Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
À l’étape de déploiement précédente, vous avez activé Microsoft Sentinel, la surveillance de l’intégrité et les solutions requises. Dans cet article, vous allez apprendre à configurer les différents types de contenu de sécurité Microsoft Sentinel, ce qui vous permet de détecter, de surveiller et de répondre aux menaces de sécurité sur vos systèmes. Cet article fait partie du Guide de déploiement pour Microsoft Sentinel.
Configurer votre contenu de sécurité
| Étape | Description |
|---|---|
| Configurer des connecteurs de données | En fonction des sources de données que vous avez sélectionnées lorsque vous avez planifié votre déploiement et après avoir activé les solutions appropriées, vous pouvez maintenant installer ou configurer vos connecteurs de données. - Si vous utilisez un connecteur existant, recherchez votre connecteur dans cette liste complète de connecteurs de données. - Si vous créez un connecteur personnalisé, utilisez ces ressources. - Si vous configurez un connecteur pour ingérer les journaux CEF ou Syslog, passez en revue ces options. |
| Configurer des règles d’analyse | Une fois que vous avez configuré Microsoft Sentinel pour collecter des données sur l’ensemble de vos organization, vous pouvez commencer à utiliser des règles d’analyse pour détecter les menaces. Sélectionnez les étapes dont vous avez besoin pour configurer vos règles d’analyse : - Créer des règles planifiées à partir de modèles ou à partir de zéro : créez des règles d’analyse pour vous aider à détecter les menaces et les comportements anormaux dans votre environnement. - Mapper des champs de données à des entités : ajoutez ou modifiez des mappages d’entités dans une règle d’analyse. - Détails personnalisés de surface dans les alertes : ajoutez ou modifiez des détails personnalisés dans une règle d’analyse. - Personnaliser les détails de l’alerte : remplacez les propriétés par défaut des alertes par le contenu des résultats de la requête sous-jacente. - Exporter et importer des règles d’analyse : exportez vos règles d’analyse vers des fichiers de modèle Azure Resource Manager (ARM) et importez des règles à partir de ces fichiers. L’action d’exportation crée un fichier JSON dans l’emplacement des téléchargements de votre navigateur, que vous pouvez ensuite renommer, déplacer et gérer comme n’importe quel autre fichier. - Créer des règles d’analyse de détection en temps quasi réel (NRT) : créez des règles d’analyse quasi-temporelles pour la détection des menaces prête à l’emploi jusqu’à la minute. Ce type de règle a été conçu pour être très réactif en exécutant sa requête à intervalles d’une minute d’intervalle. - Utiliser des règles d’analyse de détection d’anomalies : utilisez des modèles d’anomalie intégrés qui utilisent des milliers de sources de données et des millions d’événements, ou modifiez les seuils et les paramètres des anomalies au sein de l’interface utilisateur. - Gérer les versions de modèles pour vos règles d’analyse planifiées : suivez les versions de vos modèles de règles d’analyse, puis rétablissez les règles actives à des versions de modèle existantes ou mettez-les à jour vers de nouvelles. - Gérer le délai d’ingestion dans les règles d’analyse planifiée : découvrez comment le retard d’ingestion peut affecter vos règles d’analyse planifiées et comment vous pouvez les corriger pour combler ces lacunes. |
| Configurer des règles d’automatisation | Créer des règles d’automatisation. Définissez les déclencheurs et les conditions qui déterminent le moment où votre règle d’automatisation s’exécute, les différentes actions que vous pouvez effectuer et les fonctionnalités restantes. |
| Configurer des playbooks | Un playbook est un ensemble d’actions de correction que vous exécutez à partir de Microsoft Sentinel en tant que routine, pour vous aider à automatiser et orchestrer votre réponse aux menaces. Pour configurer des playbooks : - Passer en revue les playbooks recommandés - Créer des playbooks à partir de modèles : un modèle de playbook est un workflow prédéfini, testé et prêt à l’emploi qui peut être personnalisé pour répondre à vos besoins. Les modèles peuvent également servir de référence pour les meilleures pratiques lors du développement de playbooks à partir de zéro, ou comme source d’inspiration pour de nouveaux scénarios d’automatisation. - Passez en revue ces étapes pour créer un playbook |
| Configurer des classeurs |
Les classeurs fournissent un canevas flexible pour l’analyse des données et la création de rapports visuels enrichis dans Microsoft Sentinel. Les modèles de classeur vous permettent d’obtenir rapidement des insights sur vos données dès que vous connectez une source de données. Pour configurer des classeurs : - Passer en revue les classeurs Microsoft Sentinel couramment utilisés - Utiliser des modèles de classeur existants disponibles avec des solutions empaquetées - Créer des classeurs personnalisés dans vos données |
| Configurer des watchlists |
Les watchlists vous permettent de mettre en corrélation les données d’une source de données que vous fournissez avec les événements de votre environnement Microsoft Sentinel. Pour configurer des watchlists : - Créer des watchlists - Créer des requêtes ou des règles de détection avec des watchlists : interrogez les données d’une table par rapport aux données d’une watchlist en traitant la watchlist comme une table pour les jointures et les recherches. Lorsque vous créez une watchlist, vous définissez searchKey. La clé de recherche est le nom d’une colonne de votre watchlist que vous prévoyez d’utiliser comme jointure avec d’autres données ou comme objet de recherche fréquent. |
Étapes suivantes
Dans cet article, vous avez appris à configurer les différents types de contenu de sécurité Microsoft Sentinel.