Utiliser Azure Functions pour connecter Microsoft Sentinel à votre source de données

Vous pouvez utiliser Azure Functions, conjointement avec différents langages de codage tels que PowerShell ou Python, pour créer un connecteur serverless aux points de terminaison de l’API REST de vos sources de données compatibles. Azure Function Apps vous permettent ensuite de vous connecter Microsoft Sentinel à l’API REST de votre source de données pour extraire des journaux.

Cet article explique comment configurer Microsoft Sentinel pour utiliser Azure Function Apps. Vous devrez peut-être également configurer votre système source, et vous trouverez des liens d’informations spécifiques au fournisseur et au produit dans la page de chaque connecteur de données du portail, ou dans la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.

Remarque

Une fois ingérées dans pour Microsoft Sentinel, les données sont stockées dans l’emplacement géographique de l’espace de travail dans lequel vous exécutez Microsoft Sentinel.

Pour la conservation à long terme, vous pouvez également stocker des données dans des types de journaux tels que les journaux auxiliaires. Pour plus d’informations, consultez Plans de rétention des journaux dans Microsoft Sentinel.
L’utilisation de Azure Functions pour ingérer des données dans Microsoft Sentinel peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page de tarification Azure Functions.

Configuration requise

Vérifiez que vous disposez des autorisations et informations d’identification suivantes avant d’utiliser Azure Functions pour vous connecter Microsoft Sentinel à votre source de données et extraire ses journaux dans Microsoft Sentinel :

Vous devez disposer d’autorisations de lecture et d’écriture sur l’espace de travail Microsoft Sentinel.
Vous devez disposer d’autorisations de lecture sur les clés partagées pour l’espace de travail. En savoir plus sur les clés d’espace de travail.
Vous devez disposer d’autorisations de lecture et d’écriture sur Azure Functions pour créer une application de fonction. En savoir plus sur Azure Functions.
Vous aurez également besoin d’informations d’identification pour accéder à l’API du produit : un nom d’utilisateur et un mot de passe, un jeton, une clé ou une autre combinaison. Vous pouvez également avoir besoin d’autres informations d’API, telles qu’un URI de point de terminaison.

Pour plus d’informations, consultez la documentation du service auquel vous vous connectez et la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.
Installez la solution qui contient votre connecteur basé sur Azure Functions à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi.

Configurer et connecter votre source de données

Remarque

Vous pouvez stocker en toute sécurité des clés ou des jetons d’autorisation d’API et d’espace de travail dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clé. Suivez ces instructions pour utiliser Azure Key Vault avec une application de fonction Azure.
Certains connecteurs de données dépendent d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu. Consultez la section relative à votre service dans la page de référence des connecteurs de données Microsoft Sentinel pour obtenir des liens vers des instructions de création de la fonction et de l’alias Kusto.

configuration du runtime Azure Functions

Remarque

Microsoft Sentinel connecteurs qui utilisent Azure Functions incluent des dépendances Python précompilées. Le runtime d’application de fonction Azure, y compris la version de Python, est préconfiguré dans le modèle ARM de solution et ne doit pas être modifié.

Étape 1 : Obtenir les informations d’identification de l’API de votre système source

Suivez les instructions de votre système source pour obtenir ses informations d’identification d’API/clés d’autorisation/jetons. Copiez-les et collez-les dans un fichier texte pour plus tard.

Vous trouverez des détails sur les informations d’identification exactes dont vous aurez besoin, ainsi que des liens vers les instructions de votre produit pour les rechercher ou les créer, sur la page du connecteur de données du portail et dans la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.

Vous devrez peut-être également configurer la journalisation ou d’autres paramètres sur votre système source. Vous trouverez les instructions pertinentes avec celles du paragraphe précédent.

Étape 2 : Déployer le connecteur et l’application de fonction Azure associée

Choisir une option de déploiement

Cette méthode fournit un déploiement automatisé de votre connecteur Azure fonction à l’aide d’un modèle ARM.

