Connecter Microsoft Sentinel à Microsoft Defender XDR
Microsoft Sentinel est généralement disponible dans la plateforme d’opérations de sécurité unifiée microsoft dans le portail Microsoft Defender. Lorsque vous intégrez Microsoft Sentinel au portail Defender, vous unifiez les fonctionnalités avec Microsoft Defender XDR, telles que la gestion des incidents et la chasse avancée. Réduisez le basculement d’outils et créez une investigation plus contextuelle qui accélère la réponse aux incidents et arrête les violations plus rapidement. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Billet de blog : Disponibilité générale de la plateforme d’opérations de sécurité unifiée Microsoft
- Billet de blog : Forum aux questions sur la plateforme unifiée d’opérations de sécurité
- Microsoft Sentinel dans le portail Microsoft Defender
- Intégration de Microsoft Defender XDR à Microsoft Sentinel
Configuration requise
Avant de commencer, consultez la documentation des fonctionnalités pour comprendre les modifications et limitations du produit :
- Microsoft Sentinel dans le portail Microsoft Defender
- Repérage avancé dans le portail Microsoft Defender
- Alertes, incidents et corrélation dans Microsoft Defender XDR
- Automatisation avec la plateforme d’opérations de sécurité unifiée
Le portail Microsoft Defender prend en charge un seul locataire Microsoft Entra et la connexion à un espace de travail à la fois. Dans le contexte de cet article, un espace de travail est un espace de travail Analytique journal avec Microsoft Sentinel activé.
Pour intégrer et utiliser Microsoft Sentinel dans le portail Microsoft Defender, vous devez disposer des ressources et des accès suivants :
Un espace de travail Log Analytique pour lequel Microsoft Sentinel est activé
Connecteur de données pour Microsoft Defender XDR (anciennement nommé Microsoft 365 Defender) activé dans Microsoft Sentinel pour les incidents et les alertes. Pour plus d’informations, consultez Connecter des données de Microsoft Defender XDR à Microsoft Sentinel.
Accès à Microsoft Defender XDR dans le portail Defender
Microsoft Defender XDR intégré au locataire Microsoft Entra
Un compte Azure avec les rôles appropriés pour intégrer, utiliser et créer des demandes de support pour Microsoft Sentinel dans le portail Defender. Le tableau suivant met en évidence certains des rôles clés nécessaires.
Tâche Rôle intégré Azure requis Portée Connecter ou déconnecter un espace de travail avec Microsoft Sentinel activé Propriétaire ou
administrateur de l’accès utilisateur et contributeur Microsoft Sentinel- Abonnement pour les rôles
Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour contributeur Microsoft SentinelAfficher Microsoft Sentinel dans le portail Defender Lecteur Microsoft Sentinel Abonnement, groupe de ressources ou ressource d’espace de travail Interroger des tables de données Sentinel ou afficher des incidents Lecteur Microsoft Sentinel ou un rôle avec les actions suivantes :
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/tasks/readAbonnement, groupe de ressources ou ressource d’espace de travail Prendre des mesures d’enquête sur les incidents Contributeur Microsoft Sentinel ou un rôle avec les actions suivantes :
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read-Microsoft.SecurityInsights/comments/write
- Microsoft.SecurityInsights/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeAbonnement, groupe de ressources ou ressource d’espace de travail Créer une demande de support Propriétaire ou
Contributeur ou
Contributeur de demande de support ou un rôle personnalisé avec Microsoft.Support/*Abonnement Une fois que vous avez connecté Microsoft Sentinel au portail Defender, vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure existantes vous permettent d’utiliser les fonctionnalités de Microsoft Sentinel auxquelles vous avez accès. Continuez à gérer les rôles et les autorisations de vos utilisateurs Microsoft Sentinel à partir du portail Azure. Toutes les modifications azure RBAC sont répercutées dans le portail Defender. Pour plus d’informations sur les autorisations Microsoft Sentinel, consultez Rôles et autorisations dans Microsoft Sentinel | Microsoft Learn et gérer l’accès aux données Microsoft Sentinel par ressource | Microsoft Learn.
Intégrer Microsoft Sentinel
Pour connecter un espace de travail pour lequel Microsoft Sentinel est activé à Defender XDR, procédez comme suit :
Accédez au portail Microsoft Defender et connectez-vous.
Dans Microsoft Defender XDR, sélectionnez Vue d’ensemble.
Sélectionnez Connecter un espace de travail.
Choisissez l’espace de travail que vous souhaitez connecter, puis sélectionnez Suivant.
