Clé secrète client	Mimecast
Mimecast Secure Email Gateway (à l’aide d’Azure Functions) Le connecteur de données pour Mimecast Secure Email Gateway facilite la collecte de journaux à partir de Secure Email Gateway pour faire apparaître des insights sur les e-mails et l’activité des utilisateurs au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Produits et fonctionnalités Mimecast requis : - Mimecast Secure Email Gateway - Mimecast Data Leak Prevention Tables Log Analytics : - `MimecastSIEM_CL` - `MimecastDLP_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API Mimecast : vous devez disposer des informations suivantes pour configurer l’intégration : - mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié - mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié - mimecastAppId : ID d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast - mimecastAppKey : clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast - mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié - mimecastSecretKey : Clé secrète pour l’utilisateur administrateur Mimecast dédié - mimecastBaseURL : URL de base de l’API régionale Mimecast > L’ID d’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié sont récupérables via la console d’administration Mimecast : Administration \| Services \| Intégrations d’API et de plateforme. > L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - Groupe de ressources : vous devez avoir un groupe de ressources créé avec un abonnement que vous allez utiliser. - Application Functions : Vous devez disposer d’une application Azure inscrite pour que ce connecteur utilise 1. ID d’application 2. ID de locataire 3. ID client 4. Clé secrète client	Mimecast
Mimecast Secure Email Gateway (à l’aide d’Azure Functions) Le connecteur de données pour Mimecast Secure Email Gateway facilite la collecte de journaux à partir de Secure Email Gateway pour faire apparaître des insights sur les e-mails et l’activité des utilisateurs au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Produits et fonctionnalités Mimecast requis : - Mimecast Cloud Gateway - Mimecast Data Leak Prevention Tables Log Analytics : - `Seg_Cg_CL` - `Seg_Dlp_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : l’abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans l’ID Microsoft Entra et attribuer le rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest	Mimecast
Mimecast Targeted Threat Protection (à l’aide d’Azure Functions) Le connecteur de données pour Mimecast Targeted Threat Protection offre aux clients une visibilité sur des événements de sécurité liés aux technologies d’inspection Targeted Threat Protection au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Les produits Mimecast inclus dans le connecteur sont les suivants : - Protection de l’URL - Protection contre l’emprunt d’identité - Protection des pièces jointes Tables Log Analytics : - `MimecastTTPUrl_CL` - `MimecastTTPAttachment_CL` - `MimecastTTPImpersonation_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : vous devez disposer des informations suivantes pour configurer l’intégration : - mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié - mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié - mimecastAppId : ID d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast - mimecastAppKey : clé d’application API de l’application Mimecast Microsoft Sentinel inscrite auprès de Mimecast - mimecastAccessKey : clé d’accès pour l’utilisateur administrateur Mimecast dédié - mimecastSecretKey : Clé secrète pour l’utilisateur administrateur Mimecast dédié - mimecastBaseURL : URL de base de l’API régionale Mimecast > L’ID d’application Mimecast, la clé d’application, ainsi que la clé d’accès et les clés secrètes pour l’utilisateur administrateur Mimecast dédié sont récupérables via la console d’administration Mimecast : Administration \| Services \| Intégrations d’API et de plateforme. > L’URL de base de l’API Mimecast pour chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/	Mimecast
Mimecast Targeted Threat Protection (à l’aide d’Azure Functions) Le connecteur de données pour Mimecast Targeted Threat Protection offre aux clients une visibilité sur des événements de sécurité liés aux technologies d’inspection Targeted Threat Protection au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Les produits Mimecast inclus dans le connecteur sont les suivants : - Protection de l’URL - Protection contre l’emprunt d’identité - Protection des pièces jointes Tables Log Analytics : - `Ttp_Url_CL` - `Ttp_Attachment_CL` - `Ttp_Impersonation_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : l’abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans l’ID Microsoft Entra et attribuer le rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest	Mimecast
MISP2Sentinel Cette solution installe le connecteur MISP2Sentinel qui vous permet d’envoyer (push) automatiquement des indicateurs de menaces de MISP vers Microsoft Sentinel via l’API REST Indicateurs de chargement. Après l’installation de la solution, configurez et activez ce connecteur de données en suivant l’aide de la vue Gérer la solution. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Communauté
MuleSoft Cloudhub (à l’aide d’Azure Functions) Le connecteur de données MuleSoft Cloudhub offre la possibilité de récupérer les journaux à partir d’applications Cloudhub à l’aide de l’API Cloudhub et d’autres événements dans Microsoft Sentinel via l’API REST. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `MuleSoft_Cloudhub_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername et MuleSoftPassword sont nécessaires pour effectuer des appels d’API.	Microsoft Corporation
NC Protect Le connecteur de données NC Protect (archtis.com) offre la capacité d’ingérer les événements et journaux d’activité des utilisateurs dans Microsoft Sentinel. Le connecteur offre une visibilité sur les événements et journaux d’activité des utilisateurs NC Protect dans Microsoft Sentinel afin d’améliorer les fonctionnalités de surveillance et d’investigation. Tables Log Analytics : - `NCProtectUAL_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Nc Protect : vous devez avoir une instance en cours d’exécution de NC Protect pour O365. Veuillez nous contacter.	archTIS
Netclean ProActive Incidents Ce connecteur utilise le Webhook Netclean (obligatoire) et les Azure Logic Apps pour transmettre les données à Microsoft Sentinel Log Analytics Tables Log Analytics : - `Netclean_Incidents_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	NetClean
Alertes et événements Netskope Alertes et événements de sécurité Netskope Tables Log Analytics : - `NetskopeAlerts_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - URL de l’organisation Netskope : le connecteur de données Netskope vous oblige à fournir l’URL de votre organisation. Vous trouverez l’URL de votre organisation en vous connectant au portail Netskope. - Clé API Netskope : le connecteur de données Netskope vous oblige à fournir une clé API valide. Vous pouvez en créer un en suivant la documentation Netskope.	Netskope
Netskope Data Connector (à l’aide d’Azure Functions) Le connecteur de données Netskope fournit les fonctionnalités suivantes : 1. NetskopeToAzureStorage : >* Obtenez les données Netskope Alerts and Events de Netskope et ingérer dans le stockage Azure. 2. StorageToSentinel : >* Obtenez les données Netskope Alerts and Events à partir du stockage Azure et ingérer dans une table de journaux personnalisée dans l’espace de travail Log Analytics. 3. WebTxMetrics : >* Obtenir les données WebTxMetrics de Netskope et ingérer dans une table de journaux personnalisée dans l’espace de travail Log Analytics. Pour plus d’informations sur les API REST, consultez les documentations ci-dessous : 1. Documentation de l’API Netskope : > https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Documentation sur le stockage Azure : > /azure/storage/common/storage-introduction 3. Documentation analytique des journaux Microsoft : > /azure/azure-monitor/logs/log-analytics-overview Tables Log Analytics : - `alertscompromisedcredentialdata_CL` - `alertsctepdata_CL` - `alertsdlpdata_CL` - `alertsmalsitedata_CL` - `alertsmalwaredata_CL` - `alertspolicydata_CL` - `alertsquarantinedata_CL` - `alertsremediationdata_CL` - `alertssecurityassessmentdata_CL` - `alertsubadata_CL` - `eventsapplicationdata_CL` - `eventsauditdata_CL` - `eventsconnectiondata_CL` - `eventsincidentdata_CL` - `eventsnetworkdata_CL` - `eventspagedata_CL` - `Netskope_WebTx_metrics_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : Un abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans azure active directory() et attribuer un rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : Netskope Tenant et Netskope API Token sont requis. Consultez la documentation pour en savoir plus sur l’API sur la référence de l’API Rest	Netskope
