Se connecter Microsoft Sentinel à d’autres services Microsoft à l’aide de connexions basées sur les paramètres de diagnostic

Cet article explique comment se connecter à Microsoft Sentinel à l’aide de connexions de paramètres de diagnostic. Microsoft Sentinel utilise la base Azure pour fournir une prise en charge intégrée de service à service pour l’ingestion de données à partir de nombreux services Azure et Microsoft 365, Amazon Web Services et divers services Windows Server. Ces connexions sont établies de différentes manières.

Cet article présente des informations communes au groupe de connecteurs de données qui utilisent des connexions basées sur des paramètres de diagnostic. Certains de ces types de connecteurs sont gérés à l’aide de Azure Policy. Pour les autres connecteurs de ce type, utilisez les instructions autonomes.

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du gouvernement des États-Unis, consultez les tables Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du gouvernement des États-Unis.

Configuration requise

Pour ingérer des données dans Microsoft Sentinel à l’aide d’un connecteur autonome basé sur des paramètres de diagnostic, vous devez disposer d’autorisations de lecture et d’écriture sur l’espace de travail Log Analytics activées pour Microsoft Sentinel.

Pour ingérer des données dans Microsoft Sentinel à l’aide de connecteurs basés sur des paramètres de diagnostic gérés par Azure Policy, vous devez également disposer des prérequis suivants :

  • Pour utiliser Azure Policy pour appliquer une stratégie de streaming de journaux à vos ressources, vous devez disposer du rôle Propriétaire pour l’étendue d’attribution de stratégie.

  • Les prérequis suivants, selon le connecteur que vous utilisez :

    Connecteur de données Licences, coûts et autres informations
    activité Azure Ce connecteur utilise désormais le pipeline des paramètres de diagnostic. Si vous utilisez la méthode héritée, vous devez déconnecter les abonnements existants de la méthode héritée avant de configurer le nouveau connecteur Azure journal d’activité.

    1. Dans le menu de navigation Microsoft Sentinel, sélectionnez Connecteurs de données. Dans la liste des connecteurs, sélectionnez Azure Activité, puis sélectionnez le bouton Ouvrir la page du connecteur en bas à droite.
    2. Sous l’onglet Instructions , dans la section Configuration , à l’étape 1, passez en revue la liste de vos abonnements existants connectés à la méthode héritée et déconnectez-les tous en même temps en cliquant sur le bouton Déconnecter tout ci-dessous.
    3. Poursuivez la configuration du nouveau connecteur en suivant les instructions de cette section.
    protection DDoS Azure - Configuré Azure plan de protection DDoS Standard.
    - Réseau virtuel configuré avec Azure Standard DDoS activée
    - D’autres frais peuvent s’appliquer
    - L’état de Azure connecteur de données de protection DDoS passe à Connecté uniquement lorsque les ressources protégées sont soumises à une attaque DDoS.
    compte de stockage Azure La ressource de compte de stockage (parent) contient d’autres ressources (enfants) pour chaque type de stockage : fichiers, tables, files d’attente et objets blob.
    Lorsque vous configurez diagnostics pour un compte de stockage, vous devez sélectionner et configurer :

    - Ressource de compte parent, en exportant la métrique Transaction .
    - Chacune des ressources de type de stockage enfant, en exportant tous les journaux et métriques.

    Vous verrez uniquement les types de stockage pour lesquels vous avez réellement défini des ressources.

Se connecter via un connecteur autonome basé sur les paramètres de diagnostic

Cette procédure décrit comment se connecter à Microsoft Sentinel à l’aide de connecteurs de données qui utilisent des connexions autonomes basées sur les paramètres de diagnostic.

  1. Dans le menu de navigation Microsoft Sentinel, sélectionnez Connecteurs de données.

  2. Sélectionnez votre type de ressource dans la galerie de connecteurs de données, puis sélectionnez Ouvrir la page du connecteur dans le volet d’aperçu.

  3. Dans la section Configuration de la page du connecteur, sélectionnez le lien pour ouvrir la page de configuration des ressources.

    Si une liste de ressources du type souhaité s’affiche, sélectionnez le lien d’une ressource dont vous souhaitez ingérer les journaux.

