Migrer vers Innovation Summit:
Découvrez comment la migration et la modernisation vers Azure peuvent améliorer les performances, la résilience et la sécurité de votre entreprise, ce qui vous permet d’adopter entièrement l’IA.S’inscrire maintenant
Ce navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
Microsoft Sentinel sur le portail Microsoft Defender
Article
S’applique à:
Microsoft Sentinel in the Microsoft Defender portal
Cet article décrit l’expérience Microsoft Sentinel dans le portail Microsoft Defender. Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender avec Microsoft Defender XDR. Pour plus d’informations, consultez l’article suivant :
Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5.
Nouvelles fonctionnalités et fonctionnalités améliorées
Le tableau suivant décrit les nouvelles fonctionnalités ou les fonctionnalités améliorées disponibles dans le portail Defender avec l’intégration de Microsoft Sentinel. Microsoft continue d’innover dans cette nouvelle expérience avec des fonctionnalités pouvant être exclusives au portail Defender.
Capabilities
Description
Recherche avancée
Interrogez à partir d’un seul portail sur différents jeux de données pour rendre le repérage plus efficace et supprimer la nécessité d’un changement de contexte. Utilisez Security Copilot pour générer votre KQL. Affichez et interrogez toutes les données, y compris les données des services de sécurité Microsoft et Microsoft Sentinel. Utilisez tout votre contenu d’espace de travail Microsoft Sentinel existant, y compris les requêtes et les fonctions.
Gérez en mode natif des cas SecOps dans le portail Defender sans perdre le contexte de sécurité. Définissez votre propre workflow de cas avec des valeurs d’état personnalisées. Attribuez des tâches aux collaborateurs et configurez les dates d’échéance. Gérez les escalades et les cas complexes en liant plusieurs incidents à un cas.
Quand vous recherchez les menaces dans le repérage avancé, créez des requêtes KQL prêtes à l’emploi avec l’Assistant Requête. Pour plus d’informations, consultez Microsoft Security Copilot dans le repérage avancé.
Optimisations SOC
Obtenez des recommandations concrètes et exploitables pour vous aider à identifier les domaines dans lesquels vous devez agir : - Réduire les coûts - Ajouter des contrôles de sécurité - Ajouter des données manquantes Les optimisations SOC sont disponibles dans les Portails Defender et Azure, sont adaptées à votre environnement et sont basées sur votre couverture actuelle et votre paysage des menaces.
Le tableau suivant décrit les fonctionnalités supplémentaires disponibles dans le portail Defender avec l’intégration de Microsoft Sentinel et Microsoft Defender XDR dans le cadre de la plateforme d’opérations de sécurité unifiée de Microsoft.
Capabilities
Description
Perturbation de l’attaque
Déployez une interruption automatique des attaques pour SAP avec le portail Defender et les applications de Solution Microsoft Sentinel pour SAP. Par exemple, confinez des ressources compromises en verrouillant les utilisateurs SAP suspects en cas d’attaque de manipulation de processus financier.
Les fonctionnalités d’interruption d’attaque pour SAP sont disponibles uniquement dans le portail Defender. Pour utiliser une interruption d’attaque pour SAP, mettez à jour votre version de l’agent de connecteur de données et assurez-vous que le rôle Azure approprié est affecté à l’identité de votre agent.
Les pages d’entité pour les appareils, les utilisateurs, les adresses IP et les ressources Azure dans le portail Defender affichent des informations à partir de sources de données Microsoft Sentinel et Defender. Ces pages d’entité vous donnent un contexte étendu pour vos enquêtes sur les incidents et les alertes dans le portail Defender.
