1) Inscrire l'application d'export de log OGO
1. Dans Azure, tapez "App Registration" dans la barre de recherche. Créez une App Registration pour Ogo.
2. Créez une clé dans Certificates & Secret. Copiez cette clé qui sera votre clientAppSecret dans OGO.
⚠️ Attention, vous ne pourrez pas la revisualiser.
3. Dans "Overview", copiez "Application (client) ID" qui sera votre clientAppId, et "Directory (tenant) ID" qui sera votre tenantId dans OGO.
2) Créer un Data Collection Endpoint
1. Tapez "DCE" dans la barre de recherche (pour "Data Collection Endpoints").
Créez un endpoint pour l'export de log Ogo. Dans "Overview", copiez l'URI en dessous de "Logs Ingestion" qui sera votre dataCollectionEndpoint dans OGO.
3) Créer une Data Collection Rule
1. Tapez "Log analytics workspaces" dans la barre de recherche.
Choissisez le workspace de votre choix. Allez à "Tables" dans le menu de gauche. Ensuite "Create" > "New Custom Log (DCR-Based)".
2. Dans Data collection rule, créez une nouvelle collection "ogo-collection".
3. Uploadez le fichier "ogo-log-export-example-sentinel-v2.json" que vous trouverez dans OGO à Mon organisation > Export de log > Microsoft Sentinel v2.
Finalisez la création de la table.
4. Toujours dans "Log analytics workspaces", allez dans "Access Control IAM".
Cliquez ensuite sur "Add Role Assignment". Sélectionnez la ligne "Monitoring Metrics Publisher" et faites "Next".
5. Via "Select members", cherchez l'application OGO créée en 1) via le champ de recherche.
Finalisez via "Review + assign".
6. Revenez dans "Overview" de votre DCR.
Dans "JSON View", récupérez "properties.immutableId" qui sera votre dcrImmutableId, et "dataFlows.streams" qui sera votre dcrStreamName dans OGO.
4) Exemple de configuration finale
