Démarrage rapide : Intégration de Microsoft Sentinel

Dans ce démarrage rapide, vous allez activer Microsoft Sentinel, puis configurer des connecteurs de données pour surveiller et protéger votre environnement. Après avoir connecté vos sources de données à l’aide des connecteurs de données, vous opérez votre choix dans une galerie de classeurs créés par des experts, qui mettent en avant des insights sur la base de vos données. Vous pouvez aisément adapter ces classeurs à vos besoins.

Microsoft Sentinel est fourni avec de nombreux connecteurs pour les produits Microsoft, par exemple, le connecteur de service à service Microsoft 365 Defender. Vous pouvez également activer des connecteurs intégrés pour les produits non-Microsoft, par exemple Syslog ou Common Event Format (CEF). En savoir plus sur les connecteurs de données.

Important

Passez en revue les tarifs de Microsoft Sentinel et les informations de facturation de Microsoft Sentinel.

Conditions préalables globales

Disponibilité géographique et résidence des données

  • Microsoft Sentinel peut s’exécuter sur des espaces de travail dans la plupart des régions où Log Analytics est mis à la disposition générale. Les régions où Log Analytics sont disponibles récemment peuvent prendre un certain temps pour intégrer le service Microsoft Sentinel.

  • Pour plus d’informations sur les zones géographiques et les régions et sur l'emplacement de stockage des données client, consultez la rubrique relative à la résidence des données dans Azure.

  • La résidence des données dans une seule région est actuellement fournie uniquement dans la région Asie Sud-Est (Singapour) de la zone géographique Asie-Pacifique et dans la région Brésil Sud (État de Sao Paulo) de la zone géographique Brésil.

    Important

    • En activant certaines règles qui utilisent le moteur Machine Learning (ML), vous autorisez Microsoft à copier les données ingérées pertinentes en dehors de la zone géographique de votre espace de travail Microsoft Sentinel en fonction de ce dont le moteur Machine Learning a besoin pour traiter ces règles.

Activer Microsoft Sentinel

  1. Connectez-vous au portail Azure. Assurez-vous que l’abonnement dans lequel est créé Microsoft Sentinel est bien sélectionné.

  2. Recherchez et sélectionnez Microsoft Sentinel.

    Capture d’écran montrant la recherche d’un service tout en activant Microsoft Sentinel.

  3. Sélectionnez Ajouter.

  4. Sélectionnez l’espace de travail que vous souhaitez utiliser ou créez-en un. Vous pouvez exécuter Microsoft Sentinel sur plusieurs espaces de travail, mais les données sont isolées sur un seul espace de travail. Notez que les espaces de travail par défaut créés par Microsoft Defender pour le cloud ne sont pas affichés dans la liste. Vous ne pouvez pas installer Microsoft Sentinel sur ces espaces de travail.

    Capture d’écran montrant la sélection d’un espace de travail tout en activant Microsoft Sentinel.

    Important

    • Une fois déployé dans un espace de travail, Microsoft Sentinel ne prend pas en charge le déplacement de cet espace de travail vers d’autres groupes de ressources ou abonnements.

      Si vous avez déjà déplacé l’espace de travail, désactivez toutes les règles actives dans Analytics, puis réactivez-les après cinq minutes. Cela doit fonctionner la plupart du temps, mais ce n’est, pour rappel, pas pris en charge et est sous votre entière responsabilité.

  5. Sélectionnez Ajouter Microsoft Sentinel.

Configuration des connecteurs de données

Microsoft Sentinel ingère les données des services et des applications en se connectant à ceux-ci et en se transférant les événements et les journaux.

  • Pour les machines physiques et virtuelles, vous pouvez installer l’agent Log Analytics qui collecte les journaux et les transfère à Microsoft Sentinel.
  • Pour les pare-feu et les proxys, Microsoft Sentinel installe l’agent Log Analytics sur un serveur Syslog Linux, à partir duquel l’agent collecte les fichiers journaux et les transfère à Microsoft Sentinel.
  1. Dans le menu principal, sélectionnez Connecteurs de données. La galerie des connecteurs de données s’ouvre.

  2. Sélectionnez un connecteur de données, puis le bouton Ouvrir la page du connecteur.

  3. La page du connecteur affiche des instructions sur la configuration du connecteur, ainsi que des instructions supplémentaires qui peuvent être nécessaires.

    Par exemple, si vous sélectionnez le connecteur de données Azure Active Directory, qui vous permet d’envoyer en streaming des journaux d’Azure AD vers Microsoft Sentinel, vous pouvez sélectionner le type de journal que vous voulez obtenir : journaux de connexion et/ou journaux d’audit.
    Suivez les instructions d'installation. Pour en savoir plus, lisez le guide de connexion approprié ou découvrez les connecteurs de données Microsoft Sentinel.

  4. L’onglet Étapes suivantes de la page du connecteur affiche les modèles de règle d’analytique, exemples de requêtes et classeurs intégrés appropriés qui accompagnent le connecteur de données. Vous pouvez les utiliser tels quels ou les modifier ; dans les deux cas, vous pouvez obtenir immédiatement des insights intéressants sur vos données.

Une fois que vos connecteurs de données sont configurés, ils commencent à être envoyés en streaming dans Microsoft Sentinel et peuvent être utilisés. Vous pouvez afficher les journaux dans les classeurs intégrés et commencer à créer des requêtes dans Log Analytics pour examiner les données.

Passez en revue les meilleures pratiques de collecte de données.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :