Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Des conseils sur les meilleures pratiques sont fournis dans la documentation technique de Microsoft Sentinel. Cet article présente quelques conseils clés à utiliser lors du déploiement, de la gestion et de l’utilisation de Microsoft Sentinel.
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.
Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez Il est temps de passer à autre chose : mise hors service du portail Azure de Microsoft Sentinel pour une sécurité accrue.
Pour bien démarrer avec Microsoft Sentinel, consultez le guide de déploiement, qui couvre les étapes générales de planification, de déploiement et d’optimisation de votre déploiement Microsoft Sentinel. Dans ce guide, sélectionnez les liens fournis pour trouver des conseils détaillés pour chaque étape de votre déploiement.
Adopter une architecture à plateforme unique
Microsoft Sentinel est intégré à un lac de données moderne qui offre un stockage abordable et à long terme qui permet aux équipes de simplifier la gestion des données, d’optimiser les coûts et d’accélérer l’adoption de l’IA. Le lac de données Microsoft Sentinel permet une architecture à plateforme unique pour les données de sécurité et permet aux analystes d’avoir une expérience de requête unifiée tout en tirant parti de l’écosystème riche de connecteurs de Microsoft Sentinel. Pour plus d’informations, consultez Le lac de données Microsoft Sentinel .
Intégrer Microsoft Sentinel au portail Microsoft Defender et intégrer Microsoft Defender XDR
Envisagez d’intégrer Microsoft Sentinel au portail Microsoft Defender pour unifier les fonctionnalités avec Microsoft Defender XDR, comme la gestion des incidents et la chasse avancée.
Si vous n’intégrez pas Microsoft Sentinel au portail Microsoft Defender, notez que :
- En juillet 2026, tous les clients Microsoft Sentinel utilisant le portail Azure seront redirigés vers le portail Defender.
- Jusqu’à présent, vous pouvez utiliser le connecteur de données Defender XDR pour intégrer les données de service Microsoft Defender à Microsoft Sentinel dans le portail Azure.
L’illustration suivante montre comment la solution XDR de Microsoft s’intègre parfaitement à Microsoft Sentinel.
Pour plus d’informations, consultez les articles suivants :
- Intégration de Microsoft Defender XDR à Microsoft Sentinel
- Connecter Microsoft Sentinel à Microsoft Defender XDR
- Microsoft Sentinel sur le portail Microsoft Defender
Intégrer les services de sécurité Microsoft
Microsoft Sentinel doit ses capacités aux composants qui envoient des données à votre espace de travail et est rendu plus puissant grâce à des intégrations à d’autres services Microsoft. Tous les journaux ingérés dans des produits tels que les applications Microsoft Defender pour le cloud, Microsoft Defender pour point de terminaison et Microsoft Defender pour Identity permettent à ces services de créer des détections et de les transmettre à Microsoft Sentinel. Les journaux peuvent également être ingérés directement dans Microsoft Sentinel pour fournir une image plus complète des événements et des incidents.
Plus que l’ingestion d’alertes et de journaux à partir d’autres sources, Microsoft Sentinel fournit également :
| Capacité | Descriptif |
|---|---|
| Détection de menaces | Fonctionnalités de détection des menaces avec intelligence artificielle, ce qui vous permet de créer et de présenter des visuels interactifs via des classeurs, d’exécuter des playbooks pour agir automatiquement sur les alertes, d’intégrer des modèles Machine Learning pour améliorer vos opérations de sécurité et d’ingérer et extraire des flux d’enrichissement à partir de plateformes de renseignement sur les menaces. |
| Enquête sur les menaces | Les fonctionnalités d’investigation des menaces vous permettent de visualiser et d’explorer des alertes et des entités, de détecter des anomalies dans le comportement de l’utilisateur et de l’entité, et de surveiller les événements en temps réel pendant une investigation. |
| Collecte de données | Collecter des données sur tous les utilisateurs, appareils, applications et infrastructure, localement et dans plusieurs clouds. |
| Réponse aux menaces | Fonctionnalités de réponse aux menaces, telles que les playbooks qui s’intègrent aux services Azure et à vos outils existants. |
| Intégrations des partenaires | S’intègre aux plateformes partenaires à l’aide de connecteurs de données Microsoft Sentinel, fournissant des services essentiels pour les équipes SOC. |
Créer des solutions d’intégration personnalisées (partenaires)
Pour les partenaires qui souhaitent créer des solutions personnalisées qui s’intègrent à Microsoft Sentinel, consultez les meilleures pratiques pour les partenaires qui s’intègrent à Microsoft Sentinel.
