Rechercher votre connecteur de données Microsoft Sentinel

Notes

Azure Sentinel s’appelle maintenant Microsoft Sentinel et nous mettrons à jour ces pages dans les semaines à venir. En savoir plus sur les améliorations récentes de la sécurité Microsoft.

Cet article explique comment déployer des connecteurs de données dans Microsoft Sentinel, en répertoriant tous les connecteurs de données pris en charge et prêts à l’emploi, ainsi que des liens vers des procédures de déploiement génériques et des étapes supplémentaires nécessaires pour des connecteurs spécifiques.

Conseil

Certains connecteurs de données ne sont déployés que via des solutions. Pour plus d’informations, consultez le catalogue de solutions Microsoft Sentinel. Vous trouverez également d’autres connecteurs de données créés par la communauté dans le référentiel GitHub de Microsoft Sentinel.

Comment utiliser ce guide

  1. Tout d’abord, recherchez et sélectionnez le connecteur correspondant à votre produit, service ou appareil dans le menu d’en-têtes à droite.

    La première information que vous verrez pour chaque connecteur est sa méthode d’ingestion des données. La méthode qui s’affiche est un lien vers l’une des procédures de déploiement génériques suivantes, qui contiennent la plupart des informations dont vous avez besoin pour connecter vos sources de données à Microsoft Sentinel :

    Méthode d’ingestion des données Article lié avec des instructions
    Intégration de service à service Azure Connecter aux services Azure, Windows, Microsoft et Amazon
    Common Event format (CEF) sur Syslog Transférer les journaux au format CEF de votre appareil ou appliance dans Microsoft Sentinel
    API du collecteur de données Microsoft Sentinel Connecter votre source de données à l’API de collecte de données Microsoft Sentinel pour l’ingestion des données
    Azure Functions et l’API REST Utiliser Azure Functions pour connecter Microsoft Sentinel à votre source de données
    Syslog Collecter des données de sources Linux à l’aide de Syslog
    Journaux d’activité personnalisés Collecter des données dans des formats de journaux personnalisés vers Microsoft Sentinel avec l’agent Log Analytics

    Notes

    La méthode d’ingestion des données Intégration de service à service Azure est liée à trois sections différentes de son article, en fonction du type de connecteur. La section de chaque connecteur ci-dessous spécifie la section de cet article à laquelle elle est liée.

  2. Lorsque vous déployez un connecteur spécifique, choisissez l’article approprié lié à sa méthode d’ingestion des données, puis utilisez les informations et instructions supplémentaires dans la section correspondante ci-dessous pour compléter les informations contenues dans cet article.

Conseil

  • De nombreux connecteurs de données peuvent également être déployés dans le cadre d’une solution Microsoft Sentinel, avec les règles d’analyse, les classeurs et les playbooks associés. Pour plus d’informations, consultez le catalogue de solutions Microsoft Sentinel.

  • D’autres connecteurs de données sont fournis par la communauté de Microsoft Sentinel et sont accessibles sur Place de marché Azure. La documentation relative aux connecteurs de données de la communauté relève de la responsabilité de l’organisation qui a créé le connecteur.

  • Si vous avez une source de données qui n’est pas répertoriée ou n’est pas actuellement prise en charge, vous pouvez également créer votre propre connecteur personnalisé. Pour plus d’informations, consultez Ressources pour la création de connecteurs Microsoft Sentinel personnalisés.

Important

Notez que les connecteurs de données Microsoft Sentinel sont actuellement en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Agari Phishing Defense and Brand Protection (préversion)

Attribut du connecteur Description
Méthode d’ingestion des données Azure Functions et l’API REST

Avant le déploiement : Activez l’API Security (facultatif).
Après le déploiement : Attribuez les autorisations nécessaires à votre application de fonction
Table(s) Log Analytics agari_bpalerts_log_CL
agari_apdtc_log_CL
agari_apdpolicy_log_CL
Code d’application de fonction Azure https://aka.ms/Sentinel-agari-functionapp
Informations d'identification de l’API
  • ID client
  • Clé secrète client
  • (Facultatif : ID de locataire Graph, ID de client Graph, clé secrète client Graph)
  • Documentation/
    instructions d’installation du fournisseur
  • Démarrage rapide
  • Site des développeurs Agari
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Paramètres d’application
  • clientID
  • clientSecret
  • workspaceID
  • workspaceKey
  • enableBrandProtectionAPI (true/false)
  • enablePhishingResponseAPI (true/false)
  • enablePhishingDefenseAPI (true/false)
  • resGroup (entrer le groupe de ressources)
  • functionName
  • subId (entrer l’ID d’abonnement)
  • enableSecurityGraphSharing (true/false ; voir ci-dessous)
    Obligatoire si enableSecurityGraphSharing est défini sur true (voir ci-dessous) :
  • GraphTenantId
  • GraphClientId
  • GraphClientSecret
  • logAnalyticsUri (facultatif)
  • Pris en charge par Agari

    Activer l’API Security Graph (facultatif)

    Important

    Si vous effectuez cette étape, faites-le avant de déployer votre connecteur de données.

    L’application de fonction Agari vous permet de partager le renseignement sur les menaces avec Microsoft Sentinel via l’API Security Graph. Pour utiliser cette fonctionnalité, vous devez activer le connecteur Sentinel Threat Intelligence Platforms et inscrire une application dans Azure Active Directory.

    À l’issue de ce processus, vous disposerez de trois informations à utiliser lors du déploiement de l’application de fonction : l’ID de locataire Graph, l’ID de client Graph et la Clé secrète client Graph (voir les Paramètres d'application dans le tableau ci-dessus).

    Attribuer les autorisations nécessaires à votre application de fonction

    Le connecteur Agari utilise une variable d’environnement pour stocker les horodateurs d’accès aux journaux. Des autorisations doivent être attribuées à l’identité affectée par le système pour que l’application puisse écrire dans cette variable.

    1. Sur le Portail Azure, accédez à Application de fonction.
    2. Dans la page Application de fonction, sélectionnez votre application de fonction dans la liste, puis Identité sous Paramètres dans le menu de navigation de l’application de fonction.
    3. Dans l’onglet Affectée par le système, définissez État sur Activé.
    4. Sélectionnez Enregistrer : un bouton Attributions de rôle Azure s’affiche. Sélectionnez-le.
    5. Sur l’écran Attributions de rôle Azure, sélectionnez Ajouter une attribution de rôle. Définissez la Portée sur Abonnement, sélectionnez votre abonnement dans la liste déroulante Abonnement, puis définissez Rôle sur Propriétaire des données App Configuration.
    6. Sélectionnez Enregistrer.

    AI Analyst (AIA) par Darktrace (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog

    Configurer le transfert de journaux CEF pour AI Analyst
    Table(s) Log Analytics CommonSecurityLog
    Pris en charge par Darktrace

    Configurer le transfert de journaux CEF pour AI Analyst

    Configurez Darktrace pour transférer les messages Syslog au format CEF à votre espace de travail Azure par le biais de l’agent Log Analytics.

    1. Dans le Darktrace Threat Visualizer, accédez à la page Configuration du système dans le menu principal sous Admin.
    2. Dans le menu de gauche, sélectionnez Modules et choisissez Microsoft Sentinel parmi les intégrations de flux de travail disponibles.
    3. Une fenêtre de configuration s’ouvre. Recherchez Microsoft Sentinel Syslog CEF et sélectionnez Nouveau pour afficher les paramètres de configuration, s’ils ne sont pas déjà exposés.
    4. Dans le champ Configuration du serveur, entrez l’emplacement du redirecteur de journal. Vous pouvez également modifier le port de communication si vous le souhaitez. Assurez-vous que le port sélectionné est défini sur 514 et qu’il est autorisé par les pare-feu intermédiaires.
    5. Configurez des seuils d’alerte, des décalages de temps ou des paramètres supplémentaires si nécessaire.
    6. Passez en revue toutes les options de configuration supplémentaires que vous pouvez souhaiter activer pour modifier la syntaxe Syslog.
    7. Activez Envoyer des alertes et enregistrez vos modifications.

    AI Vectra Detect (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog

    Configurer le transfert de journaux CEF pour AI Vectra Detect
    Table(s) Log Analytics CommonSecurityLog
    Pris en charge par Vectra AI

    Configurer le transfert de journaux CEF pour AI Vectra Detect

    Configurez l’agent Vectra (série X) pour transférer les messages Syslog au format CEF à votre espace de travail Microsoft Sentinel par le biais de l’agent Log Analytics.

    À partir de l’interface Vectra, accédez à Paramètres > Notifications, puis choisissez Modifier la configuration Syslog. Suivez les instructions ci-dessous pour configurer la connexion :

    • Ajoutez une nouvelle destination (le nom d’hôte du redirecteur de journal)
    • Définissez le port sur 514
    • Définissez le protocole sur UDP
    • Définissez le format sur CEF
    • Définissez les types de journaux (sélectionnez tous les types de journaux disponibles)
    • Sélectionnez Enregistrer.

    Vous pouvez sélectionner le bouton Test pour forcer l’envoi de certains événements de test au redirecteur de journal.