Netskope Web Transactions Data Connector (à l’aide d’Azure Functions) Le connecteur de données Netskope Web Transactions fournit les fonctionnalités d’une image Docker pour extraire les données Netskope Web Transactions de google pubsublite, traiter les données et ingérer les données traitées dans Log Analytics. Dans le cadre de ce connecteur de données, deux tables sont créées dans Log Analytics, une pour les données Web Transactions et une autre pour les erreurs rencontrées pendant l’exécution. Pour plus d’informations sur les transactions web, consultez la documentation ci-dessous : 1. Documentation Netskope Web Transactions : > https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/ Tables Log Analytics : - `NetskopeWebtxData_CL` - `NetskopeWebtxErrors_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Abonnement Azure : l’abonnement Azure avec rôle de propriétaire est requis pour inscrire une application dans l’ID Microsoft Entra et attribuer le rôle de contributeur à l’application dans le groupe de ressources. - Autorisations Microsoft.Compute : les autorisations de lecture et d’écriture sur les machines virtuelles Azure sont requises. Pour plus d’informations, consultez Machines virtuelles Azure. - Informations d’identification et autorisations TransactionEvents : Netskope Tenant et Netskope API Token sont requis. Pour plus d’informations, consultez Événements de transaction. - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.	Netskope
Groupes de sécurité réseau Les groupes de sécurité réseau (NSG) Azure vous permettent de filtrer le trafic réseau à destination et en provenance des ressources Azure dans un réseau virtuel Azure. Un groupe de sécurité réseau comprend des règles qui autorisent ou refusent le trafic vers un sous-réseau de réseau virtuel et/ou une interface réseau. Quand vous activez la journalisation pour un groupe de sécurité réseau, vous pouvez collecter les types suivants d’informations sur le journal de ressources : - Événement: Les entrées sont journalisées pour lesquelles les règles de groupe de sécurité réseau sont appliquées aux machines virtuelles, en fonction de l’adresse MAC. - Compteur de règles : Contient des entrées pour le nombre de fois où chaque règle de groupe de sécurité réseau est appliquée pour refuser ou autoriser le trafic. L’état de ces règles est collecté toutes les 300 secondes. Ce connecteur vous permet de diffuser en continu vos journaux de diagnostic NSG dans Microsoft Sentinel, pour surveiller en continu l’activité de toutes vos instances. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `AzureDiagnostics` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Authentification unique Okta Le connecteur de données Okta Single Sign-On (SSO) permet d’ingérer les journaux d’audit et d’événements de l’API du journal système Okta dans Microsoft Sentinel. Le connecteur de données est basé sur Microsoft Sentinel Codeless Connector Framework et utilise l’API du journal système Okta pour extraire les événements. Le connecteur prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité reçues en colonnes personnalisées afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances. Tables Log Analytics : - `OktaSSO` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Jeton d’API Okta : jeton d’API Okta. Suivez les instructions suivantes pour créer et consulter la documentation pour en savoir plus sur l’API du journal système Okta.	Microsoft Corporation
Okta Single Sign-On (à l’aide d’Azure Functions) Le connecteur Okta Single Sign-On (SSO) permet d’ingérer les journaux d’audit et d’événements de l’API Okta dans Microsoft Sentinel. Le connecteur fournit une visibilité sur ces types de journaux dans Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation. Tables Log Analytics : - `Okta_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Jeton d’API Okta : un jeton d’API Okta est requis. Consultez la documentation pour en savoir plus sur l’API du journal système Okta.	Microsoft Corporation
OneLogin IAM Platform (via Codeless Connector Framework) (préversion) Le connecteur de données OneLogin permet d’ingérer des événements de plateforme OneLogin IAM courants dans Microsoft Sentinel via l’API REST à l’aide de l’API Événements OneLogin et de l’API Utilisateurs OneLogin. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `OneLoginEventsV2_CL` - `OneLoginUsersV2_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Informations d’identification de l’API OneLogin IAM : pour créer des informations d’identification d’API, suivez le lien de document fourni ici, cliquez ici. Veillez à disposer d’un type de compte de propriétaire de compte ou d’administrateur pour créer les informations d’identification de l’API. Une fois que vous avez créé les informations d’identification de l’API, vous obtenez votre ID client et votre clé secrète client.	Microsoft Corporation
Oracle Cloud Infrastructure (à l’aide d’Azure Functions) Le connecteur de données Oracle Cloud Infrastructure (OCI) permet d’ingérer des journaux OCI à partir d’OCI Stream vers Microsoft Sentinel à l’aide de l’API REST OCI Streaming. Tables Log Analytics : - `OCI_Logs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API OCI : le fichier de configuration de clé API et la clé privée sont requis pour la connexion d’API OCI. Consultez la documentation pour en savoir plus sur la création de clés pour l’accès à l’API	Microsoft Corporation
Alertes de sécurité Orca Le connecteur Orca Security Alerts vous permet d’exporter facilement les journaux des alertes dans Microsoft Sentinel. Tables Log Analytics : - `OrcaAlerts_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Sécurité orca
Palo Alto Cortex XDR Le connecteur de données Palo Alto Cortex XDR permet d’ingérer des journaux à partir de l’API Palo Alto Cortex XDR dans Microsoft Sentinel. Le connecteur de données est basé sur Microsoft Sentinel Codeless Connector Framework. Il utilise l’API Palo Alto Cortex XDR pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances. Tables Log Analytics : - `PaloAltoCortexXDR_Incidents_CL` - `PaloAltoCortexXDR_Endpoints_CL` - `PaloAltoCortexXDR_Audit_Management_CL` - `PaloAltoCortexXDR_Audit_Agent_CL` - `PaloAltoCortexXDR_Alerts_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Palo Alto Prisma Cloud CSPM (à l’aide d’Azure Functions) Le connecteur de données CSPM Cloud Palo Alto Prisma offre la possibilité d’ingérer des alertes CSPM Prisma Cloud et des journaux d’audit dans Microsoft Sentinel à l’aide de l’API CSPM Prisma Cloud. Pour plus d’informations, consultez la documentation de l’API Prisma Cloud CSPM. Tables Log Analytics : - `PaloAltoPrismaCloudAlert_CL` - `PaloAltoPrismaCloudAudit_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API Palo Alto Prisma Cloud : URL de l’API Prisma Cloud, ID de clé d’accès au cloud Prisma, clé secrète cloud Prisma sont requises pour la connexion d’API Prisma Cloud. Consultez la documentation pour en savoir plus sur la création de la clé d’accès cloud Prisma et sur l’obtention de l’URL de l’API Prisma Cloud	Microsoft Corporation
Palo Alto Prisma Cloud CWPP (à l’aide de l’API REST) Le connecteur de données PALO Alto Prisma Cloud CWPP vous permet de vous connecter à votre instance Palo Alto Prisma Cloud CWPP et d’ingérer des alertes dans Microsoft Sentinel. Le connecteur de données est basé sur l’infrastructure codeless connector de Microsoft Sentinel et utilise l’API Prisma Cloud pour extraire des événements de sécurité et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événements de sécurité reçues en colonnes personnalisées afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances. Tables Log Analytics : - `PrismaCloudCompute_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Clé API PrismaCloudCompute : un nom d’utilisateur et un mot de passe de l’API Palo Alto Prisma Cloud CWPP Monitor sont requis. Pour plus d’informations, consultez l’API SIEM PrismaCloudCompute.	Microsoft Corporation
Journaux d’activité de périmètre 81 Le connecteur des journaux d’activité Perimeter 81 vous permet de connecter facilement vos journaux d’activité Perimeter 81 à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Tables Log Analytics : - `Perimeter81_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Périmètre 81
