Visualisez et surveillez vos données à l’aide de classeurs dans Microsoft Sentinel.

S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Une fois vos sources de données connectées à Microsoft Sentinel, vous pouvez visualiser et analyser les données à l’aide de classeurs dans Microsoft Sentinel. Les classeurs Microsoft Sentinel sont basés sur des classeurs Azure Monitor et ajoutent des tableaux et des graphiques avec des analyses pour vos journaux et requêtes aux outils déjà disponibles dans Azure.

Microsoft Sentinel vous permet de créer des classeurs personnalisés dans vos données ou d’utiliser des modèles de classeur existants accompagnant des solutions empaquetées ou proposés sous forme de contenu autonome dans le hub de contenu. Chaque classeur est une ressource Azure comme n’importe quelle autre, et vous pouvez lui affecter le contrôle d’accès en fonction du rôle (RBAC) Azure pour en définir et en limiter l’accès.

Cet article décrit comment visualiser vos données dans Microsoft Sentinel à l’aide de classeurs. La modification de workbooks directement dans le portail Defender est en version préliminaire.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.

Après le 31 mars 2027, Microsoft Sentinel ne sera plus pris en charge dans le portail Azure et sera disponible uniquement dans le portail Microsoft Defender. Tous les clients utilisant Microsoft Sentinel dans le portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.

Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez Il est temps de passer à autre chose : mise hors service du portail Azure de Microsoft Sentinel pour une sécurité accrue.

Prérequis

Vous devez avoir au moins les droits de lecteur de Workbook ou de contributeur de Workbook sur le groupe de ressources de l'espace de travail Microsoft Sentinel.

Les classeurs que vous pouvez voir dans Microsoft Sentinel sont enregistrés dans le groupe de ressources de l'espace de travail Microsoft Sentinel et sont étiquetés par l'espace de travail dans lequel ils ont été créés.
Pour utiliser un modèle de classeur, installez la solution qui contient le classeur ou installez le classeur en tant qu’élément autonome depuis le hub de contenu. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Si vous travaillez dans le portail Defender avec une source de données Azure Data Explorer, assurez-vous de configurer et de vous authentifier auprès d’Azure Data Explorer depuis le portail Defender.

Créer un classeur avec un modèle

Pour créer un classeur, utilisez un modèle installé à partir du hub de contenu.

Dans Microsoft Sentinel, sélectionnez Gestion des menaces > Workbooks.
Sur la page Workbooks , sélectionnez l’onglet Modèles pour afficher la liste des modèles de workbooks installés. Sélectionnez un modèle pour en voir les détails.

Certains workbooks requièrent des connexions de données spécifiques pour fonctionner. Avant d’enregistrer un workbook, vérifiez le champ Types de données requis afin de vous assurer que ce type de données est bien ingéré.

Exemple :
- Portail Defender
- portail Azure
Dans le volet Détails, cliquez sur Enregistrer, puis sélectionnez l’emplacement où vous souhaitez enregistrer le workbook. Cette action crée une ressource Azure dans l’emplacement sélectionné, sur la base du modèle approprié. Seul le fichier JSON du workbook est enregistré à cet emplacement, et aucune donnée n’y est stockée.
Dans le volet Détails, sélectionnez Afficher le workbook enregistré afin de l’ouvrir et y apporter des modifications.
Une fois le workbook ouvert, cliquez sur Modifier pour personnaliser le workbook selon vos besoins.
- Portail Defender
- portail Azure
Lorsque vous travaillez dans le portail Defender, certaines visualisations peuvent uniquement être consultées dans le portail Azure. Dans ce cas, cliquez sur Ouvrir dans Azure pour ouvrir le workbook dans le portail Azure.
Par exemple, sélectionnez le filtre TimeRange pour afficher les données d’un intervalle de temps différent de la sélection actuelle. Pour modifier une zone de classeur spécifique, sélectionnez Modifier ou sélectionnez les points de suspension (...) pour ajouter des éléments, ou déplacer, cloner ou supprimer la zone.

Pour cloner votre classeur, sélectionnez Enregistrer sous. Enregistrez le clone sous un autre nom dans le même abonnement et le même groupe de ressources. Les workbooks clonés s’affichent également sous l’onglet Mes workbooks sur la page Microsoft Sentinel > Gestion des menaces > Workbooks.
Lorsque vous avez terminé, sélectionnez Modification terminée pour enregistrer vos modifications.