    Pour plus d’informations, reportez-vous au Guide du Syslog Cognito Detect qui peut être téléchargé à partir de la page des ressources dans l’interface utilisateur de Detect.

    Akamai Security Events (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto
    Table(s) Log Analytics CommonSecurityLog
    Alias de fonction Kusto : AkamaiSIEMEvent
    URL de fonction Kusto : https://aka.ms/Sentinel-akamaisecurityevents-parser
    Documentation/
    instructions d’installation du fournisseur
    Configurer l’intégration de SIEM (Security Information and Event Management)
    Configurer un connecteur CEF.
    Pris en charge par Akamai

    Alcide kAudit

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics alcide_kaudit_activity_1_CL - Journaux d’activité Alcide kAudit
    alcide_kaudit_detections_1_CL - Détections Alcide kAudit
    alcide_kaudit_selections_count_1_CL - Nombres d’activités Alcide kAudit
    alcide_kaudit_selections_details_1_CL - Détails des activités Alcide kAudit
    Documentation/
    instructions d’installation du fournisseur
    Guide d’installation d’Alcide kAudit
    Pris en charge par Alcide

    Alsid for Active Directory

    Attribut du connecteur Description
    Méthode d’ingestion des données Agent Log Analytics : journaux personnalisés

    Configuration supplémentaire pour Alsid
    Table(s) Log Analytics AlsidForADLog_CL
    Alias de fonction Kusto : afad_parser
    URL de fonction Kusto : https://aka.ms/Sentinel-alsidforad-parser
    Pris en charge par Alsid

    Configuration supplémentaire pour Alsid

    1. Configurer le serveur Syslog

      Tout d’abord, vous avez besoin d’un serveur Syslog Linux auquel Alsid pour AD enverra les journaux. Généralement, vous pouvez exécuter rsyslog sur Ubuntu.

      Vous pouvez ensuite configurer ce serveur comme vous le souhaitez, mais nous vous recommandons de pouvoir émettre les journaux AFAD dans un fichier distinct. Vous pouvez également utiliser un modèle de démarrage rapide qui déploie le serveur Syslog et l’agent Microsoft pour vous. Si vous utilisez le modèle, vous pouvez ignorer les instructions d’installation de l’agent.

    2. Configurer Alsid pour envoyer les journaux à votre serveur Syslog

      Sur votre portail Alsid pour AD, accédez à Système, Configuration, puis Syslog. À partir de là, vous pouvez créer une alerte Syslog destinée à votre serveur Syslog.

      Après avoir créé une alerte Syslog, vérifiez que les journaux sont correctement collectés sur votre serveur dans un fichier séparé. Par exemple, pour vérifier vos journaux, vous pouvez utiliser le bouton Tester la configuration dans la configuration d’alerte Syslog dans AFAD. Si vous avez utilisé le modèle de démarrage rapide, le serveur Syslog écoute par défaut le port 514 dans UDP et 1514 dans TCP, sans TLS.

    Amazon Web Services - CloudTrail

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration service à service d’Azure :
    Connecter AWS CloudTrail à Microsoft Sentinel
    (article sur les principaux connecteurs)
    Table(s) Log Analytics AWSCloudTrail
    Pris en charge par Microsoft

    Apache HTTP Server

    Attribut du connecteur Description
    Méthode d’ingestion des données Agent Log Analytics : journaux personnalisés
    Table(s) Log Analytics ApacheHTTPServer_CL
    Alias de fonction Kusto : ApacheHTTPServer
    URL de fonction Kusto : https://aka.ms/Sentinel-apachehttpserver-parser
    Exemple de fichier journal personnalisé : access.log ou error.log

    Apache Tomcat

    Attribut du connecteur Description
    Méthode d’ingestion des données Agent Log Analytics : journaux personnalisés
    Table(s) Log Analytics Tomcat_CL
    Alias de fonction Kusto : TomcatEvent
    URL de fonction Kusto : https://aka.ms/Sentinel-ApacheTomcat-parser
    Exemple de fichier journal personnalisé : access.log ou error.log

    Aruba ClearPass (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto
    Table(s) Log Analytics CommonSecurityLog
    Alias de fonction Kusto : ArubaClearPass
    URL de fonction Kusto : https://aka.ms/Sentinel-arubaclearpass-parser
    Documentation/
    instructions d’installation du fournisseur
    Suivez les instructions d’Aruba pour configurer ClearPass.
    Pris en charge par Microsoft

    Atlassian Confluence Audit (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST
    Table(s) Log Analytics Confluence_Audit_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-confluenceauditapi-functionapp
    Informations d'identification de l’API
  • ConfluenceAccessToken
  • ConfluenceUsername
  • ConfluenceHomeSiteName
  • Documentation/
    instructions d’installation du fournisseur
  • Documentation de l’API
  • Exigences et instructions pour l’obtention des informations d’identification
  • Afficher le journal d’audit
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto ConfluenceAudit
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-confluenceauditapi-parser
    Paramètres d’application
  • ConfluenceUsername
  • ConfluenceAccessToken
  • ConfluenceHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Atlassian Jira Audit (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST
    Table(s) Log Analytics Jira_Audit_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-jiraauditapi-functionapp
    Informations d'identification de l’API
  • JiraAccessToken
  • JiraUsername
  • JiraHomeSiteName
  • Documentation/
    instructions d’installation du fournisseur
  • Documentation de l’API : enregistrements d’audit
  • Exigences et instructions pour l’obtention des informations d’identification
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto JiraAudit
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-jiraauditapi-parser
    Paramètres d’application
  • JiraUsername
  • JiraAccessToken
  • JiraHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Azure Active Directory

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration service à service d’Azure :
    Connecter des données Azure Active Directory à Microsoft Sentinel
    (article sur les principaux connecteurs)
    Licences requises/
    informations de coût
  • Licence Azure Active Directory P1 ou P2 pour les journaux de connexion
  • Toute licence Azure AD (Gratuit/O365/P1/P2) pour les autres types de journaux
    D’autres frais d'opérateur peuvent s'appliquer
  • Table(s) Log Analytics SigninLogs
    AuditLogs
    AADNonInteractiveUserSignInLogs
    AADServicePrincipalSignInLogs
    AADManagedIdentitySignInLogs
    AADProvisioningLogs
    ADFSSignInLogs
    Pris en charge par Microsoft

    Azure Active Directory Identity Protection

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’API
    Licences requises/
    informations de coût
    Abonnement Azure AD Premium P2
    D’autres frais d'opérateur peuvent s'appliquer
    Table(s) Log Analytics SecurityAlert
    Pris en charge par Microsoft

    Activité Azure

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur les paramètres de diagnostic, gérées par Azure Policy


    Mettre à niveau vers le nouveau connecteur Azure Activity
    Table(s) Log Analytics AzureActivity
    Pris en charge par Microsoft

    Mettre à niveau vers le nouveau connecteur Azure Activity

    Modifications de la structure de données

    Ce connecteur a récemment modifié son mécanisme principal pour la collecte des événements du journal d’activité. Il utilise désormais le pipeline des paramètres de diagnostic. Si vous utilisez encore l’ancienne méthode pour ce connecteur, nous vous encourageons fortement à passer à la nouvelle version, qui offre une meilleure fonctionnalité et une plus grande cohérence avec les journaux des ressources. Voir les instructions ci-dessous.

    La méthode Paramètres de diagnostic envoie les mêmes données que l’ancienne méthode envoyait à partir du service de journal des activités, bien que certaines modifications aient été apportées à la structure de la table AzureActivity.

    Voici quelques-unes des améliorations clés résultant de la migration vers le pipeline de paramètres de diagnostic :

    • Latence d’ingestion améliorée (ingestion des événements dans les 2-3 minutes à compter de l’occurrence au lieu de 15-20 minutes).
    • Amélioration de la fiabilité.
    • Performances améliorées.
    • Prise en charge de toutes les catégories d’événements journalisés par le service de journal d’activité (le mécanisme hérité ne prend en charge qu’un sous-ensemble, par exemple, aucune prise en charge des événements Service Health).
    • Gestion à l’échelle avec Azure Policy.

    Consultez la Documentation d’Azure Monitor pour un traitement plus approfondi du Journal d’activité d’Azure et du Pipeline de paramètres de diagnostic.

    Se déconnecter de l’ancien pipeline

    Avant de configurer le nouveau connecteur de Azure Activity, vous devez déconnecter les abonnements existants de la méthode héritée.

    1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données. Dans la liste des connecteurs, sélectionnez Activité Azure, puis le bouton Ouvrir la page du connecteur en bas à droite.

    2. Sous l’onglet Instructions, dans la section Configuration, à l’étape 1, examinez la liste de vos abonnements existants qui sont connectés à l’ancienne méthode (afin de savoir lesquels ajouter à la nouvelle), et déconnectez-les tous en une seule fois en cliquant sur le bouton Déconnecter tout ci-dessous.