Dispositifs de phosphore Le connecteur de périphérique Phosphorus offre à Phosphorus la possibilité d’ingérer les journaux de données de périphérique dans Microsoft Sentinel via l’API REST Phosphorus. Le connecteur offre une visibilité sur les appareils inscrits à Phosphorus. Ce connecteur de données extrait les informations des appareils ainsi que les alertes correspondantes. Tables Log Analytics : - `Phosphorus_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Informations d’identification/autorisations de l’API REST : Clé API Phosphore est requise. Veuillez vous assurer que la clé API associée à l'utilisateur dispose des autorisations Gérer les paramètres activées. Suivez ces instructions pour activer les autorisations Gérer les paramètres. 1. Connectez-vous à l’application de phosphore 2. Accédez à « Paramètres » -> « Groupes » 3. Sélectionner le groupe dont l’utilisateur d’intégration fait partie 4. Accédez à « Actions du produit » :> activez l’autorisation « Gérer les paramètres ».	Phosphore Inc.
Connecteur de données prancer Le connecteur de données Prancer offre la capacité à ingérer des données Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] et PAC à traiter via Microsoft Sentinel. Pour plus d’informations, consultez la documentation Prancer. Tables Log Analytics : - `prancer_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Inclure des conditions préalables personnalisées si la connectivité nécessite - sinon supprimer les douanes : Description de tout prérequis personnalisé	Intégration de Prancer PenSuiteAI
Informations sur les menaces Microsoft Defender Premium Microsoft Sentinel vous offre la possibilité d’importer le renseignement généré sur les menaces par Microsoft pour activer la surveillance, les alertes et le repérage. Utilisez ce connecteur de données pour importer des indicateurs de compromission (IOC) de Premium Microsoft Defender Threat Intelligence (MDTI) dans Microsoft Sentinel. Les indicateurs de menace peuvent comprendre des adresses IP, des domaines, des URL, des codes de hachage de fichiers, etc. Remarque : il s'agit d'un connecteur payant. Pour utiliser et ingérer des données, veuillez acheter le SKU « MDTI API Access » auprès du Centre des partenaires. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Proofpoint On Demand Email Security (via Codeless Connector Framework) Le connecteur de données Proofpoint On Demand Email Security offre la possibilité d’obtenir des données Proofpoint on Demand Email Protection, permet aux utilisateurs de vérifier la traçabilité des messages, de surveiller l’activité de messagerie, les menaces et l’exfiltration des données par des attaquants et des initiés malveillants. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir les fichiers journaux des événements par incréments horaires pour l’activité récente. Tables Log Analytics : - `ProofpointPODMailLog_CL` - `ProofpointPODMessage_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Informations d’identification/autorisations de l’API Websocket : ProofpointClusterID et ProofpointToken sont nécessaires. Pour plus d’informations, consultez l’API.	Microsoft Corporation
Proofpoint TAP (via Codeless Connector Framework) Le connecteur Proofpoint Targeted Attack Protection (TAP) offre la capacité d’ingérer les journaux et événements Proofpoint TAP dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les événements de message et de clic dans Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation. Tables Log Analytics : - `ProofPointTAPMessagesDeliveredV2_CL` - `ProofPointTAPMessagesBlockedV2_CL` - `ProofPointTAPClicksPermittedV2_CL` - `ProofPointTAPClicksBlockedV2_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Clé API Proofpoint TAP : un principal de service d’API Proofpoint TAP et un secret sont requis pour accéder à l’API SIEM de Proofpoint. Pour plus d’informations, consultez l’API SIEM Proofpoint.	Microsoft Corporation
Qualys VM KnowledgeBase (à l’aide d’Azure Functions) Le connecteur Qualys Vulnerability Management (VM) KnowledgeBase (base de connaissances) permet d’ingérer les dernières données de vulnérabilité de la base de connaissances Qualys dans Microsoft Sentinel. Ces données peuvent être utilisées pour mettre en corrélation et enrichir les détections de vulnérabilités trouvées par le connecteur de données Qualys Vulnerability Management (VM). Tables Log Analytics : - `QualysKB_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Clé API Qualys : un nom d’utilisateur et un mot de passe de l’API de machine virtuelle Qualys sont requis. Pour plus d’informations, consultez l’API de machine virtuelle Qualys.	Microsoft Corporation
Qualys Vulnerability Management (via Codeless Connector Framework) (préversion) Le connecteur de données Qualys Vulnerability Management (VM) permet d’ingérer des données de détection d’hôte de vulnérabilité dans Microsoft Sentinel via l’API Qualys. Le connecteur offre une visibilité sur les données de détection d’hôte à partir d’analyses de vulnérabilité. Tables Log Analytics : - `QualysHostDetectionV3_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Accès et rôles d’API : vérifiez que l’utilisateur de machine virtuelle Qualys a un rôle lecteur ou supérieur. Si le rôle est Lecteur, vérifiez que l’accès à l’API est activé pour le compte. Le rôle d’auditeur n’est pas pris en charge pour accéder à l’API. Pour plus d’informations, consultez l’API De détection d’hôte de machine virtuelle Qualys et le document de comparaison des rôles utilisateur .	Microsoft Corporation
Radiflow iSID via AMA iSID permet une surveillance non perturbatrice des réseaux ICS distribués pour les changements de topologie et de comportement, à l’aide de plusieurs packages de sécurité, chacun offrant une fonctionnalité unique relative à un type spécifique d’activité réseau Tables Log Analytics : - `RadiflowEvent` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Radiflow
Rapports de gestion des vulnérabilités de la plateforme Rapid7 Insight (à l’aide d’Azure Functions) Le connecteur de données rapport Rapid7 Insight VM permet d’ingérer des rapports d’analyse et des données de vulnérabilité dans Microsoft Sentinel via l’API REST à partir de la plateforme Rapid7 Insight (managée dans le cloud). Pour plus d’informations, consultez la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `NexposeInsightVMCloud_assets_CL` - `NexposeInsightVMCloud_vulnerabilities_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API REST : InsightVMAPIKey est requis pour l’API REST. Pour plus d’informations, consultez l’API. Vérifiez toutes les conditions requises et suivez les instructions pour obtenir des informations d’identification	Microsoft Corporation
Connecteur de données Cloud Rubrik Security (à l’aide d’Azure Functions) Le connecteur de données Rubrik Security Cloud permet aux équipes des opérations de sécurité d’intégrer à Microsoft Sentinel les insights des services d’observabilité des données de Rubrik. Les insights englobent l’identification du comportement anormal du système de fichiers associé aux ransomwares et à la suppression en masse, l’évaluation du rayon d’explosion d’une attaque par ransomware et les opérateurs de données sensibles pour hiérarchiser et examiner plus rapidement les incidents potentiels. Tables Log Analytics : - `Rubrik_Anomaly_Data_CL` - `Rubrik_Ransomware_Data_CL` - `Rubrik_ThreatHunt_Data_CL` - `Rubrik_Events_Data_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.	Rubrique
Sécurité SaaS Connecte la plateforme de sécurité Valence SaaS à Azure Log Analytics via l’interface API REST Tables Log Analytics : - `ValenceAlert_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Valence Sécurité
SailPoint IdentityNow (à l’aide d’Azure Function) Le connecteur de données SailPoint IdentityNow permet d’ingérer les événements de recherche [SailPoint IdentityNow] dans Microsoft Sentinel via l’API REST. Le connecteur permet aux clients d’extraire des informations d’audit de leur locataire IdentityNow. Il est destiné à faciliter encore la mise en place d’événements d’activité et de gouvernance des utilisateurs IdentityNow dans Microsoft Sentinel pour améliorer les insights de votre solution de surveillance des incidents et des événements de sécurité. Tables Log Analytics : - `SailPointIDN_Events_CL` - `SailPointIDN_Triggers_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification d’authentification de l’API SailPoint IdentityNow : TENANT_ID, CLIENT_ID et CLIENT_SECRET sont requises pour l’authentification.	N/A