  4. Dans le menu de navigation des ressources, sélectionnez Paramètres de diagnostic.

  5. Sélectionnez + Ajouter un paramètre de diagnostic en bas de la liste.

  6. Dans l’écran Paramètres de diagnostic , entrez un nom dans le champ Nom des paramètres de diagnostic .

    Cochez la case Envoyer à Log Analytics case activée. Deux nouveaux champs sont affichés en dessous. Choisissez l’abonnement et l’espace de travail Log Analytics appropriés (où réside Microsoft Sentinel).

  7. Marquez les zones case activée des types de journaux et de métriques que vous souhaitez collecter. Consultez nos choix recommandés pour chaque type de ressource dans la section relative au connecteur de la ressource dans la page de référence connecteurs de données .

  8. Sélectionnez Enregistrer en haut de l’écran.

Pour plus d’informations, consultez également Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme Azure Monitor à différentes destinations dans la documentation Azure Monitor.

Se connecter via un connecteur basé sur des paramètres de diagnostic géré par Azure Policy

Cette procédure décrit comment se connecter à Microsoft Sentinel à l’aide de connecteurs de données qui utilisent des connexions basées sur des paramètres de diagnostic et gérées par Azure Policy.

Les connecteurs de ce type utilisent Azure Policy pour appliquer une configuration de paramètres de diagnostic unique à une collection de ressources d’un type unique, définie comme une étendue. Vous pouvez voir les types de journaux ingérés à partir d’un type de ressource donné sur le côté gauche de la page du connecteur pour cette ressource, sous Types de données.

  1. Dans le menu de navigation Microsoft Sentinel, sélectionnez Connecteurs de données.

  2. Sélectionnez votre type de ressource dans la galerie de connecteurs de données, puis sélectionnez Ouvrir la page du connecteur dans le volet d’aperçu.

  3. Dans la section Configuration de la page du connecteur, développez tous les expandeurs qui s’y trouvent, puis sélectionnez le bouton Lancer Azure Policy’Assistant Affectation.

    L’Assistant Attribution de stratégie s’ouvre, prêt à créer une stratégie, avec un nom de stratégie préremplies.

    1. Sous l’onglet Informations de base , sélectionnez le bouton avec les trois points sous Étendue pour choisir votre abonnement (et éventuellement un groupe de ressources). Vous pouvez également ajouter une description.

    2. Sous l’onglet Paramètres :

      • Désactivez la zone Afficher uniquement les paramètres qui nécessitent une entrée case activée.
      • Si vous voyez les champs Effet et Nom du paramètre , laissez-les tels quels.
      • Choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics.
      • Les autres champs de liste déroulante représentent les types de journaux de diagnostic disponibles. Laissez marqué comme True tous les types de journaux que vous souhaitez ingérer.

    3. La stratégie sera appliquée aux ressources ajoutées à l’avenir. Pour appliquer également la stratégie à vos ressources existantes, sélectionnez l’onglet Correction et cochez la zone Créer une tâche de correction case activée.

    4. Sous l’onglet Vérifier + créer , cliquez sur Créer. Votre stratégie est désormais affectée à l’étendue que vous avez choisie.

Avec ce type de connecteur de données, les indicateurs de connectivité status (une bande de couleurs dans la galerie de connecteurs de données et les icônes de connexion en regard des noms des types de données) s’affichent comme connectés (en vert) uniquement si les données ont été ingérées à un moment donné au cours des 14 derniers jours. Une fois que 14 jours se sont écoulés sans ingestion de données, le connecteur s’affiche comme étant déconnecté. Dès que d’autres données arrivent, le status connecté revient.

Vous pouvez rechercher et interroger les données pour chaque type de ressource à l’aide du nom de la table qui apparaît dans la section du connecteur de la ressource dans la page de référence des connecteurs de données . Pour plus d’informations, consultez Créer des paramètres de diagnostic pour envoyer des journaux et des métriques de plateforme Azure Monitor à différentes destinations dans la documentation Azure Monitor.

Contenu connexe

Pour plus d’informations, reportez-vous aux rubriques suivantes :

  • Last updated on