    3. Continuez la configuration du nouveau connecteur en suivant les instructions associées dans le tableau ci-dessus.

    Protection DDoS dans Azure

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur les paramètres de diagnostic
    Licences requises/
    informations de coût
  • Vous devez avoir configuré un plan de protection Azure DDoS Standard.
  • Vous devez avoir configuré un réseau virtuel sur lequel Azure DDoS Standard est activé
    D’autres frais d'opérateur peuvent s'appliquer
  • Table(s) Log Analytics AzureDiagnostics
    Diagnostics recommandés DDoSProtectionNotifications
    DDoSMitigationFlowLogs
    DDoSMitigationReports
    Pris en charge par Microsoft

    Microsoft Defender pour le cloud

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration service à service d’Azure :
    Connecter des alertes de sécurité à partir de Microsoft Defender pour le cloud
    (article sur les principaux connecteurs)
    Table(s) Log Analytics SecurityAlert
    Pris en charge par Microsoft

    Microsoft Defender pour IoT

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’API
    Table(s) Log Analytics SecurityAlert
    Pris en charge par Microsoft

    Pare-feu Azure

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur les paramètres de diagnostic
    Table(s) Log Analytics AzureDiagnostics
    Diagnostics recommandés AzureFirewallApplicationRule
    AzureFirewallNetworkRule
    AzureFirewallDnsProxy
    Pris en charge par Microsoft

    Azure Information Protection

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure
    Table(s) Log Analytics InformationProtectionLogs_CL
    Pris en charge par Microsoft

    Pour plus d’informations, consultez la documentation d’Azure Information Protection.

    Azure Key Vault

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur les paramètres de diagnostic, gérées par Azure Policy
    Table(s) Log Analytics KeyVaultData
    Pris en charge par Microsoft

    Azure Kubernetes Service (AKS)

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur les paramètres de diagnostic, gérées par Azure Policy
    Table(s) Log Analytics kube-apiserver
    kube-audit
    kube-audit-admin
    kube-controller-manager
    kube-scheduler
    cluster-autoscaler
    guard
    Pris en charge par Microsoft

    Bases de données SQL Azure

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur les paramètres de diagnostic, gérées par Azure Policy


    Également disponible dans les solutions Azure SQL et Microsoft Sentinel pour SQL PaaS
    Table(s) Log Analytics SQLSecurityAuditEvents
    SQLInsights
    AutomaticTuning
    QueryStoreWaitStatistics
    Errors
    DatabaseWaitStatistics
    Délais d'attente
    Blocs
    Blocages
    De base
    InstanceAndAppAdvanced
    WorkloadManagement
    DevOpsOperationsAudit
    Pris en charge par Microsoft

    Compte Stockage Azure

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur les paramètres de diagnostic


    Remarques sur la configuration des paramètres de diagnostic du compte de stockage
    Table(s) Log Analytics StorageBlobLogs
    StorageQueueLogs
    StorageTableLogs
    StorageFileLogs
    Diagnostics recommandés Ressource de compte
  • Transaction
    Ressources d’objets blob/file d’attente/table/fichier
  • StorageRead
  • StorageWrite
  • StorageDelete
  • Transaction
  • Pris en charge par Microsoft

    Remarques sur la configuration des paramètres de diagnostic du compte de stockage

    La ressource de compte de stockage (parent) comprend d’autres ressources (enfants) pour chaque type de stockage : fichiers, tables, files d’attente et objets blob.

    Lors de la configuration des diagnostics pour un compte de stockage, vous devez sélectionner et configurer à son tour les éléments suivants :

    • La ressource de compte parent, en exportant la métrique de Transaction.
    • Chacune des ressources de type de stockage enfant, en exportant tous les journaux et métriques (voir le tableau ci-dessus).

    Vous ne verrez que les types de stockage pour lesquels vous avez réellement défini des ressources.

    Pare-feu d’applications web (WAF) Azure

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur les paramètres de diagnostic
    Table(s) Log Analytics AzureDiagnostics
    Diagnostics recommandés Application Gateway
  • ApplicationGatewayAccessLog
  • ApplicationGatewayFirewallLog
    Front Door
  • FrontdoorAccessLog
  • FrontdoorWebApplicationFirewallLog
    Stratégie WAF de CDN
  • WebApplicationFirewallLogs
  • Pris en charge par Microsoft

    Barracuda CloudGen Firewall

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : CGFWFirewallActivity
    URL de fonction Kusto : https://aka.ms/Sentinel-barracudacloudfirewall-function
    Documentation/
    instructions d’installation du fournisseur
    https://aka.ms/Sentinel-barracudacloudfirewall-connector
    Pris en charge par Barracuda

    WAF Barracuda

    Attribut du connecteur Description
    Méthode d’ingestion des données Agent Log Analytics : journaux personnalisés
    Table(s) Log Analytics syslog
    Documentation/
    instructions d’installation du fournisseur
    https://aka.ms/asi-barracuda-connector
    Pris en charge par Barracuda

    BETTER Mobile Threat Defense (MTD) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics BetterMTDDeviceLog_CL
    BetterMTDIncidentLog_CL
    BetterMTDAppLog_CL
    BetterMTDNetflowLog_CL
    Documentation/
    instructions d’installation du fournisseur
    Documentation de BETTER MTD

    Configuration de la stratégie de menace, qui définit les incidents signalés à Microsoft Sentinel :
    1. Dans la console de Better MTD, sélectionnez Stratégies dans la barre latérale.
    2. Sélectionnez le bouton Modifier de la stratégie que vous utilisez.
    3. Pour chaque type d’Incident que vous souhaitez consigner, accédez au champ Envoyer vers les intégrations et sélectionnez Sentinel.
    Pris en charge par Better Mobile

    Beyond Security beSECURE

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics beSECURE_ScanResults_CL
    beSECURE_ScanEvents_CL
    beSECURE_Audit_CL
    Documentation/
    instructions d’installation du fournisseur
    Accédez au menu Intégration :
    1. Sélectionnez l’option de menu Plus.
    2. Sélectionnez Serveur
    3. Sélectionnez Intégration
    4. Activer Microsoft Sentinel
    5. Collez les valeurs ID d’espace de travail et Clé primaire dans la configuration de beSECURE.
    6. Sélectionnez Modifier.
    Pris en charge par Beyond Security

    BlackBerry CylancePROTECT (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : CylancePROTECT
    URL de fonction Kusto : https://aka.ms/Sentinel-cylanceprotect-parser
    Documentation/
    instructions d’installation du fournisseur
    Guide du Syslog Cylance
    Pris en charge par Microsoft

    Broadcom Symantec Data Loss Prevention (DLP) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto
    Table(s) Log Analytics CommonSecurityLog
    Alias de fonction Kusto : SymantecDLP
    URL de fonction Kusto : https://aka.ms/Sentinel-symantecdlp-parser
    Documentation/
    instructions d’installation du fournisseur
    Configuration du journal sur une action de serveur Syslog
    Pris en charge par Microsoft

    Check Point

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog

    Disponible à partir de la solution Check Point
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Exportateur de journaux : exportation de journaux Check Point
    Pris en charge par Check Point

    Cisco ASA

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog

    Disponible dans la solution Cisco ASA
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Guide de configuration de l’interface de ligne de commande de la série Cisco ASA
    Pris en charge par Microsoft

    Cisco Firepower eStreamer (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog

    Configuration supplémentaire pour Cisco Firepower eStreamer
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    eStreamer eNcore pour le guide des opérations Sentinel
    Pris en charge par Cisco

    Configuration supplémentaire pour Cisco Firepower eStreamer

    1. Installer le client Firepower eNcore
      Installez et configurez le client Firepower eNcore eStreamer. Pour plus d’informations, consultez le guide d’installation complet de Cisco.

    2. Télécharger le connecteur Firepower à partir de GitHub
      Téléchargez la version la plus récente du connecteur Firepower eNcore pour Microsoft Sentinel à partir du référentiel GitHub de Cisco. Si vous envisagez d’utiliser python3, utilisez le connecteur eStreamer python3.

    3. Créer un fichier pkcs12 à l’aide de l’adresse IP Azure/de machine virtuelle
      Créez un certificat pkcs12 à l’aide de l’adresse IP publique de l’instance de machine virtuelle dans Firepower sous Système > Intégration > eStreamer. Pour plus d’informations, consultez le Guide d’installation.

    4. Tester la connectivité entre le client Azure/de machine virtuelle et FMC
      Copiez le fichier pkcs12 de FMC vers l’instance Azure/de machine virtuelle et exécutez l’utilitaire de test (test ./encore.sh) pour vous assurer qu’une connexion peut être établie. Pour plus d’informations, consultez le guide de configuration.

    5. Configurer eNcore pour diffuser en continu des données vers l’agent
      Configurez eNcore pour diffuser en continu des données via TCP vers l’agent Log Analytics. Cette configuration doit être activée par défaut, mais des ports et des protocoles de diffusion en continu supplémentaires peuvent être configurés en fonction de la situation de sécurité de votre réseau. Il est également possible d’enregistrer les données dans le système de fichiers. Pour plus d’informations, consultez Configurer eNcore.