Salesforce Service Cloud (à l’aide d’Azure Functions) Le connecteur de données Salesforce Service Cloud permet d’ingérer les informations sur vos événements opérationnels Salesforce dans Microsoft Sentinel via l’API REST. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir les fichiers journaux des événements par incréments horaires pour l’activité récente. Tables Log Analytics : - `SalesforceServiceCloud_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : nom d’utilisateur de l’API Salesforce, mot de passe de l’API Salesforce, jeton de sécurité Salesforce, clé de consommateur Salesforce, secret consommateur Salesforce est requis pour l’API REST. Pour plus d’informations, consultez l’API.	Microsoft Corporation
Samsung Knox Asset Intelligence (préversion) Samsung Knox Asset Intelligence Data Connector vous permet de centraliser vos événements et journaux de sécurité mobiles afin d’afficher des insights personnalisés à l’aide du modèle de classeur et d’identifier les incidents basés sur des modèles de règles d’analyse. Tables Log Analytics : - `Samsung_Knox_Audit_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Application Entra : une application Entra doit être inscrite et provisionnée avec le rôle « Microsoft Metrics Publisher » et configurée avec le certificat ou la clé secrète client comme informations d’identification pour le transfert de données sécurisé. Consultez le tutoriel d’ingestion des journaux pour en savoir plus sur la création, l’inscription et la configuration des informations d’identification de l’application Entra.	Samsung Electronics Co., Ltd.
SAP BTP SAP Business Technology Platform (SAP BTP) regroupe la gestion des données, l’analytique, l’intelligence artificielle, le développement d’applications, l’automatisation et l’intégration dans un environnement unifié. Tables Log Analytics : - `SAPBTPAuditLog_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - ID client et clé secrète client pour l’API d’extraction d’audit : activez l’accès à l’API dans BTP.	Microsoft Corporation
SAP Enterprise Threat Detection, édition cloud Le connecteur de données SAP Enterprise Threat Detection, ETD (Cloud Edition) permet l’ingestion d’alertes de sécurité d’ETD dans Microsoft Sentinel, prenant en charge la corrélation croisée, les alertes et la chasse aux menaces. Tables Log Analytics : - `SAPETDAlerts_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - ID client et clé secrète client pour l’API de récupération ETD : activez l’accès à l’API dans ETD.	SÈVE
SAP LogServ (RISE), S/4HANA Cloud Private Edition SAP LogServ est un service SAP Enterprise Cloud Services (ECS) destiné à la collecte, au stockage, au transfert et à l’accès des journaux. LogServ centralise les journaux d’activité de tous les systèmes, applications et services ECS utilisés par un client inscrit. Les principales fonctionnalités sont les suivantes : Collection de journaux en temps réel proche : capacité à s’intégrer à Microsoft Sentinel en tant que solution SIEM. LogServ complète la surveillance et les détections des menaces de la couche Application SAP existantes dans Microsoft Sentinel avec les types de journaux appartenant à SAP ECS en tant que fournisseur système. Cela inclut les journaux tels que : Journal d’audit de sécurité SAP (AS ABAP), base de données HANA, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, système d’exploitation, passerelle SAP, base de données tierce, réseau, DNS, proxy, pare-feu Tables Log Analytics : - `SAPLogServ_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Microsoft Entra : Autorisation de créer une inscription d’application dans l’ID Microsoft Entra. Nécessite généralement le rôle Développeur d’applications Entra ID ou version ultérieure. - Microsoft Azure : autorisation d’attribuer le rôle Serveur de publication des métriques de surveillance sur les règles de collecte de données. En règle générale, le rôle Propriétaire azure RBAC ou Administrateur d’accès utilisateur est requis.	SÈVE
SenservaPro (préversion) Le connecteur de données SenservaPro fournit une expérience d’affichage pour vos journaux d’analyse SenservaPro. Affichez les tableaux de bord de vos données, utilisez des requêtes pour repérer et explorer, et créez des alertes personnalisées. Tables Log Analytics : - `SenservaPro_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Senserva
SentinelOne Le connecteur de données SentinelOne permet d’ingérer des journaux à partir de l’API SentinelOne dans Microsoft Sentinel. Le connecteur de données est basé sur Microsoft Sentinel Codeless Connector Framework. Il utilise l’API SentinelOne pour extraire les journaux et prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données de sécurité reçues dans une table personnalisée afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances. Tables Log Analytics : - `SentinelOneActivities_CL` - `SentinelOneAgents_CL` - `SentinelOneGroups_CL` - `SentinelOneThreats_CL` - `SentinelOneAlerts_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
SentinelOne (à l’aide d’Azure Functions) Le connecteur de données SentinelOne offre la possibilité d’ingérer des objets serveur SentinelOne courants tels que les menaces, les agents, les applications, les activités, les stratégies, les groupes et d’autres événements dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la `https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview`documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `SentinelOne_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : SentinelOneAPIToken est obligatoire. Consultez la documentation pour en savoir plus sur l’API sur le `https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview`.	Microsoft Corporation
Sécurité web seraphique Le connecteur de données Seraphic Web Security fournit la possibilité d’ingérer des événements et des alertes Seraphic Web Security dans Microsoft Sentinel. Tables Log Analytics : - `SeraphicWebSecurity_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Clé API Seraphic : clé API pour Microsoft Sentinel connectée à votre locataire Seraphic Web Security. Pour obtenir cette clé API pour votre locataire, lisez cette documentation.	Sécurité seraphique
Console d’administration Silverfort La solution du connecteur Silverfort ITDR Admin Console permet d’ingérer les événements et la journalisation Silverfort dans Microsoft Sentinel. Silverfort fournit la journalisation et les événements basés sur syslog en utilisant le format CEF (Common Event Format). En transférant vos données CEF Silverfort ITDR Admin Console dans Microsoft Sentinel, vous pouvez tirer parti de la recherche et de la corrélation, de la création d’alertes et de l’enrichissement de la veille des menaces sur les données Silverfort que propose Sentinel. Veuillez contacter Silverfort ou consulter la documentation Silverfort pour plus d’informations. Tables Log Analytics : - `CommonSecurityLog` Prise en charge des règles de collecte de données : Transformation d’espace de travail DCR	Silverfort
SINEC Security Guard La solution SINEC Security Guard pour Microsoft Sentinel vous permet d’ingérer des événements de sécurité de vos réseaux industriels à partir de SINEC Security Guard dans Microsoft Sentinel. Tables Log Analytics : - `SINECSecurityGuard_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Siemens AG
SlackAudit (via Codeless Connector Framework) (préversion) Le connecteur de données SlackAudit permet d’ingérer les journaux d’audit Slack dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation de l’API. Tables Log Analytics : - `SlackAuditV2_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Clé d’API SlackAudit & Type d’action : pour générer le jeton d’accès et la limite de nom d’action, créez une application dans Slack, puis ajoutez les étendues nécessaires et configurez l’URL de redirection. Pour obtenir des instructions détaillées sur la génération du jeton d’accès et de la limite de nom d’action, reportez-vous au lien.	Microsoft Corporation
Snowflake (à l’aide d’Azure Functions) Le connecteur de données Snowflake offre la possibilité d’ingérer des journaux de connexion et des journaux de requêtes Snowflake dans Microsoft Sentinel à l’aide du connecteur Python Snowflake. Reportez-vous à la documentation Snowflake pour plus d’informations. Tables Log Analytics : - `Snowflake_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification Snowflake : Identificateur de compte Snowflake, Utilisateur Snowflake et Mot de passe Snowflake sont requis pour la connexion. Consultez la documentation pour en savoir plus sur l’identificateur de compte Snowflake. Les instructions de création de l’utilisateur pour ce connecteur s’affichent pendant le processus d’installation.	Microsoft Corporation
