Article original : https://docs.microsoft.com/en-us/azure/sentinel/connect-data-sources
Vous devez d’abord vous connecter à vos sources de données. Azure Sentinel est livré avec un certain nombre de connecteurs pour les solutions Microsoft, disponibles prêts à l’emploi et offrant une intégration en temps réel, y compris les solutions Microsoft Threat Protection et les sources Microsoft 365, notamment Office 365, Azure AD, Azure ATP et Microsoft Cloud App Security. De plus, il existe des connecteurs intégrés à l’écosystème de sécurité plus large pour les solutions non-Microsoft. Vous pouvez également utiliser le format d’événement commun, Syslog ou REST-API pour connecter vos sources de données avec Azure Sentinel.
Dans le menu, sélectionnez Connecteurs de données. Cette page vous permet de voir la liste complète des connecteurs fournis par Azure Sentinel et leur état. Sélectionnez le connecteur que vous voulez connecter et sélectionnez Ouvrir la page Connecteur.
Sur la page spécifique du connecteur, vérifiez que vous avez rempli toutes les conditions préalables et suivez les instructions pour connecter les données à Azure Sentinel. Cela peut prendre un certain temps avant que les logs commencent à se synchroniser avec Azure Sentinel. Après la connexion, un résumé des données s’affiche dans le graphique Données reçues et l’état de la connectivité des types de données.
Cliquez sur l’onglet Étapes suivantes pour obtenir une liste du contenu prêt à l’emploi qu’Azure Sentinel fournit pour le type de données spécifique.
Méthodes de connexion de données
Les méthodes de connexion de données suivantes sont supportées par Azure Sentinel :
-Services Microsoft :
Les services Microsoft sont connectés nativement, en s’appuyant sur la base Azure pour une intégration prête à l’emploi, les solutions suivantes peuvent être connectées en quelques clics :
◦Office 365
Autre Journaux d’audit et connexions AD
Azure Activité
◦Azure AD Protection de l’identité
Azure Centre de sécurité
Azure Protection de l’information
Azure Protection avancée contre les menaces
Cloud Sécurité des applications
◦Windows événements de sécurité
◦Windows pare-feu
–Solutions externes via API : Certaines sources de données sont connectées à l’aide d’API fournies par la source de données connectée. Généralement, la plupart des technologies de sécurité fournissent un ensemble d’API permettant de récupérer les journaux d’événements, de se connecter à Azure Sentinel, de rassembler des types de données spécifiques et de les envoyer à Azure Log Analytics. Les appareils connectés via API incluent :
◦Barracuda
◦Symantec
-Solutions externes par l’intermédiaire d’un agent : Azure Sentinel peut être connecté à toutes les autres sources de données qui peuvent effectuer le log streaming en temps réel en utilisant le protocole Syslog, via un agent.
La plupart des appliances utilisent le protocole Syslog pour envoyer des messages d’événement qui incluent le journal lui-même et des données sur le journal. Le format des journaux varie, mais la plupart des appareils prennent en charge la norme Common Event Format (CEF).
L’agent Azure Sentinel, qui est basé sur l’agent Log Analytics, convertit les logs au format CEF en un format qui peut être ingéré par Log Analytics. Selon le type d’appliance, l’agent est installé soit directement sur l’appliance, soit sur un serveur Linux dédié. L’agent pour Linux reçoit les événements du démon Syslog via UDP, mais si une machine Linux est censée collecter un volume important d’événements Syslog, ils sont envoyés via TCP du démon Syslog à l’agent et de là à Log Analytics.
◦Firewalls, proxies et terminaux : ◦F5
◦Check Point
◦Cisco ASA
◦Fortinet
◦Palo Alto
Other Appareils CEFµ
Other Appareils Syslog
◦DLP solutions
◦Threat fournisseurs de renseignements
◦DNS machines – agent installé directement sur la machine DNS
Serveurs ◦Linux
◦Other nuages
Options de connexion de l’agent
Pour connecter votre appareil externe à Azure Sentinel, l’agent doit être déployé sur une machine dédiée (VM ou sur site) pour supporter la communication entre l’appareil et Azure Sentinel. Vous pouvez déployer l’agent automatiquement ou manuellement. Le déploiement automatique n’est disponible que si votre machine dédiée est une nouvelle VM que vous créez dans Azure.
Alternativement, vous pouvez déployer l’agent manuellement sur une machine virtuelle Azure existante, sur une machine virtuelle dans un autre nuage, ou sur une machine sur site.
Types de données cartographiques avec les options de connexion Azure Sentinel
|
Data type |
How to connect |
Data connector? |
Comments |
|
AWSCloudTrail |
V |
||
|
AzureActivity |
V |
||
|
AuditLogs |
V |
||
|
SigninLogs |
V |
||
|
AzureFirewall |
V |
||
|
InformationProtectionLogs_CL |
Azure Information Protection reports |
V |
This usually uses the InformationProtectionEvents function in addition to the data type. For more information, see How to modify the reports and create custom queries |
|
AzureNetworkAnalytics_CL |
|||
|
CommonSecurityLog |
V |
||
|
OfficeActivity |
V |
||
|
SecurityEvents |
V |
For the Insecure Protocols workbooks, see Insecure protocols workbook setup |
|
|
Syslog |
V |
||
|
Microsoft Web Application Firewall (WAF) – (AzureDiagnostics) |
V |
||
|
SymantecICDx_CL |
V |
||
|
ThreatIntelligenceIndicator |
V |
||
|
VMConnection |
Azure Monitor service map |
X |
VM insights workbook |
|
DnsEvents |
V |
||
|
W3CIISLog |
X |
||
|
WireData |
X |
||
|
WindowsFirewall |
V |
||
|
AADIP SecurityAlert |
V |
||
|
AATP SecurityAlert |
V |
||
|
ASC SecurityAlert |
V |
||
|
MCAS SecurityAlert |
V |
||
|
SecurityAlert |
|||
|
Sysmon (Event) |
X |
Sysmon collection is not installed by default on virtual machines. For more information on how to install the Sysmon Agent, see Sysmon. |
|
|
ConfigurationData |
X |
||
|
ConfigurationChange |
X |
||
|
F5 BIG-IP |
X |
||
|
McasShadowItReporting |
X |
||
|
Barracuda_CL |
V |
