Connecter des données d’Azure Advanced Threat Protection (ATP)Connect data from Azure Advanced Threat Protection (ATP)

Important

Le connecteur de données Azure Advanced Threat Protection dans Azure Sentinel est actuellement en préversion publique.The Azure Advanced Threat Protection data connector in Azure Sentinel is currently in public preview. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production.This feature is provided without a service level agreement, and it's not recommended for production workloads. Certaines fonctionnalités peuvent être limitées ou non prises en charge.Certain features might not be supported or might have constrained capabilities. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Vous pouvez diffuser des journaux dans Azure Sentinel avec un seul clic à partir d’Azure Advanced Threat Protection.You can stream logs from Azure Advanced Threat Protection into Azure Sentinel with a single click.

PrérequisPrerequisites

  • Utilisateur, doté d’autorisations d’administrateur général ou d’administrateur de la sécuritéUser with global administrator or security administrator permissions
  • Vous devez être un client de la préversion d’Azure ATP et activer l’intégration entre Azure ATP et Microsoft Cloud App Security.You must be a preview customer of Azure ATP and enable integration between Azure ATP and Microsoft Cloud App Security. Pour plus d’informations, consultez Azure Advanced Protection Integration.For more information, see Azure Advanced Protection Integration.

Se connecter à Azure ATPConnect to Azure ATP

Assurez-vous que la version de la préversion d’Azure ATP est activée sur votre réseau.Make sure the Azure ATP preview version is enabled on your network. Si Azure ATP est déployé et ingère vos données, les alertes suspectes peuvent facilement être envoyées à Azure Sentinel.If Azure ATP is deployed and ingesting your data, the suspicious alerts can easily be streamed into Azure Sentinel. Le démarrage de la diffusion en continu des alertes dans Azure Sentinel peut prendre jusqu’à 24 heures.It may take up to 24 hours for the alerts to start streaming into Azure Sentinel.

  1. Pour connecter Azure ATP à Azure Sentinel, vous devez d’abord activer l’intégration entre Azure ATP et Microsoft Cloud App Security.To connect Azure ATP to Azure Sentinel, you must first enable integration between Azure ATP and Microsoft Cloud App Security. Pour plus d’informations sur la procédure à suivre, consultez Intégration d’Azure Advanced Threat Protection.For information on how to do this, see Azure Advanced Threat Protection integration.

  2. Dans Azure Sentinel, sélectionnez Connecteurs de données, puis cliquez sur la vignette Azure Advanced Threat Protection (Préversion) .In Azure Sentinel, select Data connectors and then click the Azure Advanced Threat Protection (Preview) tile.

  3. Vous pouvez indiquer si vous voulez que les alertes d’Azure ATP génèrent automatiquement des incidents dans Azure Sentinel.You can select whether you want the alerts from Azure ATP to automatically generate incidents in Azure Sentinel automatically. Sous Créer des incidents, sélectionnez Activer pour activer la règle analytique par défaut qui crée automatiquement des incidents à partir des alertes générées dans le service de sécurité connecté.Under Create incidents select Enable to enable the default analytic rule that creates incidents automatically from alerts generated in the connected security service. Vous pouvez ensuite modifier cette règle sous Analytique, puis Règles actives.You can then edit this rule under Analytics and then Active rules.

  4. Cliquez sur Connecter.Click Connect.

  5. Pour utiliser le schéma pertinent dans Log Analytics pour les alertes Azure ATP, recherchez SecurityAlert.To use the relevant schema in Log Analytics for the Azure ATP alerts, search for SecurityAlert.

Notes

Si la taille des alertes excède 30 Ko, Azure Sentinel cesse d’afficher le champ Entités dans les alertes.If the alerts are larger than 30 KB, Azure Sentinel stops displaying the Entities field in the alerts.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter Azure Advanced Threat Protection à Azure Sentinel.In this document, you learned how to connect Azure Advanced Threat Protection to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: