Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Le lac de données Microsoft Sentinel est un référentiel à l’échelle du locataire pour la collecte, le stockage et la gestion de grands volumes de données liées à la sécurité provenant de différentes sources. Il permet une analyse complète, unifiée et une visibilité dans votre paysage de sécurité. Microsoft Sentinel graph est une fonctionnalité de graphe unifiée au sein de la plateforme Microsoft Sentinel qui alimente les expériences basées sur des graphiques sur la sécurité, la conformité, l’identité et l’ensemble de l’écosystème. Ces solutions utilisent l’analytique avancée, le Machine Learning, les graphiques et l’IA pour aider à détecter les menaces, à examiner et à répondre aux incidents et à améliorer la posture globale de sécurité.
Le lac de données et le graphique Microsoft Sentinel sont disponibles dans les solutions suivantes :
- Microsoft Defender XDR
- Enquêtes de sécurité des données Microsoft Purview
- Microsoft Purview Insider Risk Management
Prerequisites
Important
Si votre organisation utilise des clés Customer-Managed (CMK) pour le chiffrement des données, sachez que CMK n’est pas entièrement pris en charge pour les données stockées dans le lac de données Microsoft Sentinel. Toutes les données ingérées dans le lac de données, telles que les tables personnalisées ou les données transformées, sont chiffrées à l’aide de clés gérées par Microsoft. L’intégration au lac de données Microsoft Sentinel peut ne pas s’aligner entièrement sur les stratégies de chiffrement de votre organisation ou les normes de protection des données.
Pour intégrer le lac de données et le graphique Microsoft Sentinel dans Microsoft Defender XDR, les enquêtes de sécurité des données et la gestion des risques internes, vous devez respecter les conditions préalables suivantes :
- Microsoft Defender (
security.microsoft.com) et Microsoft Sentinel doivent être configurés. Une licence Microsoft Defender XDR n’est pas nécessaire pour utiliser le lac de données Microsoft Sentinel avec Microsoft Sentinel dans le portail Microsoft Defender. - Un abonnement Azure et un groupe de ressources existants pour configurer la facturation du lac de données. Vous devez être le propriétaire direct de l’abonnement : étant le propriétaire de l’abonnement au niveau du groupe d’administration n’est pas suffisant. Vous pouvez utiliser votre abonnement Microsoft Sentinel SIEM Azure existant ainsi que votre groupe de ressources, ou en créer de nouveaux. Pour en savoir plus sur la facturation, consultez Planifier les coûts et comprendre les tarifs et la facturation de Microsoft Sentinel.
- Un espace de travail principal Microsoft Sentinel connecté au portail Microsoft Defender. Votre lac de données est approvisionné dans la même région que votre région d’espace de travail Sentinel principale.
- Vous devez disposer de privilèges de lecture pour les espaces de travail principaux et d’autres espaces de travail afin qu’ils puissent être attachés au lac de données. Seuls les espaces de travail qui résident dans la même région que votre région d’espace de travail Sentinel principale sont attachés au lac de données.
- Si vos données Microsoft 365 ne se trouvent pas dans la même région que le lac de données, en vous intégrant au lac de données, vous consentez à ingérer vos données Microsoft 365 dans la région où réside votre lac de données.
Note
Avant l’intégration, vérifiez la disponibilité de Microsoft Data Lake et Graph dans votre région en faisant référence à la disponibilité géographique et à la résidence des données dans Microsoft Sentinel.
Autres prérequis pour Microsoft Purview
Accès contributeur à l’espace de travail principal Microsoft Sentinel pour autoriser l’ingestion de vos données d’activité Microsoft 365 à l’espace de travail principal.
Installez et configurez les connecteurs de données suivants pour envoyer des données à un espace de travail Sentinel attaché à Defender :
- Microsoft 365. Vous devez collecter les types d’enregistrements SharePoint pour que le graphique soit généré.
- ID Microsoft Entra. Vous devez collecter des journaux de connexion et des événements de risque utilisateur.
Le graphique des risques liés aux données est généré à partir des données ingérées dans le lac de données Sentinel via des connecteurs pour l’activité Office et les journaux de connexion Entra.
