Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Dans ce guide de démarrage rapide, vous allez activer Microsoft Sentinel et installer une solution à partir du hub de contenu. Ensuite, vous allez configurer un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel.
Microsoft Sentinel est fourni avec de nombreux connecteurs de données pour les produits Microsoft, comme le connecteur service à service Microsoft Defender XDR. Vous pouvez également activer des connecteurs intégrés pour les produits non-Microsoft, tels que Syslog ou Common Event Format (CEF). Pour ce démarrage rapide, vous allez utiliser le connecteur de données Azure Activity qui est disponible dans la solution Azure Activity pour Microsoft Sentinel.
Pour intégrer Microsoft Sentinel en utilisant l'API, consultez la version la plus récente prise en charge de Sentinel Onboarding States.
Prérequis
Abonnement Azure actif. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
Autorisations :
Pour activer Microsoft Sentinel, vous avez besoin d’autorisations de contributeur sur l’abonnement dans lequel réside l’espace de travail Microsoft Sentinel.
Pour utiliser Microsoft Sentinel, vous avez besoin des autorisations Contributeur Microsoft Sentinel ou Lecteur Microsoft Sentinel sur le groupe de ressources auquel appartient l’espace de travail.
Pour installer ou gérer des solutions dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel sur le groupe de ressources auquel l’espace de travail appartient.
Si vous êtes un nouveau client Microsoft Sentinel et que vous disposez des autorisations d’un propriétaire d’abonnement ou d’un administrateur d’accès utilisateur, votre espace de travail est automatiquement intégré au portail Defender. Les utilisateurs de ces espaces de travail utilisent Microsoft Sentinel uniquement dans le portail Defender .
Microsoft Sentinel est un service payant. Passez en revue les options de tarification et la page de tarification de Microsoft Sentinel.
Avant de déployer Microsoft Sentinel dans un environnement de production, passez en revue les activités de pré-déploiement et les prérequis pour le déploiement de Microsoft Sentinel.
Créer un espace de travail Log Analytics
Microsoft Sentinel doit être ajouté à un espace de travail. Si vous disposez déjà d’un espace de travail Log Analytics, passez à l’ajout de Microsoft Sentinel à votre espace de travail Log Analytics. Si vous n’avez pas encore d’espace de travail Log Analytics, vous pouvez en créer un à l’aide des instructions ci-dessous ou, pour obtenir une explication plus détaillée, accédez à Créer un espace de travail Log Analytics. Pour découvrir plus d’informations sur les espaces de travail Log Analytics, consultez Conception de votre déploiement de journaux Azure Monitor.
Vous pouvez avoir une valeur par défaut de 30 jours de rétention dans l’espace de travail Log Analytics utilisé pour Microsoft Sentinel. Pour vous assurer que vous pouvez utiliser toutes les fonctions et fonctionnalités de Microsoft Sentinel, augmentez la rétention à 90 jours. Configurer des stratégies d’archivage et de conservation des données dans les journaux Azure Monitor.
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Sentinel.
Sélectionnez Créer.
Sélectionnez Créer un espace de travail.
Sous Abonnement>Groupe de ressources, sélectionnez Créer un nouveau. Entrez un nom pour votre groupe de ressources, puis sélectionnez OK.
Donnez un nom à l’espace de travail et sélectionnez une région, puis sélectionnez Vérifier + Créer. (Consultez les régions dans lesquelles Log Analytics est disponible.)
Une fois la validation passée, sélectionnez Créer. Attendez que votre déploiement soit terminé.
Ajouter Microsoft Sentinel à votre espace de travail Log Analytics
Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel.
Sélectionnez Créer.
Sélectionnez l’espace de travail que vous souhaitez utiliser, puis sélectionnez Ajouter. Vous pouvez exécuter Microsoft Sentinel sur plusieurs espaces de travail, mais les données sont isolées sur un seul espace de travail.
- Les espaces de travail par défaut créés par Microsoft Defender pour le cloud ne sont pas affichés dans la liste. Vous ne pouvez pas installer Microsoft Sentinel sur ces espaces de travail.
- Une fois déployé sur un espace de travail, Microsoft Sentinel ne prend pas en charge le déplacement de cet espace de travail vers un autre groupe de ressources ou abonnement.
Remarque
Si votre espace de travail n’est pas automatiquement intégré au portail Defender, nous vous recommandons d’intégrer une expérience unifiée de gestion des opérations de sécurité (SecOps) sur Microsoft Sentinel et d’autres services de sécurité Microsoft. Pour plus d’informations, consultez Intégrer Microsoft Sentinel au portail Defender.
Si votre espace de travail est automatiquement intégré ou si vous décidez d’intégrer votre espace de travail maintenant, vous pouvez continuer les procédures décrites dans cet article à partir du portail Defender. S’il s’agit de votre première utilisation du portail Defender, il y aura un délai de quelques minutes pendant la fin du processus.
Accéder à Microsoft Sentinel dans le portail Defender
Pour accéder à Microsoft Sentinel dans le portail Defender :
Connectez-vous au portail Defender.