    Cisco Meraki (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog

    Disponible dans la solution Cisco ISE
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : CiscoMeraki
    URL de fonction Kusto : https://aka.ms/Sentinel-ciscomeraki-parser
    Documentation/
    instructions d’installation du fournisseur
    Documentation sur les rapports d’appareils Meraki
    Pris en charge par Microsoft

    Cisco Umbrella (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Disponible dans la solution Cisco Umbrella
    Table(s) Log Analytics Cisco_Umbrella_dns_CL
    Cisco_Umbrella_proxy_CL
    Cisco_Umbrella_ip_CL
    Cisco_Umbrella_cloudfirewall_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
    Informations d'identification de l’API
  • ID de clé d'accès AWS
  • Clé d’accès au secret AWS
  • Nom de compartiment S3 AWS
  • Documentation/
    instructions d’installation du fournisseur
  • Connexion à Amazon S3
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto Cisco_Umbrella
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-ciscoumbrella-function
    Paramètres d’application
  • WorkspaceID
  • WorkspaceKey
  • S3Bucket
  • AWSAccessKeyId
  • AWSSecretAccessKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Cisco Unified Computing System (UCS) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : CiscoUCS
    URL de fonction Kusto : https://aka.ms/Sentinel-ciscoucs-function
    Documentation/
    instructions d’installation du fournisseur
    Configurer Syslog pour Cisco UCS - Cisco
    Pris en charge par Microsoft

    Citrix Analytics (Sécurité)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics CitrixAnalytics_SAlerts_CL
    Documentation/
    instructions d’installation du fournisseur
    Connecter Citrix à Microsoft Sentinel
    Pris en charge par Systèmes Citrix

    Citrix Web App Firewall (WAF) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Pour configurer WAF, consultez la page WIKI de support - Configuration du pare-feu d’applications web avec NetScaler.

    Pour configurer les journaux CEF, consulter Prise en charge de la journalisation CEF dans le pare-feu d’application.

    Pour transférer les journaux vers le proxy, consultez Configuration de l’appliance Citrix ADC pour la journalisation d’audit.
    Pris en charge par Systèmes Citrix

    Cognni (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics CognniIncidents_CL
    Documentation/
    instructions d’installation du fournisseur
    Se connecter à Cognni
    1. Accédez à la page d’intégrations Cognni.
    2. Sélectionnez Connecter dans la zone Microsoft Sentinel.
    3. Collez workspaceId et sharedKey (Clé primaire) dans les champs sur l’écran d’intégrations de Cognni.
    4. Sélectionnez le bouton Connecter pour terminer la configuration.
    Pris en charge par Cognni

    Surveillance continue des menaces pour SAP (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Disponible uniquement après l’installation de la solution Surveillance continue des menaces pour SAP
    Table(s) Log Analytics Voir Informations de référence sur les journaux de la solution SAP Microsoft Sentinel
    Documentation/
    instructions d’installation du fournisseur
    Déployer une surveillance continue des menaces SAP
    Pris en charge par Microsoft

    Événements CyberArk Enterprise Password Vault (EPV) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Applications Security Information and Event Management (SIEM)
    Pris en charge par CyberArk

    Journaux de sécurité Cyberpion (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics CyberpionActionItems_CL
    Documentation/
    instructions d’installation du fournisseur
    Obtenir un abonnement Cyberpion
    Intégrer les alertes de sécurité Cyberpion à Microsoft Sentinel
    Pris en charge par Cyberpion

    DNS (préversion)

    Consultez Serveur DNS Windows (préversion).

    Dynamics 365

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’API


    Également disponible dans le cadre de la solution Microsoft Sentinel 4 Dynamics 365
    Licences requises/
    informations de coût
  • Licence de production Microsoft Dynamics 365. Non disponible pour les environnements de bac à sable.
  • Un abonnement Microsoft 365 Entreprise E3 ou E5 est requis pour la journalisation des activités.
    D’autres frais d'opérateur peuvent s'appliquer
  • Table(s) Log Analytics Dynamics365Activity
    Pris en charge par Microsoft

    ESET Enterprise Inspector (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Créer un utilisateur d’API
    Table(s) Log Analytics ESETEnterpriseInspector_CL
    Informations d'identification de l’API
  • Nom d’utilisateur EEI
  • Mot de passe EEI
  • URL de base
  • Documentation/
    instructions d’installation du fournisseur
  • Documentation sur l’API REST ESET Enterprise Inspector
  • Instructions de déploiement du connecteur Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
    Pris en charge par ESET

    Créer un utilisateur d’API

    1. Connectez-vous à ESET Security Management Center / la console ESET PROTECT avec un compte administrateur, sélectionnez l’onglet Plus, puis le sous-onglet Utilisateurs.
    2. Sélectionnez le bouton AJOUTER NOUVEAU et ajoutez un utilisateur natif.
    3. Créez un nouvel utilisateur pour le compte d’API. Facultatif : sélectionnez un groupe de base autre que Tous pour limiter les détections qui sont ingérées.
    4. Sous l’onglet Ensembles d’autorisations, attribuez l’ensemble d’autorisations Réviseur Enterprise Inspector.
    5. Déconnectez-vous du compte administrateur et connectez-vous à la console avec les nouvelles informations d’identification de l’API pour validation, puis déconnectez-vous du compte d’API.

    ESET Security Management Center (SMC) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog

    Configurer les journaux ESET SMC à collecter
    Configurer l’agent OMS pour qu’il passe les données Eset SMC au format API
    Changer la configuration de l'agent OMS pour saisir l'étiquette oms.api.eset et analyser les données structurées
    Désactiver la configuration automatique et redémarrer l’agent
    Table(s) Log Analytics eset_CL
    Documentation/
    instructions d’installation du fournisseur
    Documentation du serveur Syslog ESET
    Pris en charge par ESET

    Configurer les journaux ESET SMC à collecter

    Configurez rsyslog pour accepter les journaux provenant de votre adresse IP Eset SMC.

        sudo -i
        # Set ESET SMC source IP address
        export ESETIP={Enter your IP address}
    
        # Create rsyslog configuration file
        cat > /etc/rsyslog.d/80-remote.conf << EOF
        \$ModLoad imudp
        \$UDPServerRun 514
        \$ModLoad imtcp
        \$InputTCPServerRun 514
        \$AllowedSender TCP, 127.0.0.1, $ESETIP
        \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
        EOF
    
        # Restart rsyslog
        systemctl restart rsyslog
    

    Configurer l’agent OMS pour qu’il passe les données Eset SMC au format API

    Pour reconnaître facilement les données Eset, envoyez-les (push) à une table distincte et analysez-les au niveau de l’agent pour simplifier et accélérer votre requête Microsoft Sentinel.

    Dans le fichier /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf, modifiez la section match oms.** pour envoyer les données en tant qu’objets d’API, en remplaçant le type par out_oms_api.

    Le code suivant est un exemple de la section match oms.** complète :

        <match oms.** docker.**>
          type out_oms_api
          log_level info
          num_threads 5
          run_in_background false
    
          omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
          cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
          key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
    
          buffer_chunk_limit 15m
          buffer_type file
          buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
    
          buffer_queue_limit 10
          buffer_queue_full_action drop_oldest_chunk
          flush_interval 20s
          retry_limit 10
          retry_wait 30s
          max_retry_wait 9m
        </match>
    

    Changer la configuration de l'agent OMS pour saisir l'étiquette oms.api.eset et analyser les données structurées

    Modifiez le fichier /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf.

    Par exemple :

        <source>
          type syslog
          port 25224
          bind 127.0.0.1
          protocol_type udp
          tag oms.api.eset
        </source>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format /(?<message>.*?{.*})/
        </filter>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format json
        </filter>
    

    Désactiver la configuration automatique et redémarrer l’agent

    Par exemple :

        # Disable changes to configuration files from Portal
        sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
    
        # Restart agent
        sudo /opt/microsoft/omsagent/bin/service_control restart
    
        # Check agent logs
        tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    

    Configurer Eset SMC pour envoyer des journaux au connecteur

    Configurez les journaux Eset en utilisant le style BSD et le format JSON.

    • Accédez à la configuration du serveur Syslog pour configurer Host (votre connecteur), Format BSD et Transport TCP.
    • Accédez à la section de journalisation et activez JSON.

    Pour plus d’informations, consultez la documentation d’Eset.

