SC-200 : Connecter des journaux à Microsoft Sentinel
Connectez des données à l’échelle du cloud sur l’ensemble des utilisateurs, des appareils, des applications et des infrastructures, localement et dans plusieurs clouds, à Microsoft Sentinel. À ce parcours d’apprentissage correspond l’examen SC-200 : Microsoft Security Operations Analyst.
Prérequis
- Capacité à utiliser le langage de requête Kusto (KQL) dans Microsoft Sentinel, comme vous pouvez le découvrir dans le parcours d’apprentissage SC-200 : Créer des requêtes pour Azure Sentinel avec KQL
- Capacité à configurer un environnement Microsoft Sentinel, comme vous pouvez le découvrir dans le parcours d’apprentissage SC-200 : Configurer votre environnement Microsoft Sentinel
Modules de ce parcours d’apprentissage
La principale approche pour connecter des données de journal consiste à utiliser les connecteurs de données fournis par Microsoft Sentinel. Ce module fournit une vue d’ensemble des connecteurs de données disponibles.
Découvrez les options de configuration et les données fournies par les connecteurs Microsoft Azure Sentinel pour Microsoft 365 Defender.
L'un des journaux les plus courants à collecter est celui des événements de sécurité de Windows. Découvrez comment Microsoft Sentinel facilite cette tâche avec le connecteur Événements de sécurité.
La plupart des connecteurs fournis par les fournisseurs utilisent le connecteur CEF. En savoir plus sur les options de configuration du connecteur CEF (Common Event format).
Découvrez les options de configuration du connecteur syslog qui vous permettront d’analyser les données syslog.