Connecteur de données Sonrai Utilisez ce connecteur de données pour intégrer à Sonrai Security et obtenir des tickets Sonrai envoyés directement à Microsoft Sentinel. Tables Log Analytics : - `Sonrai_Tickets_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	N/A
Sophos Cloud Optix Le connecteur Sophos Cloud Optix vous permet de connecter facilement vos journaux Sophos Cloud Optix à Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les investigations. Il vous donne davantage d’insights sur la posture de sécurité et de conformité cloud de votre organisation, et améliore les capacités de fonctionnement de votre sécurité cloud. Tables Log Analytics : - `SophosCloudOptix_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Sophos
Sophos Endpoint Protection (à l’aide d’Azure Functions) Le connecteur de données Sophos Endpoint Protection offre la possibilité d’ingérer des événements Sophos dans Microsoft Sentinel. Pour plus d’informations, consultez la documentation Administration centrale Sophos. Tables Log Analytics : - `SophosEP_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : le jeton d’API est requis. Pour plus d’informations, consultez le jeton d’API	Microsoft Corporation
Sophos Endpoint Protection (à l’aide de l’API REST) Le connecteur de données Sophos Endpoint Protection offre la possibilité d’ingérer des événements Sophos et des alertes Sophos dans Microsoft Sentinel. Pour plus d’informations, consultez la documentation Administration centrale Sophos. Tables Log Analytics : - `SophosEPEvents_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Accès à l’API Sophos Endpoint Protection : l’accès à l’API Sophos Endpoint Protection via un principal de service est requis.	Microsoft Corporation
Symantec Integrated Cyber Defense Exchange Le connecteur Symantec ICDx vous permet de connecter facilement les journaux de vos solutions de sécurité Symantec à Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Tables Log Analytics : - `SymantecICDx_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Syslog via AMA Syslog est un protocole de journalisation d’événements commun à Linux. Les applications envoient les messages qui peuvent être stockés sur l’ordinateur local ou remis à un collecteur Syslog. Lorsque l’agent pour Linux est installé, il configure le démon local Syslog pour qu’il transfère des messages à l’agent. L’agent envoie ensuite le message à l’espace de travail. En savoir plus > Tables Log Analytics : - `Syslog` Prise en charge des règles de collecte de données : Transformation d’espace de travail DCR	Microsoft Corporation
Talon Insights Le connecteur de journaux d’activité Talon Security vous permet de connecter facilement vos événements Talon et journaux d’audit à Microsoft Sentinel afin de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Tables Log Analytics : - `Talon_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Sécurité talon
Team Cymru Scout Data Connector (à l’aide d’Azure Functions) TeamCymruScout Data Connector permet aux utilisateurs d’apporter les données d’utilisation de l’adresse IP, du domaine et des comptes de Team Cymru Scout dans Microsoft Sentinel pour l’enrichissement. Tables Log Analytics : - `Cymru_Scout_Domain_Data_CL` - `Cymru_Scout_IP_Data_Foundation_CL` - `Cymru_Scout_IP_Data_Details_CL` - `Cymru_Scout_IP_Data_Communications_CL` - `Cymru_Scout_IP_Data_PDNS_CL` - `Cymru_Scout_IP_Data_Fingerprints_CL` - `Cymru_Scout_IP_Data_OpenPorts_CL` - `Cymru_Scout_IP_Data_x509_CL` - `Cymru_Scout_IP_Data_Summary_Details_CL` - `Cymru_Scout_IP_Data_Summary_PDNS_CL` - `Cymru_Scout_IP_Data_Summary_OpenPorts_CL` - `Cymru_Scout_IP_Data_Summary_Certs_CL` - `Cymru_Scout_IP_Data_Summary_Fingerprints_CL` - `Cymru_Scout_Account_Usage_Data_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Team Cymru Scout Credentials/permissions : Team Cymru Scout account credentials(Username, Password) is required.	Équipe Cymru
Exposition d’identité tenable Le connecteur Tenable Identity Exposure permet aux indicateurs d’exposition, aux indicateurs d’attaque et aux journaux de flux de fin d’être ingérés dans Microsoft Sentinel. Les différents classeurs et analyseurs de données vous permettent de manipuler plus facilement les journaux et de superviser votre environnement Active Directory. Les modèles analytiques vous permettent d’automatiser les réponses concernant différents événements, expositions et attaques. Tables Log Analytics : - `Tenable_IE_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Accès à la configuration TenableIE : autorisations pour configurer le moteur d’alerte syslog	Soutenable
Gestion des vulnérabilités tenables (à l’aide d’Azure Functions) Le connecteur de données TVM permet d’ingérer des données de ressource, de vulnérabilité et de conformité dans Microsoft Sentinel à l’aide d’API REST TVM. Pour plus d’informations, consultez la documentation de l’API. Le connecteur offre la possibilité d’obtenir des données qui permettent d’examiner les risques de sécurité potentiels, d’obtenir des informations sur vos ressources informatiques, de diagnostiquer les problèmes de configuration et bien plus encore Tables Log Analytics : - `Tenable_VM_Assets_CL` - `Tenable_VM_Vuln_CL` - `Tenable_VM_Compliance_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : TenableAccessKey et TenableSecretKey sont nécessaires pour accéder à l’API REST Tenable. Pour plus d’informations, consultez l’API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.	Soutenable
Microsoft Defender pour cloud basé sur le locataire Microsoft Defender pour le cloud est un outil de gestion de la sécurité qui vous permet de détecter les menaces et d’y répondre rapidement sur les charges de travail Azure, hybrides et multiclouds. Ce connecteur vous permet de diffuser en continu vos alertes de sécurité MDC de Microsoft 365 Defender dans Microsoft Sentinel. Vous pouvez donc tirer parti des avantages des corrélations XDR qui connectent les points entre vos ressources cloud, vos appareils et vos identités et afficher les données dans les classeurs, les requêtes et répondre aux incidents. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `SecurityAlert` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Projet TheHive - TheHive (à l’aide d’Azure Functions) Le connecteur de données TheHive offre la possibilité d’ingérer des événements TheHive courants dans Microsoft Sentinel par le biais de webhooks. TheHive peut notifier le système externe des événements de modification (création de cas, mise à jour d’alerte, affectation de tâche) en temps réel. Quand une modification se produit dans TheHive, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de connecteur de données de rappel. Pour plus d’informations, consultez la documentation des webhooks. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `TheHive_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations des webhooks : TheHiveBearerToken, l’URL de rappel est requise pour travailler des Webhooks. Consultez la documentation pour en savoir plus sur la configuration des webhooks.	Microsoft Corporation
Theom Le connecteur de données Theom permet aux organisations de connecter leur environnement Theom à Microsoft Sentinel. Cette solution permet aux utilisateurs de recevoir des alertes sur les risques de sécurité des données, de créer et d’enrichir des incidents, de vérifier des statistiques et de déclencher des playbooks SOAR dans Microsoft Sentinel Tables Log Analytics : - `TheomAlerts_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Theom
Renseignement sur les menaces - TAXII Microsoft Sentinel s’intègre avec les sources de données TAXII 2.0 et 2.1 pour permettre la surveillance, les alertes et la recherche à l’aide de vos renseignements sur les menaces. Utilisez ce connecteur pour envoyer les types d’objets STIX pris en charge à partir de serveurs TAXII à Microsoft Sentinel. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL et des codes de hachage de fichiers. Pour plus d’informations, consultez la documentation Microsoft Sentinel>. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Plateformes de renseignement sur les menaces Microsoft Sentinel s’intègre avec les sources de données de l’API de sécurité Microsoft Graph pour permettre la surveillance, les alertes et la recherche à l’aide de vos renseignements sur les menaces. Utilisez ce connecteur pour envoyer des indicateurs de menace à Microsoft Sentinel à partir de votre plateforme de renseignement sur les menaces (TIP), telles que Threat Connect, Palo Alto Networks MindMeld, MISP ou d’autres applications intégrées. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL et des codes de hachage de fichiers. Pour plus d’informations, consultez la documentation Microsoft Sentinel>. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