Pour plus d'informations, consultez les pages suivantes :

Créer un classeur

Créez un classeur à partir de zéro dans Microsoft Sentinel.

Dans Microsoft Sentinel, sélectionnez Gestion des menaces > Workbooks, puis choisissez Ajouter un workbook.
Pour modifier le classeur, sélectionnez Modifier, puis ajoutez du texte, des requêtes et des paramètres selon vos besoins.

Pour plus d’informations sur la personnalisation du classeur, consultez Créer des rapports interactifs avec les classeurs Azure Monitor.
Quand vous créez une requête, définissez l’option Source de données sur Journaux et l’option Type de ressource sur Log Analytics, puis choisissez au moins un espace de travail.

En guise de meilleure pratique, votre requête doit utiliser un Analyseur d’Advanced SIEM Information Model (ASIM), et non un tableau intégré. Ensuite, la requête prend en charge toutes les sources de données pertinentes actuelles ou futures au lieu d’une seule source de données.
Une fois que vous avez apporté toutes les modifications souhaitées, cliquez sur Modification terminée , puis Enregistrer. Dans le volet latéral, saisissez un nom explicite pour votre workbook, puis sélectionnez l’abonnement et le groupe de ressources de votre espace de travail.
Lorsque vous travaillez dans le portail Azure, basculez entre les workbooks de votre espace de travail en sélectionnant Ouvrir dans la barre d’outils d’un workbook. L’écran bascule vers une liste de classeurs vers lesquels vous pouvez basculer.

Sélectionnez le classeur que vous souhaitez ouvrir :

Créer des vignettes pour vos classeurs

Pour ajouter une vignette personnalisée à un classeur Microsoft Sentinel, commencez par créer la vignette dans Log Analytics. Pour plus d’informations, consultez Données visuelles dans Log Analytics.

Une fois que vous avez créé une vignette, sélectionnez Épingler, puis sélectionnez le classeur dans lequel vous souhaitez que la vignette apparaisse.

Actualiser les données de votre classeur

Actualisez votre classeur pour afficher les données mises à jour. Dans la barre d’outils, sélectionnez l’une des options suivantes :

Actualiser, pour actualiser manuellement les données de votre classeur.
Actualisation automatique, pour définir l’actualisation automatique de votre classeur à un intervalle configuré.
- Les intervalles d’actualisation automatique s’échelonnent entre 5 minutes et 1 jour.
- L’actualisation automatique est suspendue lorsque vous modifiez un classeur, et les intervalles sont redémarrés chaque fois que vous revenez en mode d’affichage à partir du mode d’édition.
- Les intervalles d’actualisation automatique sont également redémarrés si vous actualisez manuellement vos données.
Par défaut, l’actualisation automatique est désactivée. Si vous avez activé l’actualisation automatique, celle-ci est désactivée à chaque fois que vous fermez le notebook, afin d’optimiser les performances et d’éviter qu’il ne s’exécute en arrière-plan Activez l’actualisation automatique en fonction de vos besoins la prochaine fois que vous ouvrirez le classeur.

Imprimer un workbook ou enregistrer au format PDF (portail Azure uniquement)

Pour imprimer un classeur ou l’enregistrer au format PDF, utilisez le menu Options à droite du titre du classeur. Ces options sont disponibles uniquement sur le portail Azure. Si vous travaillez sur le portail Defender, cliquez sur Ouvrir dans Azure pour ouvrir le workbook dans le portail Azure.

Sélectionnez Options >Imprimer le contenu.
Dans l’écran d’impression, ajustez vos paramètres d’impression si nécessaire ou sélectionnez Enregistrer au format PDF pour l’enregistrer localement.

Exemple :

Supprimer un ou plusieurs workbooks

Vous pouvez supprimer les modèles enregistrés et les workbooks personnalisés de l’onglet Mes workbooks . Les modèles ne peuvent pas être supprimés.

Pour supprimer un workbook, sélectionnez-le sous l’onglet Mes workbooks , puis cliquez sur Supprimer. Cette action supprime le workbook, de même que toutes les modifications que vous avez apportées au modèle. Le modèle d’origine reste disponible.

