Démarrage rapide : Intégration de Microsoft Sentinel

Dans ce guide de démarrage rapide, vous allez activer Microsoft Sentinel et installer une solution à partir du hub de contenu. Ensuite, vous allez configurer un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel.

Microsoft Sentinel est fourni avec de nombreux connecteurs de données pour les produits Microsoft, comme le connecteur service à service Microsoft Defender XDR. Vous pouvez également activer des connecteurs intégrés pour les produits non-Microsoft, tels que Syslog ou Common Event Format (CEF). Pour ce démarrage rapide, vous allez utiliser le connecteur de données Azure Activity qui est disponible dans la solution Azure Activity pour Microsoft Sentinel.

Pour intégrer Microsoft Sentinel à l’aide de l’API, consultez la dernière version prise en charge de Sentinel Onboarding States.

Prérequis

• Abonnement Azure actif. Si vous n’en avez pas, créez un compte gratuit avant de commencer.

• Espace de travail Log Analytics. Découvrez comment créer un espace de travail Log Analytics. Pour plus d’informations sur les espaces de travail Log Analytics, consultez Conception de votre déploiement de journaux Azure Monitor.

  Vous pouvez avoir une valeur par défaut de 30 jours de rétention dans l’espace de travail Log Analytics utilisé pour Microsoft Sentinel. Pour vous assurer que vous pouvez utiliser toutes les fonctions et fonctionnalités de Microsoft Sentinel, augmentez la rétention à 90 jours. Configurer des stratégies d’archivage et de conservation des données dans les journaux Azure Monitor.

• Autorisations :

  • Pour activer Microsoft Sentinel, vous avez besoin d’autorisations de contributeur sur l’abonnement dans lequel réside l’espace de travail Microsoft Sentinel.

  • Pour utiliser Microsoft Sentinel, vous avez besoin des autorisations Contributeur Microsoft Sentinel ou Lecteur Microsoft Sentinel sur le groupe de ressources auquel appartient l’espace de travail.

  • Pour installer ou gérer des solutions dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel sur le groupe de ressources auquel l’espace de travail appartient.

• Microsoft Sentinel est un service payant. Passez en revue les options de tarification et la page de tarification de Microsoft Sentinel.

• Avant de déployer Microsoft Sentinel dans un environnement de production, passez en revue les activités de pré-déploiement et les prérequis pour le déploiement de Microsoft Sentinel.

Activer Microsoft Sentinel

Pour commencer, ajoutez Microsoft Sentinel à un espace de travail existant ou créez-en un.

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Microsoft Sentinel.

   

3. Sélectionnez Créer.

4. Sélectionnez l’espace de travail que vous souhaitez utiliser ou créez-en un. Vous pouvez exécuter Microsoft Sentinel sur plusieurs espaces de travail, mais les données sont isolées sur un seul espace de travail.

   

   • Les espaces de travail par défaut créés par Microsoft Defender pour le cloud ne sont pas affichés dans la liste. Vous ne pouvez pas installer Microsoft Sentinel sur ces espaces de travail.
   • Une fois déployé sur un espace de travail, Microsoft Sentinel ne prend pas en charge le déplacement de cet espace de travail vers un autre groupe de ressources ou abonnement.

5. Sélectionnez Ajouter.

Installez une solution à partir du hub de contenu

Le hub de contenu dans Microsoft Sentinel est l’emplacement centralisé pour découvrir et gérer du contenu prête à l’emploi, y compris les connecteurs de données. Pour ce guide de démarrage rapide, installez la solution pour Azure Activity.

1. Dans Microsoft Sentinel, sélectionnez Hub de contenu.

2. Recherchez et sélectionnez la solution Azure Activity.

   

3. Dans la barre d’outils en haut de la page, sélectionnez Installer/Mettre à jour.

Configurez le connecteur de données

Microsoft Sentinel ingère les données des services et des applications en se connectant à ceux-ci et en se transférant les événements et les journaux. Pour ce guide de démarrage rapide, installez le connecteur de données pour transférer les données d’Azure Activity à Microsoft Sentinel.

1. Sélectionnez Connecteurs de données dans Microsoft Sentinel.

2. Recherchez et sélectionnez le connecteur de données Azure Activity.

3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

4. Passez en revue les instructions pour configurer le connecteur.

5. Sélectionnez Lancer l’Assistant Attribution Azure Policy.

6. Sous l’onglet De base, définissez Étendue sur l’abonnement et le groupe de ressources dont l’activité doit être envoyée à Microsoft Sentinel. Par exemple, sélectionnez l’abonnement qui contient votre instance Microsoft Sentinel.

7. Sélectionnez l'onglet Paramètres .

8. Définissez l’espace de travail Log Analytics principal. Il doit s’agir de l’espace de travail dans lequel Microsoft Sentinel est installé.

9. Sélectionnez Vérifier + créer, puis Créer.

Générez des données d’activité

Nous allons générer des données d’activité en activant une règle qui a été incluse dans la solution Azure Activity pour Microsoft Sentinel. Cette étape vous montre également comment gérer le contenu dans le hub de contenu.

1. Dans Microsoft Sentinel, sélectionnez Hub de contenu.

2. Recherchez et sélectionnez la solution Azure Activity.

3. Dans le volet de droite, sélectionnez Gérer.

4. Recherchez et sélectionnez le modèle de règle Déploiement de ressources suspectes.

5. Sélectionnez Configuration.

6. Sélectionnez la règle et Créer une règle.

7. Sous l’onglet Général, définissez État comme étant activé. Conservez les autres valeurs par défaut.

8. Acceptez les valeurs par défaut sur les autres onglets.

9. Dans l’onglet Vérifier et créer, sélectionnez Créer.

Affichez les données ingérées dans Microsoft Sentinel

Maintenant que vous avez activé le connecteur de données Azure Activity et généré des données d’activité, nous allons afficher les données d’activité ajoutées à l’espace de travail.

1. Sélectionnez Connecteurs de données dans Microsoft Sentinel.

2. Recherchez et sélectionnez le connecteur de données Azure Activity.

3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

4. Passez en revue l’État du connecteur de données. Il doit être Connecté.

   

5. Dans le volet latéral gauche au-dessus du graphique, sélectionnez Accéder à l’analytique des journaux d'activité.

6. En haut du volet, en regard de l’onglet Nouvelle requête 1, sélectionnez l’onglet + pour ajouter une nouvelle requête.

7. Dans le volet de requête, exécutez la requête suivante pour afficher la date d’activité ingérée dans l’espace de travail.

    AzureActivity
   

   

Étapes suivantes

Dans ce guide de démarrage rapide, vous avez activé Microsoft Sentinel et installé une solution à partir du hub de contenu. Ensuite, vous configurez un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel. Vous avez également vérifié que les données sont ingérées en affichant les données dans l’espace de travail.

• Pour visualiser les données que vous avez collectées à l’aide des tableaux de bord et des classeurs, consultez Visualiser les données collectées.
• Pour détecter les menaces à l’aide de règles d’analytique, consultez Tutoriel : Détecter les menaces à l’aide de règles d’analytique dans Microsoft Sentinel.