Cette fonctionnalité est uniquement disponible avec la solution Enterprise et l’add-on Data Connector.
Le connecteur CoreView Audit-log SIEM vous permet d’intégrer tous les journaux d’audit CoreView à votre système SIEM de choix. Ces journaux enregistrent chaque activité et événement au sein de CoreView, ainsi que les actions effectuées par les opérateurs CoreView. Vous travaillerez avec les journaux issus du rapport Audit log CoreView. Ce connecteur facilite le stockage des logs d’audit CoreView dans une instance Event Hub de votre côté, permettant une intégration transparente avec n’importe quel système SIEM, y compris Microsoft Azure Sentinel.
Architecture de l’intégration
- Les journaux sont automatiquement envoyés dans une instance Event Hub qui vous appartient.
- Les journaux sont ensuite analysés et transmis à votre système SIEM à l’aide d’une Logic App.
Prérequis
- Instance Event Hub : vous devez la configurer en suivant la documentation officielle Microsoft.
- Guide de configuration Logic Apps : il est recommandé d’utiliser Logic Apps pour connecter l’Event Hub à votre système SIEM. Toutefois, ce n’est pas obligatoire et vous pouvez choisir d’autres méthodes si vous le souhaitez.
Étapes de configuration EventHub - SIEM (avec Logic Apps)
La configuration comporte trois étapes principales :
- Déclencheur d’événement
- Analyser le JSON
- Envoyer les données
1. Déclencheur d’événement
Configurez un déclencheur pour détecter la présence d’événements dans l’Event Hub.
2. Analyser le JSON
Utilisez le schéma suivant pour analyser les journaux :
{3. Envoyer les données
Configurez l’étape finale pour envoyer les données à votre système SIEM.
Exemples Microsoft Azure Sentinel
