Partager via


Démarrage rapide : Intégration de Microsoft Sentinel

Dans ce guide de démarrage rapide, vous allez activer Microsoft Sentinel et installer une solution à partir du hub de contenu. Ensuite, vous allez configurer un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel.

Microsoft Sentinel est fourni avec de nombreux connecteurs de données pour les produits Microsoft, comme le connecteur service à service Microsoft Defender XDR. Vous pouvez également activer des connecteurs intégrés pour les produits non-Microsoft, tels que Syslog ou Common Event Format (CEF). Pour ce démarrage rapide, vous allez utiliser le connecteur de données Azure Activity qui est disponible dans la solution Azure Activity pour Microsoft Sentinel.

Pour intégrer Microsoft Sentinel à l’aide de l’API, consultez la dernière version prise en charge de Sentinel Onboarding States.

Prérequis

Activer Microsoft Sentinel

Pour commencer, ajoutez Microsoft Sentinel à un espace de travail existant ou créez-en un.

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Microsoft Sentinel.

    Capture d’écran montrant la recherche d’un service tout en activant Microsoft Sentinel.

  3. Sélectionnez Créer.

  4. Sélectionnez l’espace de travail que vous souhaitez utiliser ou créez-en un. Vous pouvez exécuter Microsoft Sentinel sur plusieurs espaces de travail, mais les données sont isolées sur un seul espace de travail.

    Capture d’écran montrant la sélection d’un espace de travail tout en activant Microsoft Sentinel.

    • Les espaces de travail par défaut créés par Microsoft Defender pour le cloud ne sont pas affichés dans la liste. Vous ne pouvez pas installer Microsoft Sentinel sur ces espaces de travail.
    • Une fois déployé sur un espace de travail, Microsoft Sentinel ne prend pas en charge le déplacement de cet espace de travail vers un autre groupe de ressources ou abonnement.
  5. Sélectionnez Ajouter.

Installez une solution à partir du hub de contenu

Le hub de contenu dans Microsoft Sentinel est l’emplacement centralisé pour découvrir et gérer du contenu prête à l’emploi, y compris les connecteurs de données. Pour ce guide de démarrage rapide, installez la solution pour Azure Activity.

  1. Dans Microsoft Sentinel, sélectionnez Hub de contenu.

  2. Recherchez et sélectionnez la solution Azure Activity.

    Capture d’écran du hub de contenu avec la solution pour Azure Activity sélectionnée.

  3. Dans la barre d’outils en haut de la page, sélectionnez Installer/Mettre à jour.

Configurez le connecteur de données

Microsoft Sentinel ingère les données des services et des applications en se connectant à ceux-ci et en se transférant les événements et les journaux. Pour ce guide de démarrage rapide, installez le connecteur de données pour transférer les données d’Azure Activity à Microsoft Sentinel.

  1. Sélectionnez Connecteurs de données dans Microsoft Sentinel.

  2. Recherchez et sélectionnez le connecteur de données Azure Activity.

  3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

  4. Passez en revue les instructions pour configurer le connecteur.

  5. Sélectionnez Lancer l’Assistant Attribution Azure Policy.

  6. Sous l’onglet De base, définissez Étendue sur l’abonnement et le groupe de ressources dont l’activité doit être envoyée à Microsoft Sentinel. Par exemple, sélectionnez l’abonnement qui contient votre instance Microsoft Sentinel.

  7. Sélectionnez l'onglet Paramètres .

  8. Définissez l’espace de travail Log Analytics principal. Il doit s’agir de l’espace de travail dans lequel Microsoft Sentinel est installé.

  9. Sélectionnez Vérifier + créer, puis Créer.

Générez des données d’activité

Nous allons générer des données d’activité en activant une règle qui a été incluse dans la solution Azure Activity pour Microsoft Sentinel. Cette étape vous montre également comment gérer le contenu dans le hub de contenu.

  1. Dans Microsoft Sentinel, sélectionnez Hub de contenu.

  2. Recherchez et sélectionnez la solution Azure Activity.

  3. Dans le volet de droite, sélectionnez Gérer.

  4. Recherchez et sélectionnez le modèle de règle Déploiement de ressources suspectes.

  5. Sélectionnez Configuration.

  6. Sélectionnez la règle et Créer une règle.

  7. Sous l’onglet Général, définissez État comme étant activé. Conservez les autres valeurs par défaut.

  8. Acceptez les valeurs par défaut sur les autres onglets.

  9. Dans l’onglet Vérifier et créer, sélectionnez Créer.

Affichez les données ingérées dans Microsoft Sentinel

Maintenant que vous avez activé le connecteur de données Azure Activity et généré des données d’activité, nous allons afficher les données d’activité ajoutées à l’espace de travail.

  1. Sélectionnez Connecteurs de données dans Microsoft Sentinel.

  2. Recherchez et sélectionnez le connecteur de données Azure Activity.

  3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

  4. Passez en revue l’État du connecteur de données. Il doit être Connecté.

    Capture d’écran du connecteur de données pour Azure Activity dont la connexion est activée.

  5. Dans le volet latéral gauche au-dessus du graphique, sélectionnez Accéder à l’analytique des journaux d'activité.

  6. En haut du volet, en regard de l’onglet Nouvelle requête 1, sélectionnez l’onglet + pour ajouter une nouvelle requête.

  7. Dans le volet de requête, exécutez la requête suivante pour afficher la date d’activité ingérée dans l’espace de travail.

     AzureActivity
    

    Capture d’écran de la fenêtre de requête du journal avec les résultats renvoyés pour la requête Azure Activity.

Étapes suivantes

Dans ce guide de démarrage rapide, vous avez activé Microsoft Sentinel et installé une solution à partir du hub de contenu. Ensuite, vous configurez un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel. Vous avez également vérifié que les données sont ingérées en affichant les données dans l’espace de travail.