    Exabeam Advanced Analytics (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : ExabeamEvent
    URL de fonction Kusto : https://aka.ms/Sentinel-Exabeam-parser
    Documentation/
    instructions d’installation du fournisseur
    Configurer les notifications d’activité du système Advanced Analytics
    Pris en charge par Microsoft

    ExtraHop Reveal(x)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Connecteur SIEM ExtraHop Detection
    Pris en charge par ExtraHop

    F5 BIG-IP

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics F5Telemetry_LTM_CL
    F5Telemetry_system_CL
    F5Telemetry_ASM_CL
    Documentation/
    instructions d’installation du fournisseur
    Intégration de F5 BIG-IP à Microsoft Sentinel
    Pris en charge par F5 Networks

    F5 Networks (ASM)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Configuration de la journalisation des événements de sécurité des applications
    Pris en charge par F5 Networks

    Forcepoint Cloud Access Security Broker (CASB) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Forcepoint CASB et Microsoft Sentinel
    Pris en charge par Forcepoint

    Forcepoint Cloud Security Gateway (CSG) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Forcepoint Cloud Security Gateway et Microsoft Sentinel
    Pris en charge par Forcepoint

    Forcepoint Data Loss Prevention (DLP) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics ForcepointDLPEvents_CL
    Documentation/
    instructions d’installation du fournisseur
    Forcepoint Data Loss Prevention et Microsoft Sentinel
    Pris en charge par Forcepoint

    Forcepoint Next Generation Firewall (NGFW) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Forcepoint Next-Gen Firewall et Microsoft Sentinel
    Pris en charge par Forcepoint

    ForgeRock Common Audit (CAUD) pour CEF (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    À installer en premier : ForgeRock Common Audit (CAUD) pour Microsoft Sentinel
    Pris en charge par ForgeRock

    Fortinet

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog

    Envoyer les journaux Fortinet au redirecteur de journal <br
    Disponible dans la solution Fortinet FortiGate
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Bibliothèque de documents Fortinet
    Choisissez votre version et utilisez le manuel d’utilisation (Handbook) et les PDF de référence des messages de journaux (Log Message Reference).
    Pris en charge par Fortinet

    Envoyer les journaux Fortinet au redirecteur de journal

    Ouvrez l’interface CLI sur votre appliance Fortinet et exécutez les commandes suivantes :

    config log syslogd setting
    set status enable
    set format cef
    set port 514
    set server <ip_address_of_Forwarder>
    end
    
    • Remplacez l’adresse IP du serveur par l’adresse IP du redirecteur de journal.
    • Affectez au port Syslog la valeur 514 ou la valeur du port défini sur le démon Syslog sur le redirecteur.
    • Pour activer le format CEF dans les premières versions de FortiOS, vous devrez peut-être exécuter le jeu de commandes csv disable.

    Google Workspace (G-Suite) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Configuration supplémentaire de l’API de rapports Google
    Table(s) Log Analytics GWorkspace_ReportsAPI_admin_CL
    GWorkspace_ReportsAPI_calendar_CL
    GWorkspace_ReportsAPI_drive_CL
    GWorkspace_ReportsAPI_login_CL
    GWorkspace_ReportsAPI_mobile_CL
    GWorkspace_ReportsAPI_token_CL
    GWorkspace_ReportsAPI_user_accounts_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
    Informations d'identification de l’API
  • GooglePickleString
  • Documentation/
    instructions d’installation du fournisseur
  • Documentation de l’API
  • Obtenez des informations d’identification dans Effectuer une délégation d’autorité à l’échelle du domaine Google Workspace
  • Convertir le fichier token.pickle en chaîne pickle
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto GWorkspaceActivityReports
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
    Paramètres d’application
  • GooglePickleString
  • WorkspaceID
  • workspaceKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Configuration supplémentaire de l’API de rapports Google

    Ajoutez http://localhost:8081/ sous URI de redirection autorisées lors de la création des informations d'identification d’application web.

    1. Suivez les instructions pour obtenir credentials.json.
    2. Pour obtenir la chaîne pickle Google, exécutez ce script Python (dans le même chemin d’accès que credentials.json).
    3. Copiez la sortie de chaîne pickle entre guillemets simples et enregistrez. Elle sera nécessaire pour déployer l’application de fonction.

    Illusive Attack Management System (AMS) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Guide d’administration d’Illusive Networks
    Pris en charge par Illusive Networks

    Imperva WAF Gateway (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog

    Disponible dans la solution Imperva Cloud WAF
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Procédure à suivre pour activer la journalisation des alertes Imperva WAF Gateway dans Microsoft Sentinel
    Pris en charge par Imperva

    Infoblox Network Identity Operating System (NIOS) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog

    Disponible dans la solution InfoBlox Threat Defense
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : InfobloxNIOS
    URL de fonction Kusto : https://aka.ms/sentinelgithubparsersinfoblox
    Documentation/
    instructions d’installation du fournisseur
    Guide de déploiement de NIOS SNMP et Syslog
    Pris en charge par Microsoft

    Juniper SRX (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : JuniperSRX
    URL de fonction Kusto : https://aka.ms/Sentinel-junipersrx-parser
    Documentation/
    instructions d’installation du fournisseur
    Configurer la journalisation du trafic (journaux de stratégie de sécurité) pour les appareils de branche SRX
    Configurer la journalisation du système
    Pris en charge par Juniper Networks

    Lookout Mobile Threat Defense (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Disponible uniquement après l’installation de la solution Lookout Mobile Threat Defense for Microsoft Sentinel
    Table(s) Log Analytics Lookout_CL
    Informations d'identification de l’API
  • Clé d’application Lookout
  • Documentation/
    instructions d’installation du fournisseur
  • Guide d’installation (connexion requise)
  • Documentation de l’API (connexion requise)
  • Lookout Mobile Endpoint Security
  • Pris en charge par Lookout

    Microsoft 365 Defender

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration service à service d’Azure :
    Connecter des données de Microsoft 365 Defender à Microsoft Sentinel
    (article sur les principaux connecteurs)
    Licences requises/
    informations de coût
    Licence valide pour Microsoft 365 Defender
    Table(s) Log Analytics Alertes :
    SecurityAlert
    SecurityIncident
    Événements Defender pour point de terminaison :
    DeviceEvents
    DeviceFileEvents
    DeviceImageLoadEvents
    DeviceInfo
    DeviceLogonEvents
    DeviceNetworkInfo
    DeviceNetworkInfo
    DeviceProcessEvents
    DeviceRegistryEvents
    DeviceFileCertificateInfo
    Événements Defender pour Office 365 :
    EmailAttachmentInfo
    EmailUrlInfo
    EmailEvents
    EmailPostDeliveryEvents
    Pris en charge par Microsoft

    Gestion des risques internes (IRM) Microsoft 365 (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’API


    Également disponible dans la solution Gestion des risques internes Microsoft 365
    Licence et autres conditions préalables
    Table(s) Log Analytics SecurityAlert
    Filtre de requête de données SecurityAlert
    \| where ProductName == "Microsoft 365 Insider Risk Management"
    Pris en charge par Microsoft

    Microsoft Defender for Cloud Apps

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’API


    Pour les journaux Cloud Discovery, activez Microsoft Sentinel comme SIEM dans Microsoft Defender for Cloud Apps
    Table(s) Log Analytics SecurityAlert : pour les alertes
    McasShadowItReporting : pour les journaux Cloud Discovery
    Pris en charge par Microsoft

    Microsoft Defender for Endpoint

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’API
    Licences requises/
    informations de coût
    Licence valide pour Microsoft Defender pour point de terminaison
    Table(s) Log Analytics SecurityAlert
    Pris en charge par Microsoft

    Microsoft Defender pour Identity

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’API
    Table(s) Log Analytics SecurityAlert
    Pris en charge par Microsoft

    Microsoft Defender pour Office 365

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’API
    Licences requises/
    informations de coût
    Vous devez avoir une licence valide pour Office 365 ATP Plan 2
    Table(s) Log Analytics SecurityAlert
    Pris en charge par Microsoft

    Microsoft Office 365

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’API
    Licences requises/
    informations de coût
    Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel.
    D’autres frais d'opérateur peuvent s'appliquer
    Table(s) Log Analytics OfficeActivity
    Pris en charge par Microsoft

    Morphisec UTPP (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto
    Table(s) Log Analytics CommonSecurityLog
    Alias de fonction Kusto : Morphisec
    URL de fonction Kusto https://aka.ms/Sentinel-Morphiescutpp-parser
    Pris en charge par Morphisec

    Netskope (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST
    Table(s) Log Analytics Netskope_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-netskope-functioncode
    Informations d'identification de l’API
  • Jeton d’API Netskope
  • Documentation/
    instructions d’installation du fournisseur
  • Netskope Cloud Security Platform
  • Documentation de l'API Netskope
  • Obtenir un jeton d’API
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto Netskope
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-netskope-parser
    Paramètres d’application
  • apikey
  • workspaceID
  • workspaceKey
  • URI (dépend de la région, suit le schéma : https://<Tenant Name>.goskope.com)
  • timeInterval (défini sur 5)
  • logTypes
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    NGINX HTTP Server (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Agent Log Analytics : journaux personnalisés
    Table(s) Log Analytics NGINX_CL
    Alias de fonction Kusto : NGINXHTTPServer
    URL de fonction Kusto https://aka.ms/Sentinel-NGINXHTTP-parser
    Documentation/
    instructions d’installation du fournisseur
    Module ngx_http_log_module
    Exemple de fichier journal personnalisé : access.log ou error.log
    Pris en charge par Microsoft

    NXLog Basic Security Module (BSM) macOS (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics BSMmacOS_CL
    Documentation/
    instructions d’installation du fournisseur
    Guide de l’utilisateur NXLog pour Microsoft Sentinel
    Pris en charge par NXLog

    NXLog DNS Logs (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics DNS_Logs_CL
    Documentation/
    instructions d’installation du fournisseur
    Guide de l’utilisateur NXLog pour Microsoft Sentinel
    Pris en charge par NXLog

    NXLog LinuxAudit (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics LinuxAudit_CL
    Documentation/
    instructions d’installation du fournisseur
    Guide de l’utilisateur NXLog pour Microsoft Sentinel
    Pris en charge par NXLog

    Okta Single Sign-On (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST
    Table(s) Log Analytics Okta_CL
    Code d’application de fonction Azure https://aka.ms/sentineloktaazurefunctioncodev2
    Informations d'identification de l’API
  • Jeton d'API
  • Documentation/
    instructions d’installation du fournisseur
  • Documentation de l’API Okta System Log
  • Créer un jeton d'API
  • Connecter Okta SSO à Microsoft Sentinel
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Paramètres d’application
  • apiToken
  • workspaceID
  • workspaceKey
  • URI (suit le schéma https://<OktaDomain>/api/v1/logs?since=. Identifiez votre espace de noms de domaine.)
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Onapsis Platform (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event Format (CEF) sur Syslog, avec une fonction de recherche et d’enrichissement Kusto

    Configurer Onapsis pour envoyer les journaux CEF au redirecteur de journal
    Table(s) Log Analytics CommonSecurityLog
    Alias de fonction Kusto : incident_lookup
    URL de fonction Kusto https://aka.ms/Sentinel-Onapsis-parser
    Pris en charge par Onapsis

    Configurer Onapsis pour envoyer les journaux CEF au redirecteur de journal

    Reportez-vous à l’aide d’Onapsis dans le produit pour configurer le transfert de journaux vers l’agent Log Analytics.