API Threat Intelligence Upload (préversion) Microsoft Sentinel propose une API de plan de données pour fournir une veille des menaces à partir de votre plateforme TIP (Threat Intelligence Platform), telle que Threat Connect, Palo Alto Networks MineMeld, MISP ou d’autres applications intégrées. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL, des hachages de fichiers et des adresses e-mail. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `ThreatIntelligenceIndicator` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Transmettre le connecteur de sécurité (à l’aide d’Azure Functions) Le connecteur de données [Transmit Security] offre la possibilité d’ingérer des événements courants de l’API De sécurité de transmission dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `TransmitSecurityActivity_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - ID client de l’API REST : TransmitSecurityClientID est requis. Consultez la documentation pour en savoir plus sur l’API, disponible sur le `https://developer.transmitsecurity.com/`. - Clé secrète client de l’API REST : TransmitSecurityClientSecret est obligatoire. Consultez la documentation pour en savoir plus sur l’API sur le `https://developer.transmitsecurity.com/`.	Sécurité de transmission
Trend Vision One (à l’aide d’Azure Functions) Le connecteur Trend Vision One vous permet de connecter facilement vos données d'alerte Workbench à Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer les capacités de surveillance et d'investigation. Cela vous donne plus d’informations sur les réseaux et systèmes de votre organisation et améliore vos capacités d’opération de sécurité. Le connecteur Trend Vision One est pris en charge dans Microsoft Sentinel dans les régions suivantes : Australie Est, Australie Sud-Est, Brésil Sud, Canada Centre, Canada Est, Inde Centre, USA Centre, Asie Est, USA Est, USA Est 2, France Centre, Japon Est, Corée du Centre, Nord du Centre des États-Unis, Europe du Nord, Norvège Est, Afrique du Sud Nord, Sud des États-Unis du Centre, Asie du Sud-Est, Suède du Centre, Suisse du Nord, Émirats arabes unis du Nord, Royaume-Uni du Sud, Royaume-Uni de l'Ouest, Europe de l'Ouest, des États-Unis de l'Ouest, des États-Unis de l'Ouest 2 , Ouest des États-Unis 3. Tables Log Analytics : - `TrendMicro_XDR_WORKBENCH_CL` - `TrendMicro_XDR_RCA_Task_CL` - `TrendMicro_XDR_RCA_Result_CL` - `TrendMicro_XDR_OAT_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Jeton d’API Trend Vision One : un jeton d’API Trend Vision One est requis. Consultez la documentation pour en savoir plus sur l’API Trend Vision One.	Trend Micro
Varonis SaaS Varonis SaaS offre la capacité d’ingérer des alertes Varonis dans Microsoft Sentinel. Varonis donne la priorité à la visibilité approfondie des données, aux fonctionnalités de classification et à la correction automatisée pour l’accès aux données. Varonis crée une vue unique des risques classés par priorité pour vos données, ce qui vous permet d’éliminer de façon proactive et systématique les risques liés aux menaces internes et aux cyberattaques. Tables Log Analytics : - `VaronisAlerts_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions.	Varonis
Vectra XDR (à l’aide d’Azure Functions) Le connecteur Vectra XDR offre la possibilité d’ingérer des données Vectra Detections, Audits, Entity Scoring, Lockdown, Health and Entities dans Microsoft Sentinel via l’API REST Vectra. Pour plus d’informations, consultez la documentation de l’API : `https://support.vectra.ai/s/article/KB-VS-1666` Tables Log Analytics : - `Detections_Data_CL` - `Audits_Data_CL` - `Entity_Scoring_Data_CL` - `Lockdown_Data_CL` - `Health_Data_CL` - `Entities_Data_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : l’ID client Vectra et la clé secrète client sont requis pour l’intégrité, le scoring d’entités, les entités, les détections, le verrouillage et la collecte de données d’audit. Consultez la documentation pour en savoir plus sur l’API sur le `https://support.vectra.ai/s/article/KB-VS-1666`.	Support Vectra
VMware Carbon Black Cloud (à l’aide d’Azure Functions) Le connecteur VMware Carbon Black Cloud permet d’ingérer des données Carbon Black dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les journaux d’événement, de notification et d’audit dans Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de supervision et d’examen. Tables Log Analytics : - `CarbonBlackEvents_CL` - `CarbonBlackNotifications_CL` - `CarbonBlackAuditLogs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - VMware Carbon Black API Key(s) : l’API Carbon Black et/ou les clés API au niveau SIEM sont requises. Consultez la documentation pour en savoir plus sur l’API Carbon Black. - Un ID d’API de niveau d’accès Carbon Black et une clé sont requis pour les journaux d’audit et d’événements . - Un ID d’API de niveau d’accès SIEM noir carbone et une clé sont nécessaires pour les alertes de notification . - Informations d’identification/autorisations de l’API REST Amazon S3 : ID de clé d’accès AWS, clé d’accès au secret AWS, nom du compartiment AWS S3, nom du dossier dans le compartiment AWS S3 sont requis pour l’API REST Amazon S3.	Microsoft
VMware Carbon Black Cloud via AWS S3 Le connecteur de données VMware Carbon Black Cloud via AWS S3 permet d’ingérer des événements de watchlist, d’alertes, d’authentification et de points de terminaison via AWS S3 et de les diffuser en continu vers des tables normalisées ASIM. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `CarbonBlack_Alerts_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Environnement : les ressources AWS suivantes doivent être définies et configurées : S3, Service de file d’attente simple (SQS), rôles IAM et stratégies d’autorisations - Environnement : vous devez disposer d’un compte noir Carbone et disposer des autorisations requises pour créer des compartiments Data Forwarded vers AWS S3. Pour plus d’informations, consultez Docs sur le redirecteur de données noirs carboniques	Microsoft
Événements DNS Windows via AMA Le connecteur Windows DNS Events vous permet de filtrer et de streamer facilement tous les journaux d’analytique de vos serveurs DNS Windows vers votre espace de travail Microsoft Sentinel à l’aide de l’agent Azure Monitor (AMA). Le fait d’avoir ces données dans Microsoft Sentinel vous permet d’identifier les problèmes et les menaces de sécurité comme : - Essayer de résoudre les noms de domaine malveillants. - Enregistrements de ressources obsolètes. - Noms de domaine fréquemment interrogés et clients DNS talkatives. - Attaques effectuées sur le serveur DNS. Vous pouvez obtenir les insights suivants sur vos serveurs DNS Windows à partir de Microsoft Sentinel : - Tous les journaux centralisés dans un emplacement unique. - Charge de la demande sur les serveurs DNS. - Échecs d’inscription DNS dynamiques. Les événements DNS Windows sont pris en charge par le modèle ASIM (Advanced SIEM Information Model) et streament les données dans la table ASimDnsActivityLogs. En savoir plus. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `ASimDnsActivityLogs` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Pare-feu Windows Le Pare-feu Windows est une application Microsoft Windows qui filtre les informations provenant d’Internet et bloque les programmes potentiellement dangereux. Le logiciel empêche la plupart des programmes de communiquer via le pare-feu. Les utilisateurs ajoutent simplement un programme à la liste des programmes autorisés pour lui permettre de communiquer via le pare-feu. Lors de l’utilisation d’un réseau public, le Pare-feu Windows peut également sécuriser le système en bloquant toutes les tentatives de connexion non sollicitées à votre ordinateur. