Configurer des connecteurs de données fédérés dans Microsoft Sentinel lac de données

Cet article explique comment configurer des connecteurs de données fédérés pour permettre l’interrogation de sources de données externes à partir du lac de données Microsoft Sentinel. Vous pouvez fédérer avec Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 et Microsoft Fabric.

Configuration requise

Avant de configurer la fédération des données, vérifiez que vous répondez aux exigences suivantes :

  • Sentinel l’intégration du lac de données : votre locataire doit être intégré au lac de données Sentinel. Pour plus d’informations, consultez Intégrer à Microsoft Sentinel lac de données.

  • Accessibilité publique : la source externe doit être accessible publiquement. Les points de terminaison privés ne sont actuellement pas pris en charge.

  • Principal de service : un principal de service disposant des autorisations appropriées dans la source de données à laquelle vous souhaitez vous connecter est requis pour Azure sources Databricks et Azure Data Lake Storage Gen2. Pour plus d’informations, consultez Microsoft Entra ID inscriptions d’applications.

  • Azure Key Vault : un Azure Key Vault configuré avec la clé secrète client du principal du service est requis. L’identité de l’application Microsoft Sentinel a besoin d’autorisations affectées au coffre de clés. Pour plus d’informations sur la configuration Azure coffres de clés, consultez Azure Coffres de clés.

  • Microsoft Sentinel autorisations : autorisationsde données (gérer) sur les tables système pour configurer un connecteur de fédération de données. Pour plus d’informations, consultez Rôles et autorisations dans la plateforme Microsoft Sentinel.

Créer un principal de service

Pour Azure fédération Databricks et ADLS Gen 2, vous avez besoin d’un principal de service avec des informations d’identification d’accès stockées dans Azure Key Vault. Vous pouvez utiliser un principal de service existant ou suivre les étapes suivantes pour créer un principal de service.

  1. Créez une inscription d’application Microsoft Entra ID :

    1. Dans le Portail Azure, accédez à Microsoft Entra ID>inscriptions d'applications.
    2. Sélectionnez Nouvelle inscription.
    3. Entrez un nom pour l’application.
    4. Laissez l’URI de redirection vide (non requis pour ce scénario).
    5. Sélectionner Inscription.

  2. Créez une clé secrète client :

    1. Dans l’inscription de votre application, accédez à Certificats & secrets.
    2. Sélectionnez Nouvelle clé secrète client.
    3. Entrez une description et sélectionnez une période d’expiration.
    4. Sélectionnez Ajouter.
    5. Copiez immédiatement la valeur de clé secrète client à utiliser dans la section suivante. Vous ne pouvez pas récupérer cette valeur après avoir quitté la page.

  3. Notez les détails de l’application :

    • ID de l’application (client)
    • ID d’objet
    • ID d’annuaire (locataire)

Pour plus d’informations sur la création de principaux de service, consultez Microsoft Entra ID inscriptions d’applications.

Créer un Azure Key Vault et stocker des informations d’identification

Vous pouvez utiliser un Azure Key Vault existant et suivre les étapes ci-dessous pour configurer l’accès Key Vault, ou créer un Key Vault en procédant comme suit :

  1. Créez un Azure Key Vault :

    1. Dans le Portail Azure, créez un Azure Key Vault.
    2. Utilisez le Azure modèle d’autorisation de contrôle d’accès en fonction du rôle (recommandé).
    3. Activez les paramètres de suppression réversible et de protection contre le vidage pour le coffre de clés.
    4. Notez l’URI Key Vault après la création.

  2. Configurez l’accès Key Vault :

    1. Attribuez le rôle Utilisateur Key Vault Secrets à l’identité managée de la plateforme Microsoft Sentinel. L’identité est précédée de msg-resources-.
    2. Si vous utilisez des stratégies d’accès pour les coffres de clés au lieu de Azure contrôle d’accès en fonction du rôle, fournissez les autorisations Get et List pour les opérations de gestion des secrets.

