Planifier le connecteur pour les événements de sécurité des hôtes Windows
Vous avez trois options de connecteur d’événements de sécurité Windows pour envoyer en streaming à Microsoft Sentinel des événements d’appareils Windows.
En fonction des besoins de votre organisation, vous avez la possibilité d’installer un agent sur chaque appareil Windows pour transférer des événements à Microsoft Sentinel. Deux agents sont disponibles :
- Connecteur Événements de sécurité Windows via AMA
- Connecteur Événements de sécurité via l’ancien agent
La deuxième option consiste à configurer un appareil Collecteur d’événements Windows pour recevoir des événements des appareils Windows. L’appareil Collecteur d’événements Windows transfère ensuite les événements à Microsoft Sentinel avec le connecteur Événements transférés Windows.
Connecteur Événements de sécurité Windows via AMA et connecteur événements de sécurité via l’ancien agent
Le connecteur Événements de sécurité Windows via AMA a les différences suivantes par rapport au connecteur Événements de sécurité via l’ancien agent :
Avantages :
- Gérer les paramètres de collecte à grande échelle
- Agent de monitoring Azure partagé avec d’autres solutions
- Optimisation des performances
- Améliorations de sécurité
Limites :
- L’agent Azure Monitor est publié en préversion et est pris en charge avec le plan CSPM et Microsoft Defender pour serveurs Plan 2.
Conditions requises :
- Les machines virtuelles/appareils non-Azure nécessitent Azure Arc.
Azure Arc
Azure Arc est un agent installé sur l’appareil ou la machine virtuelle qui permet à l’appareil d’être géré comme une machine virtuelle Azure. Azure Arc fournit d’autres fonctionnalités, notamment l’exécution de services basés sur Azure dans un environnement hybride.