Planifier la gestion des incidents et le processus de réponse
L’image suivante montre les étapes recommandées dans un processus de gestion des incidents et de réponse.
Le tableau suivant fournit des tâches générales de gestion et de réponse des incidents et des bonnes pratiques connexes. Pour plus d’informations, consultez l’enquête sur les incidents Microsoft Sentinel dans le portail Azure ou les incidents et alertes dans le portail Microsoft Defender.
| Tâche | Bonne pratique |
|---|---|
| Page Examiner les incidents | Passez en revue un incident sur la page Incidents, qui répertorie le titre, la gravité et les alertes connexes, les journaux et toutes les entités d’intérêt. Vous pouvez également accéder directement aux journaux collectés ainsi qu'à tous les outils associés à l'incident. |
| Utiliser le graphique incident | Passez en revue le graphique incident d’un incident pour voir l’étendue complète d’une attaque. Vous pouvez ensuite construire une chronologie des événements et découvrir l’étendue d’une chaîne de menaces. |
| Examiner les incidents pour les faux positifs | Utilisez des données sur les entités clés, telles que les comptes, les URL, l’adresse IP, les noms d’hôtes, les activités, la chronologie pour comprendre si vous avez un faux positif en main, auquel cas vous pouvez fermer directement l’incident. Si vous découvrez que l’incident est un vrai positif, prenez des mesures directement à partir de la page Incidents pour examiner les journaux, les entités et explorer la chaîne de menaces. Après avoir identifié la menace et créé un plan d’action, utilisez d’autres outils de Microsoft Sentinel et d’autres services de sécurité Microsoft pour poursuivre l’enquête. |
| Visualiser les informations | Examinez le tableau de bord de vue d’ensemble de Microsoft Sentinel pour avoir une idée de la posture de sécurité de votre organisation. Pour plus d’informations, consultez Visualiser les données collectées. Outre les informations et les tendances présentées sur la page de présentation de Microsoft Sentinel, les cahiers d’exercices sont des outils d’investigation précieux. Par exemple, utilisez le classeur Investigation Insights pour étudier des incidents spécifiques ainsi que toutes les entités et alertes associées. Ce classeur vous permet d’explorer plus en détail les entités en présentant les journaux, les actions et les alertes associés. |
| Être à l’affût des menaces | Tout en enquêtant et en recherchant les causes racine, exécutez des requêtes intégrées de chasse aux menaces et vérifiez les résultats pour tout indicateur de compromission. Pour plus d’informations, consultez Repérage de menaces dans Microsoft Sentinel. |
| Utiliser livestream | Pendant une enquête, ou après avoir pris des mesures pour corriger et éradiquer la menace, utilisez livestream. Livestream vous permet de contrôler, en temps réel, si des événements malveillants persistent ou si des événements malveillants se poursuivent. |
| Comportement des entités | Le comportement des entités dans Microsoft Sentinel permet aux utilisateurs d’examiner les actions et les alertes pour des entités spécifiques et d’enquêter sur celles-ci, par exemple en enquêtant sur les comptes et les noms d’hôtes. Pour plus d'informations, consultez les pages suivantes : - Activer l’analyse comportementale des utilisateurs et des entités (UEBA) dans Microsoft Sentinel - Enquêter sur les incidents à l’aide des données UEBA - Informations de référence sur les enrichissements UEBA Microsoft Sentinel |
| Watchlists | Utilisez une liste de surveillance qui combine des données provenant de données ingérées et de sources externes, telles que des données d’enrichissement. Par exemple, créez des listes de plages d’adresses IP utilisées par votre organisation ou d’employés récemment licenciés. Utilisez des listes de surveillance avec des playbooks pour recueillir des données d’enrichissement, comme l’ajout d’adresses IP malveillantes aux listes de surveillance à utiliser pendant la détection, la chasse aux menaces et les enquêtes. Pendant un incident, utilisez les listes de surveillance pour contenir les données d’enquête, puis supprimez-les lorsque votre enquête est terminée afin de vous assurer que les données sensibles ne restent pas visibles. Pour plus d’informations, consultez Listes de surveillance dans Microsoft Sentinel. |
Optimiser la collecte et l’ingestion des données
Passez en revue les meilleures pratiques de collecte de données Microsoft Sentinel, notamment la hiérarchisation des connecteurs de données, le filtrage des journaux et l’optimisation de l’ingestion des données.
Accélérez vos requêtes en Kusto Query Language
Passez en revue les meilleures pratiques du langage de requête Kusto pour accélérer les requêtes.