Lisez et comprenez les modifications apportées au produit associées à la connexion de votre espace de travail. Ces modifications sont notamment les suivantes :
- Les tables de journal, les requêtes et les fonctions dans l’espace de travail Microsoft Sentinel sont également disponibles dans la chasse avancée dans Defender XDR.
- Le rôle Contributeur Microsoft Sentinel est attribué aux applications Protection Microsoft contre les menaces et WindowsDefenderATP au sein de l’abonnement.
- Les règles de création d’incidents de sécurité Microsoft actives sont désactivées pour éviter les incidents en double. Cette modification s’applique uniquement aux règles de création d’incident pour les alertes Microsoft et non aux autres règles de analytique.
- Toutes les alertes liées aux produits Defender XDR sont diffusées directement à partir du connecteur de données Defender XDR principal pour garantir la cohérence. Vérifiez que les incidents et les alertes de ce connecteur sont activés dans l’espace de travail.
Sélectionnez Connexion.
Une fois votre espace de travail connecté, la bannière de la page Vue d’ensemble indique que votre solution SIEM (Security Information and Event Management) unifiée et la détection et réponse étendues (XDR) sont prêtes. La page Vue d’ensemble est mise à jour avec de nouvelles sections qui incluent des métriques de Microsoft Sentinel telles que le nombre de connecteurs de données et les règles d’automatisation.
Explorer les fonctionnalités de Microsoft Sentinel dans le portail Defender
Une fois que vous avez connecté votre espace de travail au portail Defender, Microsoft Sentinel se trouve dans le volet de navigation de gauche. Les pages telles que Vue d’ensemble, Incidents et Repérage avancé contiennent des données unifiées de Microsoft Sentinel et defender XDR. Pour plus d’informations sur les fonctionnalités unifiées et les différences entre les portails, consultez Microsoft Sentinel dans le portail Microsoft Defender.
La plupart des fonctionnalités existantes de Microsoft Sentinel sont intégrées au portail Defender. Pour ces fonctionnalités, notez que l’expérience entre Microsoft Sentinel dans le portail Azure et le portail Defender est similaire. Utilisez les articles suivants pour commencer à utiliser Microsoft Sentinel dans le portail Defender. Lorsque vous utilisez ces articles, gardez à l’esprit que votre point de départ dans ce contexte est le portail Defender au lieu du portail Azure.
- Recherche
- Gestion des menaces
- Visualiser et surveiller vos données à l’aide de classeurs
- Mener une chasse de bout en bout aux menaces avec Hunts
- Utiliser des signets de chasse pour les investigations de données
- Utiliser le livestream de chasse dans Microsoft Sentinel pour détecter les menaces
- Rechercher les menaces de sécurité avec les notebooks Jupyter
- Ajouter des indicateurs en bloc à Microsoft Sentinel Threat Intelligence à partir d’un fichier CSV ou JSON
- Utiliser des indicateurs de menace dans Microsoft Sentinel
- Comprendre la couverture de sécurité par l’infrastructure MITRE ATT&CK
- Gestion de contenu
- Configuration
- Rechercher votre connecteur de données Microsoft Sentinel
- Créer des règles de analytique personnalisées pour détecter les menaces
- Utiliser des règles de détection en quasi-temps réel (NRT) analytique dans Microsoft Sentinel
- Créer des watchlists
- Gérer les watchlists dans Microsoft Sentinel
- Créer des règles d’automatisation
- Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles de contenu
Recherchez les paramètres Microsoft Sentinel dans le portail Defender sousParamètres>système>Microsoft Sentinel.
Désintégrer Microsoft Sentinel
Vous ne pouvez avoir qu’un seul espace de travail connecté au portail Defender à la fois. Si vous souhaitez vous connecter à un autre espace de travail sur lequel Microsoft Sentinel est activé, déconnectez l’espace de travail actuel et connectez-vous à l’autre espace de travail.
Accédez au portail Microsoft Defender et connectez-vous.
Dans le portail Defender, sous Système, sélectionnez Paramètres>Microsoft Sentinel.
Dans la page Espaces de travail , sélectionnez l’espace de travail connecté et Déconnecter l’espace de travail.
Indiquez une raison pour laquelle vous déconnectez l’espace de travail.
Confirmez votre sélection.
Lorsque votre espace de travail est déconnecté, la section Microsoft Sentinel est supprimée du volet de navigation gauche du portail Defender. Les données de Microsoft Sentinel ne sont plus incluses dans la page Vue d’ensemble.
Si vous souhaitez vous connecter à un autre espace de travail, dans la page Espaces de travail , sélectionnez l’espace de travail et Connecter un espace de travail.