Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le connecteur d’objets blob Azure Storage simplifie la collecte des journaux à partir de Azure Storage. Il permet aux éditeurs de logiciels indépendants et aux utilisateurs de créer des connecteurs évolutifs en plus des intégrations de stockage Azure via l’infrastructure CCF (Codeless Connector Framework) entièrement managée.
Cet article récapitule les ressources du connecteur et fournit des étapes pour créer et valider votre premier connecteur Azure Storage.
Configuration requise
Avant de commencer, vérifiez que vous disposez des points suivants :
- Un compte de stockage Azure avec un espace de noms hiérarchique activé (Azure Data Lake Storage Gen2) et un conteneur qui contient les fichiers journaux.
- Un espace de travail Microsoft Sentinel avec un rôle Contributeur Microsoft Sentinel ou supérieur pour créer des connecteurs de données.
- Autorisations de rôle Propriétaire ou Contributeur EventGrid sur le compte de stockage pour créer des rubriques système Event Grid et des abonnements.
Remarque
Assurez-vous que le fournisseur de ressources Microsoft.EventGrid est inscrit dans l’abonnement qui contient le compte de stockage.
Vue d’ensemble des ressources de connecteur
Le connecteur d’objets blob de stockage Azure utilise un modèle de pointeur d’objet blob basé sur une file d’attente pour s’abonner aux événements créés par des objets blob dans votre compte de stockage. Un abonnement à une rubrique système Event Grid écoute l’activité de création d’objets blob et envoie (push) les événements, en fonction de critères de filtrage configurables, vers une file d’attente de stockage Azure. Plusieurs instances de connecteur peuvent ingérer à partir du même conteneur tout en définissant les fichiers par dossier et modèle de fichier. Vous pouvez contrôler le filtrage via le portail ou le modèle ARM du connecteur en définissant des modèles de préfixe d’objet blob et de suffixe.
Connecteur Microsoft Sentinel :
- Interroge la file d’attente Azure Storage à la recherche de messages créés par un objet blob.
- Récupère les fichiers du conteneur d’objets blob de stockage Azure en fonction du chemin d’accès dans le message de file d’attente.
- Supprime le message de file d’attente après un transfert réussi.
Le connecteur s’authentifie auprès du compte de stockage à l’aide d’un principal de service accessible à l’application du connecteur. Pour connaître les ID d’application par cloud et le schéma de modèle complet, consultez la référence de l’API connecteurs d’objets blob de stockage Azure. Utilisez l’automatisation du modèle ARM pour vérifier que le principal de service existe et appliquer les attributions de rôles requises sur le compte de stockage.
Créer un connecteur d’objets blob de stockage Azure
- Passez en revue et adaptez l’exemple de modèle ARM dans la référence de l’API des connecteurs Blob de stockage Azure. Définissez le nom du conteneur, le nom de la file d’attente (s’il n’est pas créé automatiquement), les filtres de préfixe/suffixe d’objet blob et le mappage de la table de destination.
- Déployez le modèle en suivant Créer un connecteur sans code pour Microsoft Sentinel. Vérifiez que l’étendue du déploiement correspond au compte de stockage et à Microsoft Sentinel espace de travail.
- Après le déploiement, vérifiez que le connecteur instance est créé dans Microsoft Sentinel et que le status d’abonnement Event Grid est sain.
Valider le connecteur
- Chargez un exemple de fichier qui correspond à votre filtre de préfixe/suffixe et vérifiez que les messages de file d’attente sont créés et consommés.
- Vérifiez l’ingestion dans la table cible dans Microsoft Sentinel et case activée les erreurs dans le panneau Intégrité du connecteur.
- Si vous utilisez des restrictions réseau, vérifiez que les ressources gérées par le connecteur peuvent atteindre les points de terminaison d’objet blob et de file d’attente.
Résolution des problèmes
Pour connaître les étapes de résolution des problèmes, consultez Résoudre les problèmes liés au connecteur d’objets blob de stockage Azure.