  3. Stockez la clé secrète client dans Key Vault :

    1. Dans votre Key Vault, accédez àGénérer/importer dessecrets>.
    2. Créez un secret contenant la clé secrète client du principal de service.
    3. Notez le nom du secret. Il est utilisé lors de la configuration du connecteur de fédération de données instance.

Pour plus d’informations sur la configuration Azure coffres de clés, consultez Azure Coffres de clés.

Connecteurs de données fédérés

Les connecteurs fédérés sont gérés sur la page Connecteurs de données dans Microsoft Sentinel sur le portail Defender.

  1. Accédez à Microsoft Sentinel>Configuration>des connecteurs de données.

  2. Sous Fédération des données, sélectionnez Catalogue pour afficher les connecteurs fédérés disponibles.

    La page du catalogue affiche :

    • Types de connecteurs de fédération disponibles
    • Nombre d’instances configurées pour chaque connecteur
    • Informations sur le serveur de publication et le support

    Capture d’écran montrant le catalogue de fédération de données avec les connecteurs disponibles.

  3. Sélectionnez la page Mes connecteurs pour afficher toutes les instances de connecteur configurées. La page répertorie les instances de connecteur de fédération de données de votre locataire, ainsi que leur nom d’affichage, leur version, leur status et leur fournisseur de support.

  4. Sélectionnez chaque instance pour afficher les détails, modifier les configurations ou supprimer le instance.

Capture d’écran montrant la page Mes connecteurs avec des instances de fédération configurées.

Créer un connecteur instance

Le processus de création d’un connecteur instance varie en fonction de la source de données externe à laquelle vous vous connectez. Suivez les instructions pour votre type de source de données spécifique.

Créer un connecteur Microsoft Fabric instance

Avant de configurer le connecteur Fabric instance, vous devez configurer des autorisations dans l’environnement Microsoft Fabric pour permettre aux Microsoft Sentinel d’accéder aux données.

  • Configurer les paramètres d’administration dans Microsoft Fabric afin que le locataire soit activé pour le partage de données externes. Pour plus d’informations, consultez Créer un partage de données externe

  • Configurez les paramètres d’administration dans Microsoft Fabric afin que le paramètre soit activé pour que les principaux de service puissent appeler des API publiques Fabric. Pour plus d’informations, consultez Les principaux de service peuvent appeler des API publiques Fabric.

  • Ajoutez l’identité de la plateforme Sentinel, précédée msg-resources- de en tant que membre de l’espace de travail sur le Lakehouse à partir duquel vous souhaitez fédérer des tables. Pour plus d’informations, consultez Accorder l’accès aux espaces de travail.

  1. Dans la pageCataloguede fédération de données>, sélectionnez la ligne Microsoft Fabric.

  2. Dans le panneau latéral, sélectionnez Connecter un connecteur.

  3. Entrez les informations suivantes :

    Field Description
    Nom de l’instance Nom convivial pour ce connecteur instance. Ce nom instance est ajouté aux tables représentées dans le lac à partir de ce instance.
    ID de l’espace de travail Fabric ID de l’espace de travail Fabric à fédérer. Lorsque vous accédez à l’espace de travail Fabric ou à Lakehouse, l’ID de l’espace de travail se trouve dans l’URL après /groups/
    Lakehouse table ID ID de la table Fabric Lakehouse à fédérer. Lorsque vous accédez à Fabric lakehouse, l’ID lakehouse s’affiche dans l’URL après /lakehouses/.

  4. Sélectionnez Suivant.

    Capture d’écran du formulaire de détails de connexion Microsoft Fabric.

  5. Sélectionnez les tables que vous souhaitez fédérer.

  6. Sélectionnez Suivant.

  7. Passez en revue la configuration de la cible de fédération.

  8. Sélectionnez Se connecter pour créer la connexion instance.

Remarque

Les fichiers de votre source de données cible doivent être au format parquet delta pour être lus à partir du lac de données Sentinel.

Vérifier les tables à partir de votre instance de connecteur

Après avoir créé un connecteur instance case activée que les tables que vous avez fédérées sont disponibles dans Microsoft Sentinel.