    1. Accédez à Setup > Third-party integrations > Defend Alarms (Configuration > Intégrations tierces > Défendre les alarmes) et suivez les instructions pour Microsoft Sentinel.
    2. Assurez-vous que votre console Onapsis peut accéder à l’ordinateur du redirecteur de journal sur lequel l’agent est installé. Les journaux doivent être envoyés au port 514 à l’aide du protocole TCP.

    One Identity Safeguard (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Guide d’administration de One Identity Safeguard pour les sessions privilégiées
    Pris en charge par One Identity

    Oracle WebLogic Server (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Agent Log Analytics : journaux personnalisés
    Table(s) Log Analytics OracleWebLogicServer_CL
    Alias de fonction Kusto : OracleWebLogicServerEvent
    URL de fonction Kusto : https://aka.ms/Sentinel-OracleWebLogicServer-parser
    Documentation/
    instructions d’installation du fournisseur
    Documentation d’Oracle WebLogic Server
    Exemple de fichier journal personnalisé : server.log
    Pris en charge par Microsoft

    Orca Security (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics OrcaAlerts_CL
    Documentation/
    instructions d’installation du fournisseur
    Intégration de Microsoft Sentinel
    Pris en charge par Orca Security

    OSSEC (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto
    Table(s) Log Analytics CommonSecurityLog
    Alias de fonction Kusto : OSSECEvent
    URL de fonction Kusto : https://aka.ms/Sentinel-OSSEC-parser
    Documentation/
    instructions d’installation du fournisseur
    Documentation d’OSSEC
    Envoi d’alertes via Syslog
    Pris en charge par Microsoft

    Palo Alto Networks

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog

    Également disponible dans les solutions Palo Alto Pan-OS et Prisma
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Guides de configuration de Common Event format (CEF)
    Configurer la surveillance Syslog
    Pris en charge par Palo Alto Networks

    Perimeter 81 Activity Logs (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics Perimeter81_CL
    Documentation/
    instructions d’installation du fournisseur
    Documentation de Perimeter 81
    Pris en charge par Perimeter 81

    Proofpoint On Demand (POD) Email Security (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Également disponible dans la solution Proofpoint POD
    Table(s) Log Analytics ProofpointPOD_message_CL
    ProofpointPOD_maillog_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-proofpointpod-functionapp
    Informations d'identification de l’API
  • ProofpointClusterID
  • ProofpointToken
  • Documentation/
    instructions d’installation du fournisseur
  • Se connecter à Proofpoint Community
  • Documentation et instructions de l’API Proofpoint
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto ProofpointPOD
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-proofpointpod-parser
    Paramètres d’application
  • ProofpointClusterID
  • ProofpointToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Proofpoint Targeted Attack Protection (TAP) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Également disponible dans la solution Proofpoint TAP
    Table(s) Log Analytics ProofPointTAPClicksPermitted_CL
    ProofPointTAPClicksBlocked_CL
    ProofPointTAPMessagesDelivered_CL
    ProofPointTAPMessagesBlocked_CL
    Code d’application de fonction Azure https://aka.ms/sentinelproofpointtapazurefunctioncode
    Informations d'identification de l’API
  • Nom d’utilisateur d’API
  • Mot de passe d’API
  • Documentation/
    instructions d’installation du fournisseur
  • Documentation sur l’API SIEM Proofpoint
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Paramètres d’application
  • apiUsername
  • apiUsername
  • URI (défini sur https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300)
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Pulse Connect Secure (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : PulseConnectSecure
    URL de fonction Kusto : https://aka.ms/sentinelgithubparserspulsesecurevpn
    Documentation/
    instructions d’installation du fournisseur
    Configuration de Syslog
    Pris en charge par Microsoft

    Base de connaissances (KB) Qualys VM (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Configuration supplémentaire pour la base de connaissances de Qualys VM

    Également disponible dans la solution Qualys VM
    Table(s) Log Analytics QualysKB_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-qualyskb-functioncode
    Informations d'identification de l’API
  • Nom d’utilisateur d’API
  • Mot de passe d’API
  • Documentation/
    instructions d’installation du fournisseur
  • Guide de l’utilisateur de l’API QualysVM
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto QualysKB
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-qualyskb-parser
    Paramètres d’application
  • apiUsername
  • apiUsername
  • URI (par région ; voir la liste de serveurs d’API. Suit le schéma https://<API Server>/api/2.0.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (ajouter à la fin de l’URI, délimité par &. Sans d’espaces.)
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Configuration supplémentaire pour la base de connaissances de Qualys VM

    1. Connectez-vous à la console Qualys Vulnerability Management avec un compte administrateur, sélectionnez l’onglet Utilisateurs, puis le sous-onglet Utilisateurs.
    2. Sélectionnez le menu déroulant Nouveau, puis Utilisateurs.
    3. Créez un nom d’utilisateur et un mot de passe pour le compte d’API.
    4. Dans l’onglet Rôles d'utilisateur, assurez-vous que le rôle de compte est défini sur Manager et que l’accès à la GUI et à l’API est autorisé
    5. Déconnectez-vous du compte administrateur et connectez-vous à la console avec les nouvelles informations d’identification de l’API pour validation, puis déconnectez-vous du compte d’API.
    6. Reconnectez-vous à la console à l’aide d’un compte administrateur et modifiez les rôles d’utilisateur de comptes d’API, en supprimant l’accès à GUI.
    7. Enregistrez toutes les modifications.

    Qualys Vulnerability Management (VM) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Configuration supplémentaire pour Qualys VM
    Déploiement manuel : après avoir configuré l’application de fonction
    Table(s) Log Analytics QualysHostDetection_CL
    Code d’application de fonction Azure https://aka.ms/sentinelqualysvmazurefunctioncode
    Informations d'identification de l’API
  • Nom d’utilisateur d’API
  • Mot de passe d’API
  • Documentation/
    instructions d’installation du fournisseur
  • Guide de l’utilisateur de l’API QualysVM
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Paramètres d’application
  • apiUsername
  • apiUsername
  • URI (par région ; voir la liste de serveurs d’API. Suit le schéma https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (ajouter à la fin de l’URI, délimité par &. Sans d’espaces.)
  • timeInterval (défini sur 5. Si vous modifiez, modifiez le déclencheur de retardateur d’application de fonction en conséquence.)
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Configuration supplémentaire pour Qualys VM

    1. Connectez-vous à la console Qualys Vulnerability Management avec un compte administrateur, sélectionnez l’onglet Utilisateurs, puis le sous-onglet Utilisateurs.
    2. Sélectionnez le menu déroulant Nouveau, puis Utilisateurs.
    3. Créez un nom d’utilisateur et un mot de passe pour le compte d’API.
    4. Dans l’onglet Rôles d'utilisateur, assurez-vous que le rôle de compte est défini sur Manager et que l’accès à la GUI et à l’API est autorisé
    5. Déconnectez-vous du compte administrateur et connectez-vous à la console avec les nouvelles informations d’identification de l’API pour validation, puis déconnectez-vous du compte d’API.
    6. Reconnectez-vous à la console à l’aide d’un compte administrateur et modifiez les rôles d’utilisateur de comptes d’API, en supprimant l’accès à GUI.
    7. Enregistrez toutes les modifications.

    Déploiement manuel : après avoir configuré l’application de fonction

    Configurer le fichier host.json

    En raison de la quantité potentiellement importante des données de détection de l’hôte Qualys ingérée, le temps d’exécution peut dépasser la valeur de délai d’expiration d’application de fonction par défaut de cinq minutes. Augmentez la durée du délai d’expiration par défaut à un maximum de dix minutes, sous le plan de consommation, afin de laisser plus de temps à l’exécution de l’application de fonction.

    1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis la page Éditeur App Service.
    2. Sélectionnez Go pour ouvrir l’éditeur, puis sélectionnez le fichier host.json sous le répertoire wwwroot.
    3. Ajoutez la ligne "functionTimeout": "00:10:00", au-dessus de la ligne managedDependancy.
    4. Vérifiez que ENREGISTRÉ apparaît en haut à droite de l’éditeur, puis quittez l’éditeur.