La première fois que vous accédez au portail Defender, il faudra un certain temps pour approvisionner votre locataire.
Une fois provisionné, Microsoft Sentinel apparaît disponible dans le volet de navigation, avec les nœuds Microsoft Sentinel imbriqués. Par exemple:
Faites défiler vers le bas dans le volet de navigation, puis sélectionnez Paramètres > des espaces de travail Microsoft Sentinel > pour afficher les espaces de travail intégrés au portail Defender et disponibles pour vous.
Le portail Defender prend en charge plusieurs espaces de travail, avec un espace de travail agissant comme espace de travail principal par locataire. Pour plus d’informations, consultez Plusieurs espaces de travail Microsoft Sentinel dans le portail Defender et la gestion multilocataire de Microsoft Defender.
Installez une solution à partir du hub de contenu
Le hub de contenu dans Microsoft Sentinel est l’emplacement centralisé pour découvrir et gérer le contenu prêt à l’emploi, y compris les connecteurs de données. Pour ce guide de démarrage rapide, installez la solution pour Azure Activity.
Dans Microsoft Sentinel, accédez à la page hub de contenu , recherchez et sélectionnez la solution d’activité Azure .
Dans le volet des détails de la solution sur le côté, sélectionnez Installer.
Configurez le connecteur de données
Microsoft Sentinel ingère les données des services et des applications en se connectant à ceux-ci et en se transférant les événements et les journaux. Pour ce guide de démarrage rapide, installez le connecteur de données pour transférer les données d’Azure Activity à Microsoft Sentinel.
Dans Microsoft Sentinel, sélectionnez Configuration>connecteurs de données et recherchez et sélectionnez le connecteur de données Azure Activity.
Dans le volet d’informations du connecteur, sélectionnez Ouvrir la page connecteur. Utilisez les instructions de la page du connecteur Activité Azure pour configurer le connecteur de données.
Sélectionnez Lancer l’Assistant d'Attribution Azure Policy.
Sous l’onglet Informations de base, définissez Étendue sur l’abonnement et le groupe de ressources dont l’activité doit être envoyée à Microsoft Sentinel. Par exemple, sélectionnez l’abonnement qui contient votre instance Microsoft Sentinel.
Sélectionnez l’onglet Paramètres , puis définissez l’espace de travail Log Analytics principal. Il doit s’agir de l’espace de travail dans lequel Microsoft Sentinel est installé.
Sélectionnez Vérifier + créer, puis Créer.
Générez des données d’activité
Nous allons générer des données d’activité en activant une règle qui a été incluse dans la solution Azure Activity pour Microsoft Sentinel. Cette étape vous montre également comment gérer le contenu dans le hub de contenu.
Dans Microsoft Sentinel, sélectionnez Hub de contenu et recherchez et sélectionnez le modèle de règle de déploiement de ressources suspectes dans la solution d’activité Azure .
Dans le volet d’informations, sélectionnez Créer une règle pour créer une règle à l’aide de l’Assistant Règle Analytics.
Dans la page Assistant de règle Analytics – Créer une nouvelle règle planifiée, remplacez l’état par Activé.
Sous cet onglet et tous les autres onglets de l’assistant, conservez les valeurs par défaut telles quelles sont.
Dans l’onglet Vérifier et créer, sélectionnez Créer.
Affichez les données ingérées dans Microsoft Sentinel
Maintenant que vous avez activé le connecteur de données Azure Activity et généré des données d’activité, nous allons afficher les données d’activité ajoutées à l’espace de travail.
Dans Microsoft Sentinel, sélectionnez Configuration>connecteurs de données et recherchez et sélectionnez le connecteur de données Azure Activity.
Dans le volet d’informations du connecteur, sélectionnez Ouvrir la page connecteur.
Passez en revue l’État du connecteur de données. Il doit être Connecté.
Sélectionnez un onglet pour continuer, selon le portail que vous utilisez :
Sélectionnez Accéder à Log Analytics pour ouvrir la page de repérage avancé .
En haut du volet, en regard de l’onglet Nouvelle requête , sélectionnez l’onglet + Pour ajouter un nouvel onglet de requête.
Exécutez la requête suivante pour afficher la date et l'heure de l'activité intégrée dans l’espace de travail :
AzureActivity
Par exemple:
Étapes suivantes
Dans ce guide de démarrage rapide, vous avez activé Microsoft Sentinel et installé une solution à partir du hub de contenu. Ensuite, vous configurez un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel. Vous avez également vérifié que les données sont ingérées en affichant les données dans l’espace de travail.
Si vous êtes un nouveau client qui a été automatiquement intégré au portail Defender, vos utilisateurs accèdent à Microsoft Sentinel uniquement dans le portail Defender. Lorsque vous utilisez la documentation Microsoft Sentinel, veillez à sélectionner la version du portail Defender de la documentation.
- Pour visualiser les données que vous avez collectées à l’aide des tableaux de bord et des classeurs, consultez Visualiser les données collectées.
- Pour détecter les menaces à l’aide de règles d’analytique, consultez Tutoriel : Détecter les menaces à l’aide de règles d’analytique dans Microsoft Sentinel.