Grâce à l'intégration de PowerDMARC à Microsoft Sentinel, vous pouvez facilement importer et surveiller vos données d'authentification des e-mails et de sécurité des domaines directement dans votre espace de travail Sentinel. En tirant parti de l'API PowerDMARC, les entreprises peuvent mettre en place une intégration SIEM rationalisée sans configurations complexes : il suffit de se connecter, de lancer le programme et d'obtenir une visibilité centralisée sur la sécurité de leurs e-mails dans tous les domaines.
Le guide se concentre intentionnellement sur la configuration et l'ingestion. Les tableaux de bord/classeurs Sentinel sont hors du champ d'application.
Documentation de l'API:
Documentation Swagger : https://app.powerdmarc.com/swagger-ui/index.html
Documentation alternative : https://api.powerdmarc.com/
Note :
La convention de nommage ne se limite pas à celles mentionnées dans cette documentation.
Présentation de l'architecture
Pour cet exemple, nous utilisons le point de terminaison du journal d'audit à des fins de test et d'illustration.
de l'API PowerDMARC ↓
Application Azure Logic (planifiée)
↓
Espace de travail Azure Log Analytics
↓
Microsoft Sentinel (Analyses, incidents, recherche)
Sentinel ne reçoit pas directement les données. Il lit les données à partir de l'espace de travail Log Analytics.
Conditions préalables
Avant de commencer, assurez-vous d'avoir :
· Abonnement Azure avec autorisation de création :
o Groupes de ressources
o Espaces de travail Log Analytics
o Logic Apps (Consommation) (ceci a été sélectionné comme préférence pour notre environnement de test)
o Microsoft Sentinel
· A jeton d'accès PowerDMARC API avec autorisation d'accès aux journaux d'audit
Configuration des ressources Azure
Créer un groupe de ressources
1. Portail Azure → Créer une ressource → Groupe de ressources
2. Nom : rg-powerdmarc-sentinel
3. Région : choisissez votre région préférée (restez cohérent)
Créer un espace de travail Log Analytics
1. Portail Azure → Créer une ressource → Espace de travail Log Analytics
2. Nom : law-powerdmarc-sentinel
3. Groupe de ressources : rg-powerdmarc-sentinel
4. Région : identique au groupe de ressources
Après la création : - Ouvrez l'espace de travail - Confirmez Bûches La lame s'ouvre correctement.
Activer Microsoft Sentinel
1. Portail Azure → Microsoft Sentinel
2. Cliquez sur + Créer
3. Sélectionner l'espace de travail : law-powerdmarc-sentinel
4. Cliquez sur Ajouter
Aucun connecteur de données n'est nécessaire pour cette intégration.
Créer une application logique
Créer une application logique (consommation)
1. Portail Azure → Créer une ressource → Application logique (consommation)
2. Nom : la-powerdmarc-sentinel
3. Groupe de ressources : rg-powerdmarc-sentinel
4. Région : identique à l'espace de travail
Ajouter un déclencheur – Récurrence (facultatif)
1. Ouvrez Logic App → Concepteur d'applications logiques
2. Choisissez Récurrence déclencheur
Appel API PowerDMARC
5.1 Ajouter une action HTTP
Ajouter une action → HTTP
Méthode : GET
URI : https://app.powerdmarc.com/api/v1/audit-logs
Headers: Authorization: Bearer <POWERDMARC_API_TOKEN>
Accepter : application/json
Paramètres de requête : De & À (Il s'agit de paramètres obligatoires pour l'API Audit log. Veuillez vous reporter à la documentation de l'API PowerDMARC pour connaître le formatage).
Enregistrez l'application Logic après cette étape.
Analyser la réponse JSON
Ajouter une action « Analyser JSON »
Ajouter une action → Analyser JSON
Contenu - Sélectionner Corps dans l'action HTTP (Contenu dynamique)
Schéma Utilisation « Utiliser l'exemple de charge utile pour générer le schéma » et collez : (Vous pouvez le trouver dans les exemples de la documentation de l'API PowerDMARC) :
{
"data": [
{
"user_name": "John Doe",
"action": "Updated attached domains",
"ip_address": "12.111.67.123",
"a_username": null,
"other": null,
"created_at": "2025-06-06 14:29:24"
}
]
}
Enregistrez l'application logique.
Boucle sur les entrées du journal d'audit
L'API PowerDMARC renvoie un tableau d'événements d'audit. Chaque événement doit être envoyé individuellement à Log Analytics.
Ajouter pour chaque action
Ajouter une action → Pour chaque
Sélectionnez la sortie des étapes précédentes (Expression) : @body('Parse_JSON') ? ['data']
Envoyer des données à Log Analytics
Ajouter une action « Envoyer les données »
À l'intérieur du Pour chaque bloc :
Ajouter une action → Envoyer des données (Azure Log Analytics)
Créer une connexion Log Analytics
Lorsque vous y êtes invité :
Nom de la connexion: powerdmarc-loganalytics
ID de l'espace de travail: à partir de l'espace de travail Log Analytics → Aperçu
Clé de l'espace de travail: Clé primaire provenant de :
Espace de travail Log Analytics → Paramètres → Agents → Agent Log Analytics (classique)
Envoyer la configuration des données
Corps de la requête JSON (Expression) : @items('For_each')
Nom du journal personnalisé: PowerDMARCAuditLog
Enregistrez l'application logique.
Valider l'ingestion
Exécuter l'application logique
1. Cliquez Exécuter
2. Ouvrir Historique des exécutions
3. Confirmer toutes les étapes affichées Réussie
o HTTP
o Analyser JSON
o Pour chaque (itérations > 0)
o Envoyer les données
Vérifier les données dans Log Analytics / Sentinel
Accédez à : Microsoft Sentinel → Journaux
Utilisation de l'exécution de requête KQL :
PowerDMARCAuditLog_CL
| trier par TimeGenerated desc
| prendre 20
Résultat attendu
À ce stade : - Les journaux d'audit PowerDMARC sont intégrés dans Azure - Microsoft Sentinel peut : - Interroger les données - Créer des règles d'analyse - Générer des incidents - Prendre en charge la recherche et les enquêtes