Connecter des sources de données à Microsoft Sentinel en tirant parti de connecteurs de données

Pour connecter des sources de données à Microsoft Sentinel, vous devez installer et configurer des connecteurs de données. Cet article explique en termes généraux l’installation de connecteurs de données disponibles dans le Hub de contenu Microsoft Sentinel pour ingérer et analyser des données afin d’améliorer la détection des menaces.

• Connecteurs de données Microsoft Sentinel
• Rechercher votre connecteur de données Microsoft Sentinel
• Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi

Prérequis

Avant de commencer, assurez-vous que vous disposez de l’accès approprié et que vous ou une personne de votre organisation êtes en mesure d’installer la solution correspondante.

• Vous devez disposer d’autorisations d’accès en lecture et en écriture dans l’espace de travail Microsoft Sentinel.
• Installez la solution qui inclut le connecteur de données à partir du hub de contenu de Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Active un connecteur de données

Une fois que vous ou une personne de votre organisation avez installé la solution incluant le connecteur de données dont vous avez besoin, configurez le connecteur de données pour commencer à ingérer des données.

1. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configurations>Connecteurs de données. Pour Microsoft Sentinel dans le portail Azure, sous Configuration, sélectionnez Connecteurs de données.

2. Recherchez et sélectionnez le connecteur. Si vous ne voyez pas le connecteur de données souhaité, vérifiez à nouveau que la solution appropriée est installée dans le Hub de contenu.

3. Sélectionnez Ouvrir la page du connecteur.

   • Portail Defender
   • portail Azure

   

4. Passez en revue la Configuration requise pour votre connecteur de données et vérifiez qu’elle est respectée.

5. Suivez les étapes décrites dans la section Configurations de votre connecteur de données.

   Pour certains connecteurs, vous trouverez des informations de configuration plus spécifiques dans la section Collecter des données de la documentation Microsoft Sentinel.

   • Connecter Microsoft Sentinel aux services Azure, Windows, Microsoft et Amazon
   • Configuration requise pour le connecteur de données

Configurer la rétention et la hiérarchisation des données

Si vous avez intégré le lac de données Microsoft Sentinel, vous pouvez configurer la rétention et la hiérarchisation des données pour le connecteur de données. Le lac de données se compose d’un niveau d’analytique : vos espaces de travail Microsoft Sentinel actuels et un niveau data lake où vous pouvez stocker des données pendant jusqu’à 12 ans. Pour plus d’informations sur l’intégration, consultez Intégration au lac de données Microsoft Sentinel.

Lorsque vous activez un connecteur, par défaut, les données sont envoyées au niveau Analytique et mises en miroir dans le niveau Data Lake. Configurez la rétention des données dans chaque niveau ou envoyez les données uniquement au niveau Data Lake. La rétention et la hiérarchisation sont gérées à partir des pages de configuration du connecteur ou à l’aide de la page de gestion des tables dans le portail Defender. Pour plus d’informations sur la gestion et la rétention des tables, consultez Gérer les niveaux de données et la rétention dans le portail Microsoft Defender.

Une fois que vous avez configuré votre connecteur, configurez la rétention et la hiérarchisation des données en procédant comme suit :

1. Dans la page détails du connecteur , dans la section Gestion des tables, sélectionnez la table à gérer.

   

2. Le tableau est affiché avec les paramètres de rétention actuels.

3. Pour configurer la rétention, sélectionnez Gérer la table.

4. Le panneau Gérer le tableau s’affiche, affichant les paramètres de rétention actuels. Vous pouvez modifier les paramètres de rétention du niveau Analytique et du niveau Data Lake. La valeur par défaut consiste à mettre en miroir les données au niveau du lac de données avec la même rétention que le niveau analytique.

5. Sous Rétention Analytics , sélectionnez la période de rétention pour le niveau Analytique.

6. Pour configurer le niveau Data Lake, sélectionnez une période de rétention dans la liste déroulante Rétention totale .

7. Pour modifier le niveau en data lake uniquement, sélectionnez le niveau Data Lake et sélectionnez une période de rétention dans la liste déroulante Rétention . La sélection de cette option met fin à toute ingestion supplémentaire dans la couche d'analyse.

8. Sélectionnez Enregistrer pour enregistrer les modifications.

Une fois la configuration du connecteur de données terminée, l’intégration des données dans Microsoft Sentinel peut prendre un certain temps. La réception des données dans le lac de données prend 90 à 120 minutes. Une fois la connexion établie, un résumé des données s’affiche dans le graphique Données reçues, ainsi que l’état de connectivité des types de données.

Activer l’analytique du comportement des utilisateurs et des entités (UEBA) à partir de connecteurs pris en charge

L’analytique du comportement des utilisateurs et des entités (UEBA) dans Microsoft Sentinel analyse les journaux et les alertes provenant de sources de données connectées pour créer des profils comportementaux de référence des entités de votre organisation, telles que les utilisateurs, les hôtes, les adresses IP et les applications. À l’aide du Machine Learning, UEBA identifie une activité anormale qui peut indiquer une ressource compromise.

Pour activer UEBA à partir de connecteurs de données pris en charge dans le portail Microsoft Defender :

1. Dans le menu de navigation du portail Microsoft Defender, sélectionnez Microsoft Sentinel > Configuration > Connecteurs de données.

2. Choisissez un connecteur de données compatible avec UEBA et prenant en charge cette fonctionnalité. Pour plus d’informations sur les connecteurs et tables de données pris en charge par UEBA, consultez la référence UEBA de Microsoft Sentinel.

3. Dans le volet connecteur de données, sélectionnez Ouvrir la page connecteur.

4. Dans la page détails du connecteur , sélectionnez Options avancées.

5. Sous Configurer UEBA, activez les tables que vous souhaitez activer pour UEBA.

   

Recherche de données

Une fois le connecteur correctement activé, le connecteur commence à diffuser des données vers les schémas de table liés aux types de données configurés.

Dans le portail Defender, interrogez les données dans la page Repérage avancé ou dans le Portail Azure, interrogez les données dans la page Journaux.
Accédez à Data Lake Explorer , requêtes KQL pour interroger des données dans le lac de données. Pour plus d’informations, consultez KQL et le lac de données Microsoft Sentinel.

Obtenir un support pour un connecteur de données

Microsoft et d’autres organisations créent des connecteurs de données Microsoft Sentinel. Trouvez le contact du support sur la page du connecteur de données dans Microsoft Sentinel.

1. Dans la page Connecteurs de données de Microsoft Sentinel, sélectionnez le connecteur approprié.

2. Pour accéder au support et à la maintenance du connecteur, utilisez le lien de contact de support dans le champ Pris en charge par champ dans le volet latéral du connecteur.

   

Pour plus d’informations, consultez la rubrique Support technique pour les connecteurs de données.

Contenu connexe

Pour plus d’informations sur les solutions et les connecteurs de données de Microsoft Sentinel, consultez les articles suivants.

• Connecteurs de données Microsoft Sentinel
• Rechercher votre connecteur de données Microsoft Sentinel
• Connecter Microsoft Sentinel aux services Azure, Windows, Microsoft et Amazon
• Qu’est-ce que Le lac de données Microsoft Sentinel ?
• Intégration au lac de données Microsoft Sentinel
• Gérer les niveaux de données et la rétention dans le portail Microsoft Defender.
• KQL et le lac de données Microsoft Sentinel
• Blocs-notes Jupyter et lac de données Microsoft Sentinel