Le connecteur SIEM du journal d’Audit CoreView vous permet d’intégrer tous les journaux d’audit CoreView à votre système SIEM choisi. Ces journaux capturent chaque activité et événement au sein de CoreView, ainsi que les actions effectuées par les opérateurs CoreView. Vous travaillerez avec les journaux du rapport de journal d’Audit CoreView. Ce connecteur facilite le stockage des journaux d’audit CoreView dans une instance Event Hub de votre côté, permettant une intégration fluide avec tout système SIEM, y compris Microsoft Azure Sentinel.
Architecture d’intégration
- Les journaux sont automatiquement envoyés vers une instance Event Hub qui vous appartient.
- Les journaux sont ensuite analysés et envoyés à votre système SIEM à l’aide d’une Logic App.
Exigences
- Instance Event Hub : vous devez la configurer en suivant la documentation Microsoft officielle.
- Guide de configuration de Logic Apps : il est recommandé d’utiliser Logic Apps pour connecter l’Event Hub à votre système SIEM. Cependant, cela n’est pas obligatoire, et vous pouvez choisir d’autres méthodes si vous le préférez.
Étapes de configuration EventHub - SIEM (à l’aide de Logic Apps)
La configuration comprend trois étapes principales :
- Déclencheur d’événement
- Analyser JSON
- Envoyer les données
1. Déclencheur d’événement
Configurez un déclencheur pour détecter lorsque des événements sont présents dans l’Event Hub.
2. Analyser JSON
Utilisez le schéma suivant pour analyser les journaux :
{3. Envoyer les données
Configurez l’étape finale pour envoyer les données à votre système SIEM.
Exemples Microsoft Azure Sentinel