Dans le portail Microsoft Sentinel, sélectionnez Connecteurs de données. Sélectionnez votre connecteur basé sur Azure Functions dans la liste, puis ouvrez la page du connecteur.
Sous Configuration, copiez l’ID et la clé primaire Microsoft Sentinel espace de travail, puis collez-les de côté.
Sélectionnez Déployer sur Azure. (Vous devrez peut-être faire défiler vers le bas pour trouver le bouton.)
L’écran Déploiement personnalisé s’affiche.
- Sélectionnez un abonnement, un groupe de ressources et une région dans lesquels déployer votre application de fonction.
- Entrez vos informations d’identification d’API/clés d’autorisation/jetons que vous avez enregistrés à l’étape 1 ci-dessus.
- Entrez votre Microsoft Sentinel ID d’espace de travail et la clé d’espace de travail (clé primaire) que vous avez copiés et mis de côté.
  
  Remarque
  
  Si vous utilisez Azure Key Vault secrets pour l’une des valeurs ci-dessus, utilisez le @Microsoft.KeyVault(SecretUri={Security Identifier}) schéma à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à Key Vault documentation de référence.
- Renseignez tous les autres champs du formulaire sur l’écran Déploiement personnalisé . Consultez la page de votre connecteur de données dans le portail ou la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.
- Sélectionnez Examiner et créer. Une fois la validation terminée, sélectionnez Créer.

Suivez les instructions pas à pas suivantes pour déployer manuellement des connecteurs basés sur Azure Functions qui utilisent des fonctions PowerShell.

Dans le portail Microsoft Sentinel, sélectionnez Connecteurs de données. Sélectionnez votre connecteur basé sur Azure Functions dans la liste, puis ouvrez la page du connecteur.
Sous Configuration, copiez l’ID et la clé primaire Microsoft Sentinel espace de travail, puis collez-les de côté.
Créer une application de fonction
1. Dans le Portail Azure, recherchez et sélectionnez Application de fonction.
2. Dans la page Application de fonction , sélectionnez Créer. L’Assistant Création d’une application de fonction s’ouvre .
3. Sous l’onglet Informations de base :
  - Sélectionnez un abonnement et un groupe de ressources.
  - Donnez un nom à votre application de fonction.
  - Définissez Pile d’exécution sur PowerShell Core.
  - Sélectionnez le numéro de version approprié.
  - Sélectionnez la région dans laquelle vous souhaitez déployer, puis sélectionnez Suivant : Hébergement.
4. Sous l’onglet Hébergement :
  - Choisissez le compte de stockage que vous souhaitez utiliser ou créez-en un.
  - Sélectionnez Consommation (serverless) comme type de plan.
5. Apportez les autres modifications de configuration dont vous avez besoin, puis sélectionnez Vérifier + créer.
6. Attendez le message « Validation réussie », puis sélectionnez Créer.
7. Une fois le déploiement terminé, sélectionnez Accéder à la ressource.
Importer le code de l’application de fonction
1. Dans l’application de fonction nouvellement créée, sélectionnez Fonctions dans le menu de navigation.
2. Dans la page Fonctions , sélectionnez + Ajouter.
3. Dans le panneau Ajouter une fonction , sélectionnez le déclencheur Minuteur .
4. Entrez un nom unique pour votre fonction et entrez une expression cron pour spécifier la planification. Lʼintervalle par défaut est de 5 minutes.
5. Une fois la fonction créée, sélectionnez Code + Test dans le volet gauche.
6. Téléchargez le code d’application de fonction fourni par le fournisseur de votre système source, puis copiez-collez-le dans l’éditeur derun.ps1Function App, en remplaçant ce qui existe par défaut. Vous trouverez le lien de téléchargement sur la page du connecteur ou dans la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.
7. Sélectionnez Enregistrer.
Configurer l’application de fonction
1. Dans la page de votre application de fonction, sélectionnez Configuration sous Paramètres dans le menu de navigation.
2. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez les paramètres d’application prescrits pour votre produit individuellement, avec leurs valeurs de chaîne respectives respectant la casse. Consultez la page du connecteur de données ou la section de votre produit de la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.
  
  Conseil
  
  Le cas échéant, utilisez le paramètre d’application logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics si vous utilisez un cloud dédié. Par exemple, si vous utilisez le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

Utilisez les instructions pas à pas suivantes pour déployer manuellement des connecteurs basés sur Azure Functions qui utilisent des fonctions Python. Ce type de déploiement nécessite Visual Studio Code.