    Si une durée de délai d’expiration plus longue est requise, envisagez une mise à niveau vers un Plan App service.

    Salesforce Service Cloud (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST
    Table(s) Log Analytics SalesforceServiceCloud_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
    Informations d'identification de l’API
  • Nom d’utilisateur de l’API Salesforce
  • Mot de passe de l’API Salesforce
  • Jeton de sécurité de Salesforce
  • Clé de consommateur de Salesforce
  • Secret de consommateur de Salesforce
  • Documentation/
    instructions d’installation du fournisseur
    Guide du développeur de l’API REST Salesforce
    Sous Configurer l’autorisation, utilisez la méthode ID de session au lieu de OAuth.
    Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto SalesforceServiceCloud
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-SalesforceServiceCloud-parser
    Paramètres d’application
  • SalesforceUser
  • SalesforcePass
  • SalesforceSecurityToken
  • SalesforceConsumerKey
  • SalesforceConsumerSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Événements de sécurité via l’ancien agent (Windows)

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’agent Log Analytics
    Table(s) Log Analytics SecurityEvents
    Pris en charge par Microsoft

    Pour plus d’informations, consultez Configuration du classeur de protocoles non sécurisés.

    Voir aussi : Événements de sécurité Windows via agent Azure Monitor connecteur basé sur l’agent Azure Monitor (AMA)

    Configurez le connecteur Événements de sécurité / Événements de sécurité Windows pour la détection de connexion RDP anormale.

    SentinelOne (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Configuration supplémentaire pour SentinelOne
    Table(s) Log Analytics SentinelOne_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-SentinelOneAPI-functionapp
    Informations d'identification de l’API
  • SentinelOneAPIToken
  • SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net)
  • Documentation/
    instructions d’installation du fournisseur
  • https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview
  • Voir les instructions ci-dessous
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto SentinelOne
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-SentinelOneAPI-parser
    Paramètres d’application
  • SentinelOneAPIToken
  • SentinelOneUrl
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Configuration supplémentaire pour SentinelOne

    Suivez les instructions pour obtenir les informations d'identification.

    1. Connectez-vous à la console de gestion de SentinelOne avec les informations d’identification de l’utilisateur administrateur.
    2. Dans la console de gestion, sélectionnez Paramètres.
    3. Dans la vue PARAMÈTRES, sélectionnez UTILISATEURS
    4. Sélectionnez Nouvel utilisateur.
    5. Entrez les informations pour le nouvel utilisateur de la console.
    6. Dans Rôle, sélectionnez Administrateur.
    7. Sélectionnez ENREGISTRER
    8. Enregistrez les informations d’identification du nouvel utilisateur à utiliser dans le connecteur de données.

    SonicWall Firewall (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Journal > Syslog
    Sélectionnez installation local4 et ArcSight comme format Syslog.
    Pris en charge par SonicWall

    Sophos Cloud Optix (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics SophosCloudOptix_CL
    Documentation/
    instructions d’installation du fournisseur
    Intégrer à Microsoft Sentinel, en ignorant la première étape.
    Exemples de requêtes Sophos
    Pris en charge par Sophos

    Sophos XG Firewall (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : SophosXGFirewall
    URL de fonction Kusto : https://aka.ms/sentinelgithubparserssophosfirewallxg
    Documentation/
    instructions d’installation du fournisseur
    Ajouter un serveur Syslog
    Pris en charge par Microsoft

    Squadra Technologies secRMM

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics secRMM_CL
    Documentation/
    instructions d’installation du fournisseur
    Guide de l’administrateur secRMM pour Microsoft Sentinel
    Pris en charge par Squadra Technologies

    Squid Proxy (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Agent Log Analytics : journaux personnalisés
    Table(s) Log Analytics SquidProxy_CL
    Alias de fonction Kusto : SquidProxy
    URL de fonction Kusto https://aka.ms/Sentinel-squidproxy-parser
    Exemple de fichier journal personnalisé : access.log ou cache.log
    Pris en charge par Microsoft

    Symantec Integrated Cyber Defense Exchange (ICDx)

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel
    Table(s) Log Analytics SymantecICDx_CL
    Documentation/
    instructions d’installation du fournisseur
    Configuration des redirecteurs Microsoft Sentinel (Log Analytics)
    Pris en charge par Broadcom Symantec

    Symantec ProxySG (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : SymantecProxySG
    URL de fonction Kusto : https://aka.ms/sentinelgithubparserssymantecproxysg
    Documentation/
    instructions d’installation du fournisseur
    Envoi de journaux d’accès à un serveur Syslog
    Pris en charge par Microsoft

    Symantec VIP (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : SymantecVIP
    URL de fonction Kusto : https://aka.ms/sentinelgithubparserssymantecvip
    Documentation/
    instructions d’installation du fournisseur
    Configuration de Syslog
    Pris en charge par Microsoft

    Thycotic Secret Server (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Journalisation Syslog/CEF sécurisée
    Pris en charge par Thycotic

    Trend Micro Deep Security

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto
    Table(s) Log Analytics CommonSecurityLog
    Alias de fonction Kusto : TrendMicroDeepSecurity
    URL de fonction Kusto https://aka.ms/TrendMicroDeepSecurityFunction
    Documentation/
    instructions d’installation du fournisseur
    Transférer des événements Deep Security à un serveur Syslog ou SIEM
    Pris en charge par Trend Micro

    Trend Micro TippingPoint (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event Format (CEF) sur Syslog, avec un analyseur de fonction Kusto
    Table(s) Log Analytics CommonSecurityLog
    Alias de fonction Kusto : TrendMicroTippingPoint
    URL de fonction Kusto https://aka.ms/Sentinel-trendmicrotippingpoint-function
    Documentation/
    instructions d’installation du fournisseur
    Envoyer des messages Syslog au format ArcSight CEF format v 4.2.
    Pris en charge par Trend Micro

    Trend Micro Vision One (XDR) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST
    Table(s) Log Analytics TrendMicro_XDR_CL
    Informations d'identification de l’API
  • Jeton d'API
  • Documentation/
    instructions d’installation du fournisseur
  • API Trend Micro Vision One
  • Obtention de clés d’API pour l’accès tiers
  • Instructions de déploiement du connecteur Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
    Pris en charge par Trend Micro

    VMware Carbon Black Endpoint Standard (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST
    Table(s) Log Analytics CarbonBlackEvents_CL
    CarbonBlackAuditLogs_CL
    CarbonBlackNotifications_CL
    Code d’application de fonction Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
    Informations d'identification de l’API Niveau d'accès API (pour les journaux d’audit et des événements) :
  • ID d’API
  • Clé d’API

    Niveau d’accès SIEM (pour les événements de notification) :
  • ID d’API SIEM
  • Clé d’API SIEM
  • Documentation/
    instructions d’installation du fournisseur
  • Documentation de l’API Carbon Black
  • Création d’une clé d’API
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Paramètres d’application
  • apiId
  • apiKey
  • WorkspaceID
  • WorkspaceKey
  • URI (par région ; voir la liste des options. Suit le schéma : https://<API URL>.conferdeploy.net.)
  • timeInterval (défini sur 5)
  • SIEMapiId (en cas d’ingestion d’événements de notification)
  • SIEMapiKey (en cas d’ingestion d’événements de notification)
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    VMware ESXi (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : VMwareESXi
    URL de fonction Kusto : https://aka.ms/Sentinel-vmwareesxi-parser
    Documentation/
    instructions d’installation du fournisseur
    Activation de Syslog sur ESXi 3.5 et 4.x
    Configurer Syslog sur les hôtes ESXi
    Pris en charge par Microsoft

    WatchGuard Firebox (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Syslog
    Table(s) Log Analytics syslog
    Alias de fonction Kusto : WatchGuardFirebox
    URL de fonction Kusto : https://aka.ms/Sentinel-watchguardfirebox-parser
    Documentation/
    instructions d’installation du fournisseur
    Guide d’intégration de Microsoft Sentinel
    Pris en charge par WatchGuard Technologies

    WireX Network Forensics Platform (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Contactez le support WireX pour configurer votre NFP de sorte qu’elle envoie les messages Syslog au format CEF.
    Pris en charge par WireX Systems

    Serveur DNS Windows (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’agent Log Analytics
    Table(s) Log Analytics DnsEvents
    DnsInventory
    Pris en charge par Microsoft

    Événements transférés par Windows (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur l’agent Azure Monitor


    instructions supplémentaires pour le déploiement du connecteur Événements transférés par Windows
    Composants requis La Collection d’événements Windows (WEC) doit être activée et en cours d’exécution.
    Installez l’agent Azure Monitor sur la machine WEC.
    Préfixe des requêtes xPath « ForwardedEvents!* »
    Table(s) Log Analytics WindowsEvents
    Pris en charge par Microsoft

    Instructions supplémentaires pour le déploiement du connecteur Événements transférés par Windows

    Nous vous recommandons d’installer les analyseurs du modèle d’informations SIEM avancé (ASIM) pour garantir une prise en charge complète de la normalisation des données. Vous pouvez déployer ces analyseurs à partir du référentiel GitHub Azure-Sentinel à l’aide du bouton Déployer sur Azure.