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `WindowsFirewall` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Événements de pare-feu Windows via AMA Le Pare-feu Windows est une application Microsoft Windows qui filtre les informations provenant d’Internet et bloque les programmes potentiellement dangereux. Le logiciel de pare-feu empêche la plupart des programmes de communiquer via le pare-feu. Pour diffuser en continu vos journaux d’application du Pare-feu Windows collectés à partir de vos ordinateurs, utilisez l’agent Azure Monitor (AMA) pour diffuser ces journaux vers l’espace de travail Microsoft Sentinel. Un point de terminaison de collecte de données configuré (data collection endpoint, ou DCE) doit être lié à la règle de collecte de données (data collection rule, ou DCR) créée pour que l’AMA collecte les journaux. Pour ce connecteur, un DCE est automatiquement créé dans la même région que l’espace de travail. Si vous utilisez déjà un DCE stocké dans la même région, il est possible de modifier le DCE créé par défaut et d’utiliser votre DCE existant via l’API. Les DCE peuvent être répertoriés dans vos ressources sous un nom contenant le préfixe SentinelDCE. Pour plus d’informations, consultez les articles suivants : - Points de terminaison de collecte de données dans Azure Monitor - Documentation Microsoft Sentinel Tables Log Analytics : - `ASimNetworkSessionLogs` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Événements transférés Windows Vous pouvez diffuser en continu tous les journaux de transfert d’événements Windows (WEF) à partir des serveurs Windows connectés à votre espace de travail Microsoft Sentinel à l’aide de l’agent Azure Monitor (AMA). Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `WindowsEvent` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Événements de sécurité Windows via AMA Vous pouvez diffuser en continu tous les événements de sécurité à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `SecurityEvent` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
API WithSecure Elements (Fonction Azure) WithSecure Elements est la plateforme unifiée de cybersécurité basée sur le cloud, conçue pour réduire les risques, la complexité et l’inefficacité. Élevez le niveau de sécurité de vos points de terminaison à vos applications cloud. Armez-vous contre tous les types de cybermenaces, des attaques ciblées aux ransomwares exploitant une vulnérabilité zero-day. WithSecure Elements associe de puissantes fonctionnalités de sécurité prédictives, préventives et réactives, le tout faisant l’objet d’une gestion et d’un monitoring via un seul centre de sécurité. Notre structure modulaire et nos modèles tarifaires flexibles vous donnent la liberté d’évoluer. Grâce à notre expertise et nos insights, vous aurez toujours les moyens d’agir, et vous ne serez jamais seul. Avec l’intégration de Microsoft Sentinel, vous pouvez corréler les données d’événements de sécurité de la solution WithSecure Elements avec des données provenant d’autres sources, pour obtenir une vue d’ensemble étendue de votre environnement, et réagir plus rapidement aux menaces. Avec cette solution, une fonction Azure est déployée sur votre tenant (locataire), et interroge périodiquement les événements de sécurité de WithSecure Elements. Pour plus d’informations, visitez notre site web à l’adresse : https://www.withsecure.com. Tables Log Analytics : - `WsSecurityEvents_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification du client de l’API WithSecure Elements : les informations d’identification du client sont requises. Pour en savoir plus, consultez la documentation.	WithSecure
Wiz (à l’aide d’Azure Functions) Le connecteur Wiz vous permet d’envoyer facilement des problèmes Wiz, des résultats des vulnérabilités et des journaux d’audit à Microsoft Sentinel. Tables Log Analytics : - `union isfuzzy=true <br>(WizIssues_CL),<br>(WizIssuesV2_CL)` - `union isfuzzy=true <br>(WizVulnerabilities_CL),<br>(WizVulnerabilitiesV2_CL)` - `union isfuzzy=true <br>(WizAuditLogs_CL),<br>(WizAuditLogsV2_CL)` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification du compte de service Wiz : vérifiez que vous disposez de votre ID client de compte de service Wiz et de la clé secrète client, de l’URL du point de terminaison de l’API et de l’URL d’authentification. Vous trouverez des instructions dans la documentation De Wiz.	Wiz
Activité de l’utilisateur Workday Le connecteur de données d’activité utilisateur Workday offre la possibilité d’ingérer des journaux d’activité utilisateur à partir de l’API Workday dans Microsoft Sentinel. Tables Log Analytics : - `ASimAuditEventLogs` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Accès à l’API Activité utilisateur Workday : l’accès à l’API d’activité utilisateur Workday via Oauth est requis. Le client d’API doit avoir l’étendue : système et doit être autorisé par un compte disposant d’autorisations d’audit système.	Microsoft Corporation
Workplace from Facebook (à l’aide d’Azure Functions) Le connecteur de données Workplace apporte la capacité d’ingestion d’événements Workplace courants dans Microsoft Sentinel par le biais de webhooks. Les webhooks permettent aux applications d’intégration personnalisées de s’abonner à des événements dans Workplace et de recevoir des mises à jour en temps réel. Quand une modification se produit dans Workplace, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de rappel du connecteur de données. Pour plus d’informations, consultez la documentation des webhooks. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `Workplace_Facebook_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations des webhooks : WorkplaceAppSecret, WorkplaceVerifyToken, l’URL de rappel est requise pour les webhooks de travail. Consultez la documentation pour en savoir plus sur la configuration des webhooks, la configuration des autorisations.	Microsoft Corporation
Audit de segment de réseaux zéro Le connecteur de données Zero Networks Segment Audit permet d’ingérer des événements Zero Networks Audit dans Microsoft Sentinel via l’API REST. Ce connecteur de données utilise la fonctionnalité d’interrogation native de Microsoft Sentinel. Tables Log Analytics : - `ZNSegmentAuditNativePoller_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Jeton d’API Zero Networks : ZeroNetworksAPIToken est requis pour l’API REST. Consultez le Guide de l’API et suivez les instructions pour obtenir des informations d’identification.	Zéro réseau
Audit de segment de réseaux zéro (fonction) (à l’aide d’Azure Functions) Le connecteur de données Zero Networks Segment Audit permet d’ingérer des événements d’audit dans Microsoft Sentinel via l’API REST. Pour plus d’informations, reportez-vous au guide de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `ZNSegmentAudit_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification de l’API REST : Aucun jeton d’APIsegment de réseaux est requis pour l’API REST. Consultez le Guide de l’API.	Zéro réseau
ZeroFox CTI (à l’aide d’Azure Functions) Les connecteurs de données CTI ZeroFox offrent la possibilité d’ingérer les différentes alertes de cyberveille ZeroFox dans Microsoft Sentinel. Tables Log Analytics : - `ZeroFox_CTI_advanced_dark_web_CL` - `ZeroFox_CTI_botnet_CL` - `ZeroFox_CTI_breaches_CL` - `ZeroFox_CTI_C2_CL` - `ZeroFox_CTI_compromised_credentials_CL` - `ZeroFox_CTI_credit_cards_CL` - `ZeroFox_CTI_dark_web_CL` - `ZeroFox_CTI_discord_CL` - `ZeroFox_CTI_disruption_CL` - `ZeroFox_CTI_email_addresses_CL` - `ZeroFox_CTI_exploits_CL` - `ZeroFox_CTI_irc_CL` - `ZeroFox_CTI_malware_CL` - `ZeroFox_CTI_national_ids_CL` - `ZeroFox_CTI_phishing_CL` - `ZeroFox_CTI_phone_numbers_CL` - `ZeroFox_CTI_ransomware_CL` - `ZeroFox_CTI_telegram_CL` - `ZeroFox_CTI_threat_actors_CL` - `ZeroFox_CTI_vulnerabilities_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API ZeroFox : Le nom d’utilisateur ZeroFox, le jeton d’accès personnel ZeroFox est requis pour l’API REST ZeroFox CTI.	ZeroFox
ZeroFox Enterprise - Alertes (interrogation CCF) Collecte des alertes à partir de l’API ZeroFox. Tables Log Analytics : - `ZeroFoxAlertPoller_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Jeton d’accès personnel ZeroFox (PAT) : un PAT ZeroFox est requis. Vous pouvez l’obtenir dans les >.	ZeroFox
Zimperium Mobile Threat Defense Le connecteur Zimperium Mobile Threat Defense vous permet de connecter le journal des menaces Zimperium avec Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer l’investigation. Cela vous donne plus d’informations sur le paysage des menaces mobiles de votre organisation et améliore vos capacités d’opération de sécurité. Tables Log Analytics : - `ZimperiumThreatLog_CL` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Zimperium
Rapports de zoom (à l’aide d’Azure Functions) Le connecteur de données Zoom Reports permet d’ingérer les événements Zoom Reports dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. Tables Log Analytics : - `Zoom_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : AccountID, ClientID et ClientSecret sont requis pour l’API Zoom. Pour plus d’informations, consultez l’API Zoom. Suivez les instructions pour les configurations de l’API Zoom.	Microsoft Corporation