Dans le portail Microsoft Sentinel, sélectionnez Connecteurs de données. Sélectionnez votre connecteur basé sur Azure Functions dans la liste, puis ouvrez la page du connecteur.
Sous Configuration, copiez l’ID et la clé primaire Microsoft Sentinel espace de travail, puis collez-les de côté.
Déployer une application de fonction

Remarque

Vous devez préparer Visual Studio Code (VS Code) pour le développement Azure Function.
1. Téléchargez le fichier d’application de fonction Azure à l’aide du lien fourni dans la page du connecteur de données et dans la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel. Extrayez l’archive sur votre ordinateur de développement local.
2. Démarrez VS Code. Dans la barre de menus, sélectionnez Fichier > Ouvrir le dossier....
3. Sélectionnez le dossier de niveau supérieur à partir des fichiers extraits de l’archive.
4. Choisissez l’icône Azure dans la barre d’activité VS Code (à gauche). Ensuite, dans la zone Azure : Fonctions, choisissez le bouton Déployer sur l’application de fonction.
  
  Remarque
  
  Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité. Ensuite, dans la zone Azure : Fonctions, choisissez Se connecter à Azure.
  Si vous êtes déjà connecté, passez à l’étape suivante.
5. Fournissez les informations suivantes aux invites :
  - Sélectionner un dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.
  - Sélectionner l’abonnement : choisissez l’abonnement à utiliser.
  - Sélectionnez Créer une application de fonction dans Azure. (Ne choisissez pas l’option Avancé .)
  - Entrez un nom global unique pour l’application de fonction : donnez à votre application de fonction un nom qui serait valide dans un chemin d’URL. Le nom que vous choisissez sera validé pour vous assurer qu’il est unique dans Azure Functions.
  - Sélectionner un runtime : choisissez Python 3.8.
6. Le déploiement commence. Une notification s’affiche après la création de votre application de fonction et l’application du package de déploiement.
7. Revenez à la page de votre application de fonction pour la configuration.
Configurer l’application de fonction
1. Dans la page de votre application de fonction, sélectionnez Configuration sous Paramètres dans le menu de navigation.
2. Sous l’onglet Paramètres de l’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez les paramètres d’application prescrits pour votre produit individuellement, avec leurs valeurs de chaîne respectives respectant la casse. Consultez la page du connecteur de données ou la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel pour connaître les paramètres d’application à ajouter.
  - Le cas échéant, utilisez le paramètre d’application logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics si vous utilisez un cloud dédié. Par exemple, si vous utilisez le cloud public, laissez la valeur vide ; pour Azure environnement cloud GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

Rechercher vos données

Une fois qu’une connexion réussie est établie, les données s’affichent dans journaux sous CustomLogs, dans les tables répertoriées dans la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.

Pour interroger des données, entrez l’un de ces noms de table (ou l’alias de fonction Kusto approprié) dans la fenêtre de requête.

Consultez l’onglet Étapes suivantes dans la page du connecteur pour obtenir des exemples de requêtes utiles.

Valider la connectivité

Jusqu’à 20 minutes peuvent prendre jusqu’à ce que vos journaux commencent à apparaître dans Log Analytics.

Étapes suivantes

Dans ce document, vous avez appris à connecter Microsoft Sentinel à votre source de données à l’aide de connecteurs basés sur Azure Functions. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

Découvrez comment obtenir une visibilité sur vos données et les menaces potentielles.
Commencez à détecter les menaces avec Microsoft Sentinel.
Utilisez des classeurs pour surveiller vos données.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-23

Utiliser Azure Functions pour connecter Microsoft Sentinel à votre source de données

Configuration requise

Configurer et connecter votre source de données

configuration du runtime Azure Functions

Étape 1 : Obtenir les informations d’identification de l’API de votre système source

Étape 2 : Déployer le connecteur et l’application de fonction Azure associée

Choisir une option de déploiement

Rechercher vos données

Valider la connectivité

Étapes suivantes

Commentaires

Ressources supplémentaires