Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La fédération des données dans Microsoft Sentinel permet d’interroger en toute transparence plusieurs sources de données externes à partir de l’environnement de lac de données Microsoft Sentinel. En fédérant des sources de données telles que Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 et Microsoft Fabric, les organisations peuvent améliorer leurs analyses de sécurité et leurs insights opérationnels sans déplacer ou dupliquer des données.
Qu’est-ce que la fédération des données ?
La fédération des données vous permet d’interroger des sources de données externes directement à partir du lac de données Microsoft Sentinel à l’aide de notebooks Langage de requête Kusto (KQL) ou Jupyter à l’aide de l’extension Microsoft Sentinel Visual Studio Code. Au lieu d’ingérer les données dans Sentinel, la fédération crée des connexions à des magasins de données externes, ce qui permet :
- Analytique unifiée : interrogez des sources fédérées avec des tables de lac de données Microsoft Sentinel natives.
- Conserver les contrôles de gouvernance et de conformité : maintenez la sécurité et la conformité des données en interrogeant les données sur place sans les déplacer.
- Insights améliorés : combinez des données de sécurité avec des données métier, des journaux ou d’autres jeux de données stockés dans des systèmes externes.
- Accès flexible aux données : accédez à des jeux de données historiques ou spécialisés qui complètent vos opérations de sécurité.
Importante
La fédération des données est unidirectionnelle du lac de données Sentinel à la cible fédérée. Vous pouvez interroger une source fédérée à partir du lac de données, mais vous ne pouvez pas accéder au lac de données à partir d’une source fédérée.
Sources de fédération disponibles
Les sources de fédération suivantes sont disponibles :
| Source | Description |
|---|---|
| Azure Databricks | Connectez-vous aux tables Databricks Unity Catalog et interrogez les données à partir de Sentinel. |
| Azure Data Lake Storage Gen 2 | Interroger les données stockées dans les comptes de stockage ADLS Gen 2 directement à partir du lac de données Sentinel. |
| Microsoft Fabric | Connectez-vous aux tables Microsoft Fabric Lakehouse pour l’analytique intégrée. |
Concepts clés
Connexions fédérées
Une connexion fédérée est un lien configuré entre le lac de données Sentinel et une source de données externe. Chaque connexion spécifie :
- Source de données cible (Databricks, ADLS Gen 2 ou Fabric).
- Informations d’identification d’authentification stockées en toute sécurité dans Azure Key Vault pour ADLS et Azure Databricks.
- Tables spécifiques à fédérer.
Tables fédérées
Les tables fédérées sont des tables qui proviennent d’une connexion fédérée. Les tables fédérées apparaissent dans la page gestion des tables du lac de données Sentinel et peuvent être interrogées comme des tables natives. Les noms de tables fédérées suivent le modèle <tableName>_<connectorInstanceName>. Par exemple, si votre connecteur instance est nommé ADLS01 et que vous fédérer avec une table nommée widgets, le nom de la table fédérée est widgets_ADLS01.
Instances de connecteur
Chaque connexion configurée à une source de données externe est appelée connecteur instance. Vous pouvez créer plusieurs instances pour le même type de source de fédération, chacune se connectant à des ressources externes différentes.
Configuration requise
Avant de configurer la fédération des données, vérifiez que vous répondez aux exigences suivantes :
- Sentinel l’intégration du lac de données : votre locataire doit être intégré au lac de données Sentinel. Pour plus d’informations, consultez Intégrer à Microsoft Sentinel lac de données.
- Accessibilité publique : la source externe doit être accessible publiquement. Les points de terminaison privés ne sont pas pris en charge actuellement.
- Principal de service : un principal de service disposant des autorisations appropriées dans la source de données à laquelle vous souhaitez vous connecter est requis pour Azure sources Databricks et Azure Data Lake Storage Gen2.
- Azure Key Vault : Azure Key Vault pour stocker les secrets d’authentification pour le principal de service. Vous devez configurer des autorisations pour Microsoft Sentinel identité managée afin de lire les secrets à partir du coffre de clés.
Fonctionnement de la fédération
- Configurer l’authentification : créez un principal de service et stockez ses informations d’identification dans Azure Key Vault.
- Créer une connexion fédérée : utilisez la page Connecteurs de données dans Microsoft Sentinel pour créer un connecteur instance pour la source de fédération de données choisie.
- Sélectionner des tables : choisissez les tables de la source externe à fédérer.
- Interroger des données fédérées : utilisez des expériences de lac de données telles que des requêtes KQL, des notebooks ou des outils MCP pour accéder à des tables fédérées avec des données Sentinel natives.
Scénarios courants pour la fédération des données
La fédération des données vous permet d’accéder aux données qui résident en dehors du lac de données. Cela est particulièrement utile dans les scénarios suivants :
Sources de données qui sont opérationnelles sur plusieurs équipes et systèmes.
Des années de données historiques que vous souhaitez faire vieillir naturellement et qui ne sont pas rentables à ingérer.
Réglementations régionales ou de conformité qui limitent la copie des données.
Les données qui ne sont pas fréquemment consultées et qui sont uniquement pertinentes du fait du contexte dans des scénarios limités.
Avantages de la fédération des données
Analytique de sécurité unifiée
Combinez les données d’événement de sécurité dans Sentinel avec le contexte provenant de sources externes, telles que :
- Sorties d’analyse de Databricks
- Journaux d’activité historiques stockés dans ADLS Gen 2
- Données d’application métier de Microsoft Fabric
Flexibilité opérationnelle
- Accéder aux données au-delà des limites de l’organisation
- Intégrer des données de différentes équipes ou unités commerciales
- Prendre en charge les investigations complexes qui s’étendent sur plusieurs sources de données
Limitations
- Les sources de données doivent être accessibles publiquement. Les points de terminaison privés ne sont pas pris en charge.
- Azure Key Vault mise en réseau doit être définie pour Autoriser l’accès public à partir de tous les réseaux, qui est la valeur par défaut pour Key Vault, lors de la configuration des instances de connexion ADLS ou Azure Databricks. Une fois que vous avez terminé la création ou la modification d’une connexion, le Key Vault associé peut avoir un autre paramètre de mise en réseau configuré.
- Les connexions fédérées à Microsoft Fabric prennent en charge les lakehouses avec schéma, où les espaces de travail ne sont pas activés pour la protection de l’accès sortant.
- La fédération des données est en lecture seule ; vous ne pouvez pas réécrire des données dans des sources fédérées.
- Les performances des requêtes dépendent de la réactivité et du volume de données de la source externe.
- Les connexions fédérées à une source Fabric peuvent avoir un maximum de 100 tables dans le instance de connexion.
- Vous pouvez avoir un maximum de 100 instances de connecteur. Azure Databricks et ADLS utilisent un connecteur instance par connexion fédérée. Microsoft Fabric utilise un connecteur instance par schéma lakehouse dans une connexion fédérée.