    Pare-feu Windows

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure:
    connexions basées sur l’agent Log Analytics
    Table(s) Log Analytics WindowsFirewall
    Pris en charge par Microsoft

    Événements de sécurité Windows via AMA

    Attribut du connecteur Description
    Méthode d’ingestion des données Intégration de service à service Azure :
    connexions basées sur l’agent Azure Monitor
    Préfixe des requêtes xPath « Sécurité* »
    Table(s) Log Analytics SecurityEvents
    Pris en charge par Microsoft

    Voir aussi : connecteur Événements de sécurité via l’ancien agent.

    Configurer le connecteur d’événements de sécurité / d’événements de sécurité Windows pour la détection de connexion RDP anormale

    Important

    La détection de connexion Remote Desktop Protocol (RDP) anormale est actuellement en préversion publique. Cette fonctionnalité est fournie sans contrat de niveau de service et est déconseillée pour les charges de travail de production. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

    Microsoft Sentinel peut appliquer du Machine Learning (ML) aux données Événements de sécurité pour identifier une activité de connexion RDP anormale. Il s’agit entre autres des scénarios suivants :

    • IP inhabituelle : l’adresse IP a rarement ou n’a jamais été observée au cours des 30 derniers jours

    • Emplacement géographique inhabituel : l’adresse IP, la ville, le pays et l’ASN ont rarement ou n’ont jamais été observés au cours des 30 derniers jours

    • Nouvel utilisateur : un nouvel utilisateur se connecte à partir d’une adresse IP et d’un emplacement géographique, dont les deux ou l’un des deux n’étaient pas censés être vus sur la base des données des 30 jours précédents.

    Instructions de configuration

    1. Vous devez collecter les données de connexion RDP (ID d’événement 4624) par le biais du connecteur de données des événements de sécurité ou des événements de sécurité Windows. Assurez-vous que vous avez sélectionné un jeu d’événements en plus de « Aucun », ou que vous avez créé une règle de collecte de données qui comprend cet ID d’événement afin de les transmettre en continu à Microsoft Sentinel.

    2. Dans le portail Microsoft Sentinel, sélectionnez Analyse, puis l’onglet Modèles de règles. Choisissez la règle Détection de connexion RDP anormale (préversion) et déplacez le curseur État sur Activé.

      Notes

      Comme l’algorithme de Machine Learning nécessite 30 jours de données pour établir un profil de base du comportement de l’utilisateur, vous devez autoriser la collecte de 30 jours de données d’événements de sécurité Windows avant que tout incident puisse être détecté.

    Workplace from Facebook (pré)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST

    Configurer des webhooks
    Ajouter l’URL de rappel à la configuration du webhook
    Table(s) Log Analytics Workplace_Facebook_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-WorkplaceFacebook-functionapp
    Informations d'identification de l’API
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • Documentation/
    instructions d’installation du fournisseur
  • Configurer des webhooks
  • Configurer les autorisations
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto Workplace_Facebook
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-WorkplaceFacebook-parser
    Paramètres d’application
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Configurer des webhooks

    1. Connectez-vous à l’espace de travail avec les informations d’identification de l’utilisateur administrateur.
    2. Dans le panneau Administrateur, sélectionnez Intégrations.
    3. Dans la vue Toutes les intégrations, sélectionnez Créer une intégration personnalisée.
    4. Entrez un nom et une description, puis sélectionnez Créer.
    5. Dans le panneau Détails de l’intégration, affichez le Secret d’application et copiez-le.
    6. Dans le panneau Autorisations d’intégration, définissez toutes les autorisations de lecture. Pour plus d’informations, consultez la page d’autorisation.

    Ajouter l’URL de rappel à la configuration du webhook

    1. Ouvrez la page de votre application de fonction, accédez à la liste Fonctions, sélectionnez Obtenir l’URL de fonction et copiez-la.
    2. Revenez à Workplace from Facebook. Dans le panneau Configurer des webhooks, définissez, dans chaque onglet, l’URL de rappel sur l’URL de fonction que vous avez copiée à l’étape précédente, ainsi que Vérifier le jeton sur la valeur que vous avez reçue lors du déploiement automatique ou entrée lors du déploiement manuel.
    3. Sélectionnez Enregistrer.

    Zimperium Mobile Thread Defense (préversion)

    Le connecteur de données Zimperium Mobile Threat Defense connecte le journal des menaces Zimperium à Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer l’investigation. Ce connecteur vous donne plus d’informations sur le paysage des menaces mobiles de votre organisation et améliore vos capacités d’opération de sécurité.

    Pour plus d’informations, consultez Connecter Zimperium à Microsoft Sentinel.

    Attribut du connecteur Description
    Méthode d’ingestion des données API du collecteur de données Microsoft Sentinel

    Configurer et connecter Zimperium MTD
    Table(s) Log Analytics ZimperiumThreatLog_CL
    ZimperiumMitigationLog_CL
    Documentation/
    instructions d’installation du fournisseur
    Portail du service clientèle de Zimperium (connexion requise)
    Pris en charge par Zimperium

    Configurer et connecter Zimperium MTD

    1. Dans zConsole, sélectionnez Gérer dans la barre de navigation.
    2. Sélectionnez l’onglet Intégrations.
    3. Sélectionnez le bouton Rapports sur les menaces, puis sur le bouton Ajouter des intégrations.
    4. Créez l’intégration :
      1. Dans les intégrations disponibles, sélectionnez Microsoft Sentinel.
      2. Entrez votre ID d’espace de travail et votre clé primaire, puis sélectionnez Suivant.
      3. Donnez un nom à votre intégration Microsoft Sentinel.
      4. Sélectionnez un niveau de filtre pour les données de menace à transmettre à Microsoft Sentinel.
      5. Sélectionnez Terminer.

    Zoom Reports (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Azure Functions et l’API REST
    Table(s) Log Analytics Zoom_CL
    Code d’application de fonction Azure https://aka.ms/Sentinel-ZoomAPI-functionapp
    Informations d'identification de l’API
  • ZoomApiKey
  • ZoomApiSecret
  • Documentation/
    instructions d’installation du fournisseur
  • Obtenir les informations d’identification à l’aide de JWT avec Zoom
  • Instructions de déploiement du connecteur
  • Déploiement en un clic avec un modèle Azure Resource Manager (ARM)
  • Déploiement manuel
  • Alias de fonction Kusto Zoom
    Instructions de configuration de l’URL de fonction Kusto/
    analyseur
    https://aka.ms/Sentinel-ZoomAPI-parser
    Paramètres d’application
  • ZoomApiKey
  • ZoomApiSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facultatif)
  • Pris en charge par Microsoft

    Zscaler

    Attribut du connecteur Description
    Méthode d’ingestion des données Common Event format (CEF) sur Syslog
    Table(s) Log Analytics CommonSecurityLog
    Documentation/
    instructions d’installation du fournisseur
    Guide de déploiement de Zscaler et Microsoft Sentinel
    Pris en charge par Zscaler

    Zscaler Private Access (ZPA) (préversion)

    Attribut du connecteur Description
    Méthode d’ingestion des données Agent Log Analytics : journaux personnalisés

    Configuration supplémentaire pour Zscaler Private Access
    Table(s) Log Analytics ZPA_CL
    Alias de fonction Kusto : ZPAEvent
    URL de fonction Kusto https://aka.ms/Sentinel-zscalerprivateaccess-parser
    Documentation/
    instructions d’installation du fournisseur
    Documentation de Zscaler Private Access
    Voir également ci-dessous
    Pris en charge par Microsoft

    Configuration supplémentaire pour Zscaler Private Access

    Suivez les étapes de configuration ci-dessous pour accéder aux journaux Zscaler Private Access dans Microsoft Sentinel. Pour plus d’informations, consultez la Documentation Azure Monitor. Les journaux Zscaler Private Access sont fournis par le biais du service de streaming des journaux (LSS). Pour plus d’informations, consultez la Documentation de LSS.

    1. Configurez des Récepteurs de journaux. Lors de la configuration d’un récepteur de journaux, choisissez JSON comme Modèle de journal.

    2. Téléchargez le fichier config zpa.conf.

      wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
      
    3. Connectez-vous au serveur sur lequel vous avez installé l’agent Azure Log Analytics.

    4. Copiez zpa.conf dans le dossier /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

    5. Modifiez zpa.conf comme suit :

      1. Spécifiez le port que vous avez défini auquel vos récepteurs de journaux Zscaler doivent transférer les journaux (ligne 4)
      2. Remplacez workspace_id par la valeur réelle d’ID de votre espace de travail (lignes 14, 15, 16, 19)
    6. Enregistrez les modifications et redémarrez l’agent Azure Log Analytics pour le service Linux à l’aide de la commande suivante :

      sudo /opt/microsoft/omsagent/bin/service_control restart
      

    Vous pouvez trouver la valeur d’ID de votre espace de travail sur la page du connecteur ZScaler Private Access ou sur la page de gestion de vos agents d’espace de travail Log Analytics.

    Étapes suivantes

    Pour plus d'informations, consultez les pages suivantes :