  1. Accédez à Microsoft Sentinel > Tables de configuration>.

  2. Filtrez par Type Fédéré pour afficher toutes les tables fédérées.

  3. Recherchez par nom instance connecteur.

  4. Les tables de votre connecteur instance sont répertoriées avec leur nom suivi de _instance name. Par exemple, si votre connecteur de données instance nom a été GlobalHRData et que votre table a été appelée hrlogs, le nom de votre table s’affiche sous la forme hrlogs_GlobalHRData.

  5. Sélectionnez une table dans la liste pour ouvrir le panneau d’informations.

  6. Sélectionnez l’onglet Vue d’ensemble pour afficher le type de table et le fournisseur de fédération.

  7. Sélectionnez l’onglet Source de données pour afficher le connecteur instance fournisseur de données et le produit source pour la table. La sélection du nom du connecteur instance vous permet d’accéder à cette instance dans Mes connecteurs dans Data Connectors.

  8. Sélectionnez l’onglet Schéma pour afficher le schéma de table.

  9. Sous l’onglet Schéma , sélectionnez Actualiser pour actualiser le schéma de table associé à la table fédérée.

Capture d’écran montrant le schéma de table fédérée.

Gérer les instances de connecteur

Pour modifier ou supprimer un connecteur instance :

  1. Accédez à lapage Fédération >de données Mes connecteurs.
  2. Sélectionnez le connecteur instance que vous souhaitez gérer.
  3. Dans le panneau d’informations, utilisez les options disponibles pour :
    • Modifier les paramètres de connexion
    • Ajouter ou supprimer des tables fédérées
    • Supprimer le connecteur instance

Remarque

Les instances de connexion Microsoft Fabric ne prennent pas en charge la modification. Vous pouvez créer une connexion fédérée pour ajouter d’autres tables, ou supprimer la connexion Fabric instance et la recréer avec le même nom de instance et un autre ensemble de tables sélectionnés.

Capture d’écran montrant la page Mes connecteurs.

Résolution des problèmes

Échec de la connexion

  • Vérifiez que l’identité managée de la plateforme Sentinel précédée de msg-resources- dispose des autorisations appropriées sur Azure Key Vault.

  • Si votre source de connexion est Azure Databricks ou Azure Data Lake Storage Gen2, vérifiez que le secret Key Vault contient la clé secrète client correcte pour votre principal de service.

  • La mise en réseau Key Vault doit être définie sur Autoriser l’accès public à partir de tous les réseaux pendant la configuration du connecteur, ce qui est la configuration par défaut de Key Vault. Il peut être modifié après la création ou la modification du connecteur.

  • Vérifiez que la source de données externe est accessible publiquement.

  • Vérifiez que le principal de service dispose des autorisations appropriées sur la source de données cible pour Azure Databricks et ADLS.

  • Si la source de données cible est Fabric, case activée que l’identité msg-resources- préfixée pour Microsoft Sentinel a reçu l’autorisation en tant que membre de l’espace de travail.

  • Vérifiez que vous ne disposez pas de plus de 100 instances de connexion.

Remarque

ADLS et Azure Databricks utilisent une connexion instance par connexion fédérée. Fabric peut utiliser davantage d’instances par connexion fédérée. Pour Fabric, chaque schéma lakehouse de votre connexion fédérée est comptabilisé par rapport à la limite de 100 instance.

Les tables n’apparaissent pas

  • Vérifiez que le principal de service dispose d’un accès en lecture aux tables cibles pour ADLS et Azure Databricks, et que le principal de service se trouve dans le même locataire que ces sources de données.

  • Pour Databricks, veillez à accorder au principal de service l’autorisation prédéfinie de privilège Lecteur de données et schéma d’utilisation externe.

  • Pour ADLS Gen 2, vérifiez que le rôle Lecteur de données Blob du stockage est attribué au principal de service.

Problèmes de performances des requêtes

  • Considérez la taille des données interrogées à partir de sources externes.

  • Optimisez les requêtes pour filtrer les données en amont.

  • Vérifiez la connectivité réseau entre Sentinel et la source externe.

Étapes suivantes

  • Last updated on