Microsoft Azure Sentinel :Connecter les sources de données


Article original : https://docs.microsoft.com/en-us/azure/sentinel/connect-data-sources

Vous devez d’abord vous connecter à vos sources de données. Azure Sentinel est livré avec un certain nombre de connecteurs pour les solutions Microsoft, disponibles prêts à l’emploi et offrant une intégration en temps réel, y compris les solutions Microsoft Threat Protection et les sources Microsoft 365, notamment Office 365, Azure AD, Azure ATP et Microsoft Cloud App Security. De plus, il existe des connecteurs intégrés à l’écosystème de sécurité plus large pour les solutions non-Microsoft. Vous pouvez également utiliser le format d’événement commun, Syslog ou REST-API pour connecter vos sources de données avec Azure Sentinel.

Dans le menu, sélectionnez Connecteurs de données. Cette page vous permet de voir la liste complète des connecteurs fournis par Azure Sentinel et leur état. Sélectionnez le connecteur que vous voulez connecter et sélectionnez Ouvrir la page Connecteur.


Sur la page spécifique du connecteur, vérifiez que vous avez rempli toutes les conditions préalables et suivez les instructions pour connecter les données à Azure Sentinel. Cela peut prendre un certain temps avant que les logs commencent à se synchroniser avec Azure Sentinel. Après la connexion, un résumé des données s’affiche dans le graphique Données reçues et l’état de la connectivité des types de données.


Cliquez sur l’onglet Étapes suivantes pour obtenir une liste du contenu prêt à l’emploi qu’Azure Sentinel fournit pour le type de données spécifique.

Méthodes de connexion de données

 

Les méthodes de connexion de données suivantes sont supportées par Azure Sentinel :

 

-Services Microsoft :

Les services Microsoft sont connectés nativement, en s’appuyant sur la base Azure pour une intégration prête à l’emploi, les solutions suivantes peuvent être connectées en quelques clics :

◦Office 365
Autre Journaux d’audit et connexions AD
Azure Activité
◦Azure AD Protection de l’identité
Azure Centre de sécurité
Azure Protection de l’information
Azure Protection avancée contre les menaces
Cloud Sécurité des applications
◦Windows événements de sécurité
◦Windows pare-feu

 

Solutions externes via API : Certaines sources de données sont connectées à l’aide d’API fournies par la source de données connectée. Généralement, la plupart des technologies de sécurité fournissent un ensemble d’API permettant de récupérer les journaux d’événements, de se connecter à Azure Sentinel, de rassembler des types de données spécifiques et de les envoyer à Azure Log Analytics. Les appareils connectés via API incluent :

◦Barracuda
◦Symantec

-Solutions externes par l’intermédiaire d’un agent : Azure Sentinel peut être connecté à toutes les autres sources de données qui peuvent effectuer le log streaming en temps réel en utilisant le protocole Syslog, via un agent.

La plupart des appliances utilisent le protocole Syslog pour envoyer des messages d’événement qui incluent le journal lui-même et des données sur le journal. Le format des journaux varie, mais la plupart des appareils prennent en charge la norme Common Event Format (CEF).

L’agent Azure Sentinel, qui est basé sur l’agent Log Analytics, convertit les logs au format CEF en un format qui peut être ingéré par Log Analytics. Selon le type d’appliance, l’agent est installé soit directement sur l’appliance, soit sur un serveur Linux dédié. L’agent pour Linux reçoit les événements du démon Syslog via UDP, mais si une machine Linux est censée collecter un volume important d’événements Syslog, ils sont envoyés via TCP du démon Syslog à l’agent et de là à Log Analytics.

◦Firewalls, proxies et terminaux : ◦F5

◦Check Point
◦Cisco ASA
◦Fortinet
◦Palo Alto
Other Appareils CEFµ
Other Appareils Syslog

◦DLP solutions
◦Threat fournisseurs de renseignements
◦DNS machines – agent installé directement sur la machine DNS
Serveurs ◦Linux
◦Other nuages

Options de connexion de l’agent

Pour connecter votre appareil externe à Azure Sentinel, l’agent doit être déployé sur une machine dédiée (VM ou sur site) pour supporter la communication entre l’appareil et Azure Sentinel. Vous pouvez déployer l’agent automatiquement ou manuellement. Le déploiement automatique n’est disponible que si votre machine dédiée est une nouvelle VM que vous créez dans Azure.


Alternativement, vous pouvez déployer l’agent manuellement sur une machine virtuelle Azure existante, sur une machine virtuelle dans un autre nuage, ou sur une machine sur site.

Types de données cartographiques avec les options de connexion Azure Sentinel

Data type

How to connect

Data connector?

Comments

AWSCloudTrail

Connect AWS

V

 

AzureActivity

Connect Azure Activity and Activity logs overview

V

 

AuditLogs

Connect Azure AD

V

 

SigninLogs

Connect Azure AD

V

 

AzureFirewall

Azure Diagnostics

V

 

InformationProtectionLogs_CL

Azure Information Protection reports
Connect Azure Information Protection

V

This usually uses the InformationProtectionEvents function in addition to the data type. For more information, see How to modify the reports and create custom queries

AzureNetworkAnalytics_CL

Traffic analytic schema
Traffic analytics

   

CommonSecurityLog

Connect CEF

V

 

OfficeActivity

Connect Office 365

V

 

SecurityEvents

Connect Windows security events

V

For the Insecure Protocols workbooks, see Insecure protocols workbook setup

Syslog

Connect Syslog

V

 

Microsoft Web Application Firewall (WAF) – (AzureDiagnostics)

Connect Microsoft Web Application Firewall

V

 

SymantecICDx_CL

Connect Symantec

V

 

ThreatIntelligenceIndicator

Connect threat intelligence

V

 

VMConnection
ServiceMapComputer_CL
ServiceMapProcess_CL

Azure Monitor service map
Azure Monitor VM insights onboarding

Enable Azure Monitor VM insights

Using Single VM On-boarding
Using On-boarding Via Policy

X

VM insights workbook

DnsEvents

Connect DNS

V

 

W3CIISLog

Connect IIS logs

X

 

WireData

Connect Wire Data

X

 

WindowsFirewall

Connect Windows Firewall

V

 

AADIP SecurityAlert

Connect Azure AD Identity Protection

V

 

AATP SecurityAlert

Connect Azure ATP

V

 

ASC SecurityAlert

Connect Azure Security Center

V

 

MCAS SecurityAlert

Connect Microsoft Cloud App Security

V

 

SecurityAlert

     

Sysmon (Event)

Connect Sysmon
Connect Windows Events

Get the Sysmon Parser

X

Sysmon collection is not installed by default on virtual machines. For more information on how to install the Sysmon Agent, see Sysmon.

ConfigurationData

Automate VM inventory

X

 

ConfigurationChange

Automate VM tracking

X

 

F5 BIG-IP

Connect F5 BIG-IP

X

 

McasShadowItReporting

 

X

 

Barracuda_CL

Connect Barracuda

V

 

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s