Rôles requis
Pour configurer la facturation et activer l’ingestion des données de ressources dans le lac de données, les rôles suivants doivent être attribués au compte membre du locataire :
- Propriétaire de l’abonnement Azure ou contributeur d’abonnement pour la configuration de la facturation
- Administrateur général Microsoft Entra ou Administrateur de sécurité pour l’autorisation d’ingestion de données de Microsoft Entra, Microsoft 365 et Azure
- Accès en lecture à tous les espaces de travail pour permettre leur attachement au lac de données
Modifications qui se produisent lors de l’intégration au lac de données Sentinel et au graphique
Lorsque vous intégrez data lake et graph, le processus apporte les modifications suivantes :
Il provisionne votre lac de données pour votre abonnement et votre groupe de ressources sélectionnés.
Il provisionne votre lac de données dans la même région que votre espace de travail Sentinel principal.
Il attache tous les espaces de travail connectés à Defender situés dans la même région que votre région d’espace de travail Sentinel principale à votre lac de données Microsoft Sentinel. Les espaces de travail qui ne sont pas connectés à Defender ne sont pas attachés au lac de données.
Une fois le lac de données Microsoft Sentinel activé, les données du niveau analytique Microsoft Sentinel sont également disponibles dans le niveau du lac de données Microsoft Sentinel à partir de ce point sans frais supplémentaires. Vous pouvez utiliser des connecteurs d’espace de travail Microsoft Sentinel existants pour ingérer de nouvelles données aux niveaux d’analyse et de lac de données, ou simplement au niveau du lac de données.
Lorsque vous activez l’ingestion de données pour la première fois ou que vous changez d’ingestion entre les niveaux, il faut 90 à 120 minutes pour que les données apparaissent dans les tables. Une fois l’ingestion activée pour le niveau Data Lake, les données apparaissent simultanément dans le lac de données et dans vos tables de niveau Analytique.
Les données d’actifs pour les services Microsoft suivants sont automatiquement ingérées dans les tables du système de lac de données Sentinel.
- Microsoft Entra
- Microsoft 365
- Azure Resource Graph (Graphique des Ressources Azure)
Les tables système apparaissent dans l’interface utilisateur de sélection de l’espace de travail dans les expériences d’exploration Lake.
Si vos données Microsoft 365 ne se trouvent pas dans la même région que le lac de données, en vous intégrant au lac de données, vous consentez à ingérer vos données Microsoft 365 dans la région où réside votre lac de données.
Il provisionne vos fonctionnalités de graphe et utilise les données de votre lac de données pour améliorer l’investigation des graphiques et les expériences de repérage dans Defender.
Vous voyez les nouvelles fonctionnalités activées pour l’exploration de lac, la gestion des tables, les connecteurs de données, les paramètres, la gestion des coûts et Graph.
Si votre organisation utilise actuellement Microsoft Sentinel Security Information and Event Management (SIEM), la facturation et la tarification des fonctionnalités telles que les travaux de recherche et les requêtes, les journaux auxiliaires et la rétention à long terme (également appelée « archive ») basculent vers les compteurs de facturation basés sur le lac de données Microsoft Sentinel, ce qui augmente potentiellement vos coûts.
Il intègre des tables de journal auxiliaires dans le lac de données Microsoft Sentinel. Les tables de journaux auxiliaires dans les espaces de travail connectés à Microsoft Defender qui sont intégrés au lac de données Microsoft Sentinel deviennent une partie intégrante du lac de données, ce qui les rend disponibles pour une utilisation dans les expériences de lac de données telles que les requêtes KQL et les travaux. Après l’intégration, les tables de journal auxiliaires ne sont plus disponibles dans Microsoft Defender Advanced Hunting. Au lieu de cela, vous pouvez y accéder via des requêtes KQL pour l'exploration de data lake dans le portail Defender.
Note
Les tables de journaux auxiliaires pour les espaces de travail connectés à Microsoft Defender ne sont pas accessibles depuis le repérage avancé Microsoft Defender une fois le lac de données activé.
Il crée une identité managée avec le préfixe
msg-resources-suivi d’un identificateur global unique (GUID). Cette identité managée est requise pour les fonctionnalités de lac de données. L’identité a le rôle de Lecteur Azure sur les abonnements intégrés au lac de données. Ne supprimez pas les autorisations requises de cette identité gérée. Pour activer la création de tables personnalisées dans le niveau Analytique, attribuez le rôle Contributeur Log Analytics à cette identité pour les espaces de travail Log Analytics appropriés. Pour plus d’informations, consultez Créer des travaux KQL dans le lac de données Microsoft Sentinel.