Gérez et examinez les incidents de sécurité dans un emplacement unique et à partir d’une file d’attente unique dans le portail Defender. Utilisez Security Copilot pour récapituler, répondre et rapporter. Les incidents sont les suivants : - Données provenant d’un large éventail de sources - Outils d’analyse IA des informations de sécurité et de la gestion des événements (SIEM) - Outils de contexte et d’atténuation proposés par la détection et la réponse étendues (XDR)
Récapitulez les menaces pertinentes impactant votre environnement pour donner la priorité à la résolution des menaces en fonction de vos niveaux d’exposition ou pour trouver les acteurs de menace susceptibles de cibler votre secteur d’activité en utilisant Security Copilot dans la veille des menaces. Pour plus d’informations, consultez Utilisation de Microsoft Security Copilot pour la veille des menaces.
Différences de fonctionnalités entre les portails
La plupart des fonctionnalités de Microsoft Sentinel sont disponibles dans les portails Microsoft Azure et Defender. Dans le portail Defender, certaines expériences Microsoft Sentinel s’ouvrent sur le portail Azure pour effectuer une tâche.
Cette section décrit les fonctionnalités ou intégrations de Microsoft Sentinel qui sont uniquement disponibles dans le portail Azure ou le portail Defender, ou d’autres différences significatives entre les portails. Elle exclut les expériences Microsoft Sentinel qui ouvrent le portail Microsoft Azure à partir du portail Defender.
Fonctionnalité
Disponibilité
Description
Repérage avancé à l’aide de signets
Portail Azure uniquement
Les signets ne sont pas pris en charge dans l’expérience de repérage avancée dans le portail Microsoft Defender. Dans le portail Defender, ils sont pris en charge dans Microsoft Sentinel > Gestion des menaces > Repérage.
Certaines procédures d’automatisation sont disponibles uniquement dans le portail Microsoft Azure.
D’autres procédures d’automatisation sont identiques dans les portails Defender et Azure, mais diffèrent dans le portail Azure entre les espaces de travail intégrés au portail Defender et ceux qui ne le sont pas.
Connecteurs de données : visibilité des connecteurs utilisés par la plateforme d’opérations de sécurité unifiée
Portail Azure uniquement
Dans le portail Defender, après l’intégration de Microsoft Sentinel, les connecteurs de données suivants qui font partie de la plateforme d’opérations de sécurité unifiée ne sont pas affichés dans la page Connecteurs de données :
Microsoft Defender for Cloud Apps
Microsoft Defender for Endpoint
Microsoft Defender pour Identity
Microsoft Defender pour Office 365 (préversion)
Microsoft Defender XDR
Microsoft Defender pour le cloud basé sur l’abonnement (hérité)
Microsoft Defender pour le cloud basé sur le locataire (préversion)
Dans le portail Azure, ces connecteurs de données sont toujours répertoriés avec les connecteurs de données installés dans Microsoft Sentinel.
Entités : ajouter des entités à la veille des menaces à partir d’incidents
Portail Azure uniquement
Cette fonctionnalité n’est pas disponible dans le portail Defender.
Fusion : détection avancée des attaques multiphases
Portail Azure uniquement
La règle analytique Fusion, qui crée des incidents en fonction des corrélations d’alertes établies par le moteur de corrélation Fusion, est désactivée quand vous intégrez Microsoft Sentinel au portail Defender.
Le portail Defender utilise les fonctionnalités de création d’incident et de corrélation de Microsoft Defender XDR pour remplacer celles du moteur Fusion.
Incidents : ajout d’alertes à des incidents / Suppression des alertes des incidents
Portail Defender uniquement
Après avoir intégré Microsoft Sentinel au portail Defender, vous ne pouvez plus ajouter ni supprimer d’alertes pour les incidents dans le portail Azure.
Vous pouvez supprimer une alerte d’un incident dans le portail Defender, mais uniquement en liant l’alerte à un autre incident (existant ou nouveau).
Incidents : Création
Après intégration au portail Defender : les incidents sont créés par le moteur de corrélation dans le portail Microsoft Defender.
Les incidents créés dans le portail Defender pour les alertes générées par Microsoft Sentinel ont Nom du fournisseur d’incident = Microsoft Defender XDR.