Connecteurs de données Sentinel déconseillés

Notes

Le tableau suivant répertorie les connecteurs de données déconseillés et hérités. Les connecteurs déconseillés ne sont plus pris en charge.

Connecteur	Pris en charge par
[Déconseillé] Atlassian Confluence Audit (à l’aide d’Azure Functions) Le connecteur de données d’audit Atlassian Confluence permet d’ingérer les enregistrements d’audit Confluence pour plus d’informations. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `Confluence_Audit_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : ConfluenceAccessToken, ConfluenceUsername est requis pour l’API REST. Pour plus d’informations, consultez l’API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.	Microsoft Corporation
[Déconseillé] Crowdstrike Falcon Data Replicator (à l’aide d’Azure Functions) Le connecteur Crowdstrike Falcon Data Replicator offre la possibilité d’ingérer des données d’événements brutes à partir des événements de la plateforme Falcon dans Microsoft Sentinel. Le connecteur permet d’obtenir les événements de Falcon Agents pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc. REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `CrowdstrikeReplicatorLogs_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL est nécessaire. Pour plus d’informations, consultez extraction de données. Pour commencer, contactez le support CrowdStrike. À votre demande, ils créent un compartiment Amazon Web Services (AWS) managé par CrowdStrike à des fins de stockage à court terme, ainsi qu’un compte SQS (service de file d’attente simple) pour surveiller les modifications apportées au compartiment S3.	Microsoft Corporation
[Déconseillé] Crowdstrike Falcon Data Replicator V2 (à l’aide d’Azure Functions) Le connecteur Crowdstrike Falcon Data Replicator offre la possibilité d’ingérer des données d’événements brutes à partir des événements de la plateforme Falcon dans Microsoft Sentinel. Le connecteur permet d’obtenir les événements de Falcon Agents pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc. REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `CrowdStrikeReplicatorV2` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL est nécessaire. Pour plus d’informations, consultez extraction de données. Pour commencer, contactez le support CrowdStrike. À votre demande, ils créent un compartiment Amazon Web Services (AWS) managé par CrowdStrike à des fins de stockage à court terme, ainsi qu’un compte SQS (service de file d’attente simple) pour surveiller les modifications apportées au compartiment S3.	Microsoft Corporation
[Déconseillé] Google Cloud Platform DNS (à l’aide d’Azure Functions) Le connecteur de données Google Cloud Platform DNS permet d’ingérer des journaux de requête DNS cloud et des journaux d’audit DNS cloud dans Microsoft Sentinel à l’aide de l’API de journalisation GCP. Pour plus d’informations, consultez la documentation de l’API de journalisation GCP. REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `GCP_DNS_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Compte de service GCP : le compte de service GCP disposant des autorisations nécessaires pour lire les journaux (avec l’autorisation « logging.logEntries.list ») est requis pour l’API de journalisation GCP. Un fichier json avec une clé de compte de service est également requis. Consultez la documentation pour en savoir plus sur les autorisations, la création d’un compte de service et la création de la clé de compte de service.	Microsoft Corporation
[Déconseillé] Google Cloud Platform IAM (à l’aide d’Azure Functions) Le connecteur de données Google Cloud Platform IAM (Identity and Access Management) offre la possibilité d’ingérer des journaux IAM GCP dans Microsoft Sentinel à l’aide de l’API de journalisation GCP. Pour plus d’informations, consultez la documentation de l’API de journalisation GCP. REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `GCP_IAM_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Compte de service GCP : le compte de service GCP disposant des autorisations de lecture des journaux est requis pour l’API de journalisation GCP. Un fichier json avec une clé de compte de service est également requis. Consultez la documentation pour en savoir plus sur les autorisations requises, la création d’un compte de service et la création de la clé de compte de service.	Microsoft Corporation
[Déconseillé] Infoblox SOC Insight Data Connector via l’agent hérité Le connecteur Infoblox SOC Insight Data Connector vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal. Ce connecteur de données ingère les journaux Infoblox SOC Insight CDC dans votre espace de travail Log Analytics à l’aide de l’agent Log Analytics hérité. Microsoft recommande l’installation d’Infoblox SOC Insight Data Connector via AMA Connector. Le connecteur hérité utilise l’agent Log Analytics qui est sur le point d’être déconseillé par le 31 août 2024 et ne doit être installé que si AMA n’est pas pris en charge. L’utilisation de MMA et AMA sur le même ordinateur peut entraîner la duplication des journaux et un coût d’ingestion supplémentaire. Détails supplémentaires. Tables Log Analytics : - `CommonSecurityLog` Prise en charge des règles de collecte de données : Transformation d’espace de travail DCR	Infoblox
[Déconseillé] Journaux et événements Microsoft Exchange Déconseillé, utilisez les dataconnecteurs « ESI-Opt ». Vous pouvez transmettre en continu tous les événements d’audit Exchange, les journaux IIS, les journaux proxy HTTP et les journaux des événements de sécurité des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela est utilisé par les classeurs de sécurité de Microsoft Exchange pour fournir des informations de sécurité sur votre environnement Exchange local Tables Log Analytics : - `Event` - `SecurityEvent` - `W3CIISLog` - `MessageTrackingLog_CL` - `ExchangeHttpProxy_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Azure Log Analytics sera déconseillé, pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus - Documentation détaillée : > Documentation détaillée sur la procédure d’installation et l’utilisation sont disponibles ici	Communauté
[Déconseillé] OneLogin IAM Platform (à l’aide d’Azure Functions) Le connecteur de données OneLogin offre la possibilité d’ingérer les événements courants de la plateforme OneLogin IAM dans Microsoft Sentinel via des webhooks. L’API de webhook d’événement OneLogin, également appelée Diffuseur d’événements, envoie des lots d’événements en quasi-temps réel à un point de terminaison que vous spécifiez. Quand une modification se produit dans OneLogin, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de connecteur de données de rappel. Pour plus d’informations, consultez la documentation des webhooks. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `OneLogin_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations des webhooks : OneLoginBearerToken, l’URL de rappel est requise pour les webhooks de travail. Consultez la documentation pour en savoir plus sur la configuration des webhooks. Vous devez générer OneLoginBearerToken en fonction de vos exigences de sécurité et l’utiliser dans la section En-têtes personnalisés au format : Autorisation : OneLoginBearerToken porteur. Format des journaux : tableau JSON.	Microsoft Corporation
[Déconseillé] Proofpoint On Demand Email Security (à l’aide d’Azure Functions) Le connecteur de données Proofpoint On Demand Email Security permet d’obtenir des données Proofpoint on Demand Email Protection, laisse les utilisateurs vérifier la traçabilité des messages, en surveillant l’activité du courrier électronique, les menaces et l’exfiltration de données par des attaquants et des personnes internes malveillantes. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir les fichiers journaux des événements par incréments horaires pour l’activité récente. REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `ProofpointPOD_message_CL` - `ProofpointPOD_maillog_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API Websocket : ProofpointClusterID, ProofpointToken est requis. Pour plus d’informations, consultez l’API.	Microsoft Corporation
[Déconseillé] Tap Proofpoint (à l’aide d’Azure Functions) Le connecteur Proofpoint Targeted Attack Protection (TAP) offre la capacité d’ingérer les journaux et événements Proofpoint TAP dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les événements de message et de clic dans Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation. REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `ProofPointTAPMessagesDelivered_CL` - `ProofPointTAPMessagesBlocked_CL` - `ProofPointTAPClicksPermitted_CL` - `ProofPointTAPClicksBlocked_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Clé API Proofpoint TAP : un nom d’utilisateur et un mot de passe de l’API Proofpoint TAP sont requis. Pour plus d’informations, consultez l’API SIEM Proofpoint.	Microsoft Corporation
[Déconseillé] Qualys Vulnerability Management (à l’aide d’Azure Functions) Le connecteur de données Qualys Vulnerability Management (VM) permet d’ingérer des données de détection d’hôte de vulnérabilité dans Microsoft Sentinel via l’API Qualys. Le connecteur offre une visibilité sur les données de détection d’hôte à partir d’analyses de vulnérabilité. Ce connecteur fournit à Microsoft Sentinel la possibilité d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `QualysHostDetectionV2_CL` - `QualysHostDetection_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Clé API Qualys : un nom d’utilisateur et un mot de passe de l’API de machine virtuelle Qualys sont requis. Pour plus d’informations, consultez l’API de machine virtuelle Qualys.	Microsoft Corporation
[Déconseillé] Slack Audit (à l’aide d’Azure Functions) Le connecteur de données Slack Audit permet d’ingérer les événements Slack Audit Records dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation de l’API. Le connecteur permet la récupération d’événements pour évaluer les risques de sécurité potentiels, surveiller la collaboration et diagnostiquer et résoudre les problèmes de configuration. REMARQUE : Ce connecteur de données a été déconseillé, envisagez de passer au connecteur de données CCF disponible dans la solution qui remplace l’ingestion par le biais de l’API collecteur de données HTTP déconseillée. Tables Log Analytics : - `SlackAudit_CL` Prise en charge des règles de collecte de données : Non prise en charge pour le moment Configuration requise : - Autorisations Microsoft.Web/sites : les autorisations de lecture et d’écriture dans Azure Functions pour créer une application de fonction sont requises. Pour plus d’informations, consultez Azure Functions. - Informations d’identification/autorisations de l’API REST : SlackAPIBearerToken est requis pour l’API REST. Pour plus d’informations, consultez l’API. Vérifiez toutes les exigences et suivez les instructions pour obtenir les informations d’identification.	Microsoft Corporation
Événements de sécurité via l’agent hérité Vous pouvez diffuser en continu tous les événements de sécurité à partir des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité. Pour plus d’informations, consultez la documentation Microsoft Sentinel. Tables Log Analytics : - `SecurityEvent` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Microsoft Defender pour cloud basé sur un abonnement (hérité) Microsoft Defender pour le cloud est un outil de gestion de la sécurité qui vous permet de détecter les menaces et d’y répondre rapidement sur les charges de travail Azure, hybrides et multiclouds. Ce connecteur vous permet de diffuser en streaming vos alertes de sécurité à partir de Microsoft Defender pour le cloud dans Microsoft Sentinel, ce qui vous permet d’afficher les données Defender dans des classeurs, de les interroger pour produire des alertes, et d’investiguer les incidents et d’y répondre. Pour plus d’informations> Tables Log Analytics : - `SecurityAlert` Prise en charge des règles de collecte de données : Non pris en charge actuellement	Microsoft Corporation
Syslog via l’agent hérité Syslog est un protocole de journalisation d’événements commun à Linux. Les applications envoient les messages qui peuvent être stockés sur l’ordinateur local ou remis à un collecteur Syslog. Lorsque l’agent pour Linux est installé, il configure le démon local Syslog pour qu’il transfère des messages à l’agent. L’agent envoie ensuite le message à l’espace de travail. En savoir plus > Tables Log Analytics : - `Syslog` Prise en charge des règles de collecte de données : Transformation d’espace de travail DCR	Microsoft Corporation

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :

Partager via

Rechercher votre connecteur de données Microsoft Sentinel

Prérequis des connecteurs de données

Connecteurs Syslog and Common Event Format (CEF)

Journaux personnalisés via le connecteur AMA

Connecteurs de données Sentinel

Connecteurs de données Sentinel déconseillés

Étapes suivantes

Commentaires

Ressources supplémentaires