Connecteurs de données Microsoft Sentinel

Après l’intégration de Microsoft Sentinel à votre espace de travail, utilisez des connecteurs de données pour commencer à ingérer vos données dans Microsoft Sentinel. Microsoft Sentinel est fourni avec de nombreux connecteurs prêts à l’emploi pour des services Microsoft, qui s’intègrent en temps réel. Par exemple, le connecteur Microsoft Defender XDR est un connecteur de service à service qui intègre des données d’Office 365, de Microsoft Entra ID, de Microsoft Defender pour Identity et de Microsoft Defender for Cloud Apps.

Les connecteurs intégrés permettent une connexion à un écosystème de sécurité plus large pour des produits non Microsoft. Par exemple, utilisez Syslog, un format CEF (Common Event Format) ou des API REST pour connecter vos sources de données à Microsoft Sentinel.

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Important

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Connecteurs de données fournis avec des solutions

Les solutions Microsoft Sentinel fournissent du contenu de sécurité empaqueté, notamment des connecteurs de données, des classeurs, des règles analytiques, des playbooks, etc. Lorsque vous déployez une solution avec un connecteur de données, vous obtenez le connecteur de données et le contenu associé dans le même déploiement.

La page Connecteurs de données de Microsoft Sentinel répertorie les connecteurs de données installés ou en cours d’utilisation.

Pour ajouter d’autres connecteurs de données, installez la solution associée au connecteur de données à partir du Hub de contenu. Pour plus d’informations, consultez les articles suivants :

Intégration de l’API REST pour les connecteurs de données

De nombreuses solutions de sécurité fournissent un ensemble d’API permettant de récupérer des fichiers journaux et d’autres données de sécurité à partir de leur produit ou service. Ces API se connectent à Microsoft Sentinel avec l’une des méthodes suivantes :

  • Les API de source de données sont configurées avec la plateforme de connecteur sans code.
  • Le connecteur de données utilise l’API d’ingestion de journal pour Azure Monitor dans le cadre d’une fonction Azure ou d’une application logique.

Pour plus d'informations sur la connexion avec Azure Functions, consultez les articles suivants :

Pour plus d’informations sur la connexion avec Logic Apps, consultez Se connecter avec Logic Apps.

Intégration basée sur l’agent pour les connecteurs de données

Microsoft Sentinel peut utiliser des agents fournis par le service Azure Monitor (sur lequel Microsoft Sentinel est basé) pour collecter des données depuis n’importe quelle source de données capable d’effectuer un streaming de journaux en temps réel. Par exemple, la plupart des sources de données locales se connectent à l’aide de l’intégration basée sur l’agent.

Les sections suivantes décrivent les différents types de connecteurs de données basés sur l’agent de Microsoft Sentinel. Pour configurer des connexions à l’aide de mécanismes basés sur l’agent, suivez les étapes indiquées sur chaque page de connecteur de données Microsoft Sentinel.

Syslog et Common Event Format (CEF)

Vous pouvez diffuser en continu des événements à partir d’appareils Linux prenant en charge Syslog vers Microsoft Sentinel à l’aide de l’agent Azure Monitor (AMA). Le format des journaux varie, mais de nombreuses sources prennent en charge le format CEF. En fonction du type d’appareil, l’agent est installé directement sur l’appareil ou sur un redirecteur de journaux Linux dédié. L’AMA reçoit des messages d’événement Syslog ou CEF bruts du démon Syslog par le protocole UDP. Le démon Syslog transfère les événements à l’agent en interne, en communiquant par protocole TCP ou UDS (Sockets de domaine Unix), en fonction de la version. L’agent AMA transmet ensuite ces événements à l’espace de travail Microsoft Sentinel.

Voici un flux simple qui montre comment Microsoft Sentinel diffuse des données Syslog.

  1. Le démon Syslog intégré de l’appareil collecte les événements locaux des types spécifiés et les transfère localement à l’agent.
  2. L’agent diffuse les événements vers votre espace de travail Log Analytics.
  3. Une fois la configuration réussie, les messages Syslog apparaissent dans la table Syslog de Log Analytics et les messages CEF dans la table CommonSecurityLog.

Si vous souhaitez en savoir plus, veuillez consulter la rubrique Connecteurs Syslog et Common Event Format (CEF) via AMA pour Microsoft Sentinel.

Journaux d’activité personnalisés

Pour certaines sources de données, vous pouvez collecter des journaux sous forme de fichiers sur des ordinateurs Windows ou Linux en utilisant l’agent de collecte de journaux personnalisés Log Analytics.

Pour vous connecter à l’aide de l’agent de collecte de journaux personnalisé Log Analytics, suivez les étapes indiquées sur chaque page de connecteur de données Microsoft Sentinel. Une fois la configuration réussie, les données s’affichent dans des tables personnalisées.

Pour plus d’informations, consultez Connecteur de données Journaux personnalisés via AMA – Configurer l’ingestion des données sur Microsoft Sentinel à partir d’applications spécifiques.

Intégration de service à service pour les connecteurs de données

Microsoft Sentinel utilise la fondation Azure pour fournir un support de service à service prêt à l’emploi pour les services Microsoft et Amazon Web Services.

Pour plus d’informations, consultez les articles suivants :

Prise en charge du connecteur de données

Microsoft et d’autres organisations créent des connecteurs de données Microsoft Sentinel. Chaque connecteur de données possède l’un des types de support suivants, répertoriés sur la page consacrée au connecteur de données dans Microsoft Sentinel.

Type de support Description
Pris en charge par Microsoft S’applique à :
  • Connecteurs de données pour les sources de données où Microsoft est le fournisseur de données et l’auteur.
  • Certains connecteurs de données créés par Microsoft pour des sources de données autres que Microsoft.
Microsoft prend en charge et gère les connecteurs de données dans cette catégorie conformément aux Plans de Support Microsoft Azure.

Les partenaires ou la communauté prennent en charge les connecteurs de données créés par toute autre partie que Microsoft.
Support par un partenaire S’applique aux connecteurs de données créés par des tiers, autres que Microsoft.

La société partenaire assure le support ou la maintenance de ces connecteurs de données. Cette société partenaire peut être un éditeur de logiciels indépendant, un fournisseur de services gérés (MSP/MSSP), un intégrateur de systèmes ou toute organisation dont les coordonnées sont fournies sur la page Microsoft Sentinel de ce connecteur de données.

Pour tout problème lié à un connecteur de données pris en charge par un partenaire, contactez le contact de support du connecteur de données concerné.
Support par la communauté S’applique aux connecteurs de données créés par Microsoft ou par des développeurs partenaires qui ne disposent d’aucun contact répertorié pour le support et la maintenance du connecteur de données sur la page consacrée à ce dernier dans Microsoft Sentinel.

Pour toute question ou tout problème liés à ces connecteurs de données, vous pouvez signaler un problème auprès de la communauté GitHub de Microsoft Sentinel.

Pour plus d’informations, consultez la rubrique Obtenir un support pour un connecteur de données.

Étapes suivantes

Pour plus d’informations sur les connecteurs de données, consultez les articles suivants.

Pour obtenir une référence IaC (Infrastructure as Code) de base de Bicep, Azure Resource Manager et Terraform afin de déployer des connecteurs de données dans Microsoft Sentinel, reportez-vous à la rubrique Référence IaC du connecteur de données Microsoft Sentinel.