Suggestions de classeur

Cette section passe en revue les recommandations de base que nous formulons pour l’utilisation des workbooks avec Microsoft Sentinel.

Ajouter des classeurs Microsoft Entra ID

Si vous utilisez Microsoft Entra ID avec Microsoft Sentinel, nous vous recommandons d’installer la solution Microsoft Entra pour Microsoft Sentinel et d’utiliser les classeurs suivants :

Connexions Microsoft Entra analyse les connexions pour détecter les anomalies. Ce classeur fournit les connexions ayant échoué à partir d’applications, d’appareils et d’emplacements afin que vous puissiez vérifier, en un clin d’œil, si quelque chose d’inhabituel se produit. Faites attention lorsque plusieurs connexions échouent.
Journaux d’audit Microsoft Entra analyse les activités d’administration, comme la modification des utilisateurs (ajout, suppression, etc.), la création de groupe et les modifications.

Ajouter des classeurs de pare-feu

Nous vous recommandons d’installer la solution appropriée à partir du hub de contenu afin d’ajouter un classeur pour votre pare-feu.

Par exemple, installez la solution de pare-feu Palo Alto pour Microsoft Sentinel afin d’ajouter les classeurs Palo Alto. Les classeurs analysent le trafic de votre pare-feu et vous indiquent des corrélations entre les données de votre pare-feu et les événements de menaces. De plus, ils mettent en évidence des événements suspects dans des entités.

Capture d’écran du classeur Palo Alto.

Créer différents classeurs pour différentes utilisations

Nous vous recommandons de créer différentes visualisations pour chaque type de personnage qui utilise des classeurs, en fonction du rôle des personnages et de ce qu’ils recherchent. Par exemple, créez pour votre administrateur réseau un classeur qui inclut les données du pare-feu.

Vous pouvez également créer des classeurs en fonction de la fréquence à laquelle vous souhaitez les examiner, par exemple si certains éléments doivent être consultés tous les jours et d’autres toutes les heures. Vous pouvez, par exemple, examiner les connexions Microsoft Entra toutes les heures pour y rechercher d’éventuelles anomalies.

Exemple de requête pour comparer les tendances du trafic sur plusieurs semaines

Utilisez la requête suivante pour créer une visualisation qui compare les tendances du trafic sur plusieurs semaines. Changez le fournisseur de l’appareil et la source de données sur lesquels vous exécutez la requête, en fonction de votre environnement.

L’exemple de requête suivant utilise la table SecurityEvent à partir de Windows. Vous pouvez le changer pour l’exécuter sur la table AzureActivity ou CommonSecurityLog, sur n’importe quel autre pare-feu.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Exemple de requête avec des données provenant de plusieurs sources

Vous souhaitez peut-être créer une requête qui incorpore des données provenant de plusieurs sources. Par exemple, créez une requête qui examine les journaux d’audit Microsoft Entra pour contrôler les utilisateurs qui viennent d’y être créés, puis vérifie vos journaux Azure pour voir si ces utilisateurs ont commencé à apporter des modifications dans l’attribution des rôles dans les 24 heures qui suivent leur création. Cette activité suspecte s’affiche dans une visualisation avec la requête suivante :

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Consultez plus d’informations sur les éléments suivants utilisés dans les exemples précédents dans la documentation Kusto :

Pour plus d’informations sur KQL, consultez Vue d’ensemble du langage de requête Kusto (KQL).

Autres ressources :

Problèmes connus lors des modifications de workbooks dans le portail Defender (version préliminaire)

La modification des workbooks directement dans le portail Defender est une fonctionnalité qui est actuellement en version préliminaire, et elle présente actuellement les problèmes connus suivants :

L’éditeur avancé peut s’afficher en mode clair, même si votre portail est configuré en mode sombre.
Les données de point de terminaison personnalisées ne sont pas prises en charge pour l’édition des workbooks dans le portail Defender.
Les workbooks imbriqués dans d’autres workbooks ne sont pas pris en charge pour l’édition dans le portail Defender.
Le partage en lecture seule n’est pas pris en charge pour les workbooks dans le portail Defender.
Les diagrammes Mermaid ne sont pas pris en charge pour l’édition des workbooks dans le portail Defender.