Connecter Microsoft Sentinel à d’autres services Microsoft avec un connecteur de données basé sur une API

Cet article explique comment établir des connexions basées sur l’API à Microsoft Sentinel. Microsoft Sentinel utilise la base Azure pour fournir une prise en charge intégrée de service à service pour l’ingestion de données à partir de nombreux services Azure et Microsoft 365, Amazon Web Services et divers services Windows Server. Ces connexions sont établies de différentes manières.

Cet article présente des informations communes au groupe de connecteurs de données basés sur l’API.

Configuration requise

• Vous devez disposer d’autorisations de lecture et d’écriture sur l’espace de travail Log Analytics.

• Vous devez disposer d’un rôle d’administrateur de la sécurité sur le locataire de votre Microsoft Sentinel espace de travail ou les autorisations équivalentes.

• Exigences spécifiques au connecteur de données :

  Connecteur de données	Licences, coûts et autres prérequis
  Protection Microsoft Entra ID	- abonnement Microsoft Entra ID P2 - D’autres frais peuvent s’appliquer
  Dynamics 365	- Microsoft Dynamics 365 licence de production. Non disponible pour les environnements de bac à sable. - Au moins un utilisateur a attribué une licence Microsoft/Office 365 E1 ou supérieure. - Journalisation d’audit activée dans Microsoft Purview. Consultez Activer ou désactiver l’audit. - Journalisation d’audit activée dans votre environnement Microsoft Dataverse. Consultez Microsoft Dataverse et journalisation de l’activité des applications pilotées par modèle. - D’autres frais peuvent s’appliquer.
  Microsoft Defender for Cloud Apps	Pour les journaux Cloud Discovery, activez Microsoft Sentinel comme siem dans Microsoft Defender for Cloud Apps
  Microsoft Defender pour point de terminaison	Licence valide pour le déploiement Microsoft Defender pour point de terminaison
  Microsoft Defender pour Office 365	Licence valide pour Office 365 plan ATP 2
  Microsoft 365	- Votre déploiement Microsoft 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel. - D’autres frais peuvent s’appliquer.
  Microsoft Power BI	- Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel. - D’autres frais peuvent s’appliquer.
  Protection de l'information Microsoft Purview	- Votre déploiement Office 365 doit se trouver sur le même locataire que votre espace de travail Microsoft Sentinel. - D’autres frais peuvent s’appliquer.
  Gestion des risques internes Microsoft Purview (IRM)	- Abonnement valide pour Microsoft 365 E5/A5/G5, ou les modules complémentaires de conformité ou d’IRM qui les accompagnent. - Gestion des risques internes Microsoft Purview entièrement intégrées et les stratégies IRM définies et produisant des alertes. - Microsoft 365 IRM configuré pour permettre l’exportation d’alertes IRM vers l’API d’activité de gestion des Office 365 afin de recevoir les alertes via le connecteur Microsoft Sentinel.

Se connecter aux services Microsoft via des connecteurs basés sur une API

1. Dans le menu de navigation Microsoft Sentinel, sélectionnez Connecteurs de données.

2. Sélectionnez votre service dans la galerie de connecteurs de données, puis sélectionnez Ouvrir la page connecteur dans le volet d’aperçu.

3. Sélectionnez Se connecter pour démarrer la diffusion en continu d’événements et/ou d’alertes de votre service dans Microsoft Sentinel.

4. Si la page du connecteur contient une section intitulée Créer des incidents - recommandé !, sélectionnez Activer si vous souhaitez créer automatiquement des incidents à partir d’alertes.

Vous pouvez rechercher et interroger les données de chaque service à l’aide des noms de table qui apparaissent dans la section du connecteur du service dans la page de référence connecteurs de données .

Contenu connexe

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• catalogue de solutions Microsoft Sentinel
• Intégration du renseignement sur les menaces dans Microsoft Sentinel