Une fois que vous êtes intégré au lac de données Microsoft Sentinel, vous pouvez utiliser les fonctionnalités suivantes dans le portail Defender :
- Requêtes KQL d’exploration du lac de données
- Opérations du lac de données Microsoft Sentinel
- Gestion des niveaux de données et de la rétention
- Gestion des coûts de Microsoft Sentinel
- Analyse du rayon d’explosion dans les enquêtes sur les incidents
- Graphe de chasse dans la chasse avancée
Vous pouvez également utiliser les fonctionnalités suivantes dans le portail des solutions Microsoft Purview une fois que vous êtes intégré au lac de données :
- Graphiques des risques de données dans les enquêtes de sécurité des données
- Graphes des risques de données dans la gestion des risques internes
Cet article explique comment les clients utilisant Microsoft Defender, Les enquêtes de sécurité des données, la gestion des risques internes et Microsoft Sentinel peuvent être intégrés au lac de données Microsoft Sentinel. Les nouveaux clients Microsoft Sentinel peuvent suivre cette procédure après leur intégration initiale à ces solutions.
Exemption de politique pour l'intégration du lac de données Microsoft Sentinel
Lors de l’intégration du lac de données Microsoft Sentinel, les définitions Azure Policy existantes peuvent bloquer le déploiement des ressources requises. Pour garantir une intégration réussie sans compromettre l’application plus large de la stratégie, configurez une exemption de stratégie étendue au groupe de ressources que vous intégrez.
Plus précisément, exemptez le type de ressource : Microsoft.SentinelPlatformServices/sentinelplatformservices.
Cette exemption ciblée permet aux composants du lac de données Sentinel de se déployer correctement, tout en maintenant la conformité avec les politiques de gouvernance Azure globales que vous avez peut-être déjà appliquées.
Comment les données sont ajoutées et stockées lors de l’intégration
Pendant l’intégration, votre lac de données est approvisionné dans la même région que votre espace de travail Sentinel principal. Nous pouvons également activer automatiquement les données des ressources Microsoft Entra, Microsoft 365 et Azure Resource Graph. Si ces données ne se trouvent pas dans la même région que le lac de données, en intégrant le lac de données, vous consentez à ingérer et à stocker ces données dans la région où réside votre lac de données afin de pouvoir l’utiliser avec des expériences de lac de données et de graphiques Microsoft Sentinel. Vos données de ressources sont disponibles via des tables système, que vous pouvez sélectionner dans l’interface utilisateur de sélection de l’espace de travail dans les expériences d’exploration Lake. Pour plus d’informations, consultez La disponibilité géographique et la résidence des données dans Microsoft Sentinel.
Espaces de travail Microsoft Sentinel existants
Vous devez connecter votre espace de travail principal Microsoft Sentinel au portail Defender pour l’intégrer au lac de données. Votre lac de données se trouve dans la même région que votre espace de travail Sentinel principal. Vous pouvez connecter d’autres espaces de travail dans la même région que votre espace de travail principal au portail Defender afin de pouvoir les utiliser avec le lac de données. Si vous avez intégré le lac de données, les données présentes dans les espaces de travail Microsoft Sentinel, qui sont connectés à Defender, sont activées pour une utilisation au sein du lac de données. Pour plus d’informations sur la connexion de Microsoft Sentinel au portail Defender, consultez Connecter Microsoft Sentinel au portail Microsoft Defender.
Retirer du graphe et du lac de données Microsoft Sentinel
Pour désactiver le lac de données et le graphique Microsoft Sentinel, envoyez une demande de support.
Prêt à commencer ?
Pour obtenir des instructions pas à pas pour intégrer et configurer Microsoft Sentinel Data Lake et graph dans les solutions Microsoft, consultez les articles suivants :
- Configurer le lac de données et le graphique Microsoft Sentinel dans Microsoft Defender
- Configurer le lac de données et le graphique Microsoft Sentinel dans les enquêtes de sécurité des données Microsoft Purview
- Configurer le lac de données et le graphique Microsoft Sentinel dans Microsoft Purview Insider Risk Management