Toutes les règles de création d’incidents de sécurité Microsoft actives sont désactivées pour éviter la création d’incidents en double. Les paramètres de création d’incidents dans les autres types de règles analytiques restent tels quels, mais ces paramètres sont implémentés dans le portail Defender, et non dans Microsoft Sentinel.
L’affichage des incidents Microsoft Defender dans Microsoft Sentinel peut prendre jusqu’à 5 minutes. Cela n’affecte pas les fonctions fournies directement par Microsoft Defender, telles que l’interruption automatique des attaques.
Après avoir intégré Microsoft Sentinel au portail Defender, vous pouvez ajouter des commentaires aux incidents dans chaque portail, mais vous ne pouvez pas modifier les commentaires existants.
Les modifications apportées aux commentaires dans le portail Azure ne sont pas synchronisées dans le portail Defender.
Incidents : création programmatique et manuelle d’incidents
Portail Azure uniquement
Les incidents créés dans Microsoft Sentinel avec l’API, par un playbook Logic Apps ou manuellement dans le portail Azure ne sont pas synchronisés dans le portail Defender. Ces incidents sont toujours pris en charge dans le portail Azure et l’API. Consultez Créer manuellement vos propres incidents dans Microsoft Sentinel.
Incidents : réouverture des incidents fermés
Portail Azure uniquement
Dans le portail Defender, vous ne pouvez pas définir de regroupement d’alertes dans les règles analytiques Microsoft Sentinel pour rouvrir les incidents fermés si de nouvelles alertes sont ajoutées. Dans ce cas, les incidents fermés ne sont pas rouverts et de nouvelles alertes déclenchent de nouveaux incidents.
Incidents : tâches
Portail Azure uniquement
Les tâches ne sont pas disponibles dans le portail Defender.
Gestion de plusieurs espaces de travail pour Microsoft Sentinel
Portail Defender : limité à un espace de travail Microsoft Sentinel par locataire
Portail Azure : gérez de manière centralisée plusieurs espaces de travail Microsoft Sentinel pour les locataires
Un seul espace de travail Microsoft Sentinel par locataire est actuellement pris en charge dans le portail Defender. Par conséquent, la gestion multilocataire Microsoft Defender prend en charge un espace de travail Microsoft Sentinel par locataire.
Quand vous intégrez Microsoft Sentinel au portail Defender sans Defender XDR ou d’autres services activés, les fonctionnalités suivantes qui s’affichent dans le portail Defender sont actuellement limitées ou indisponibles.
Les limitations suivantes s’appliquent également à Microsoft Sentinel dans le portail Defender sans Defender XDR ou d’autres services activés :
Les nouveaux clients Microsoft Sentinel ne peuvent pas intégrer un espace de travail Log Analytics créé dans la région Israël. Pour intégrer le portail Defender, créez un autre espace de travail pour Microsoft Sentinel dans une autre région. Cet espace de travail supplémentaire n'a pas besoin de contenir de données.
Les clients qui utilisent l’analyse du comportement des utilisateurs et des entités (UEBA) Microsoft Sentinel reçoivent une version limitée de la table IdentityInfo.
Aide-mémoire
Certaines fonctionnalités de Microsoft Sentinel, comme la file d’attente d’incidents unifiés, sont intégrées à Microsoft Defender XDR dans la plateforme d’opérations de sécurité unifiée de Microsoft. De nombreuses autres fonctionnalités de Microsoft Sentinel sont disponibles dans la section Microsoft Sentinel du portail Defender.
L’image suivante montre le menu Microsoft Sentinel dans le portail Defender :
Les sections suivantes décrivent où trouver les fonctionnalités de Microsoft Sentinel dans le portail Defender. Les sections sont organisées comme l’est Microsoft Sentinel dans le portail Microsoft Azure.
Général
Le tableau suivant répertorie les modifications apportées à la navigation entre les portails Microsoft Azure et Defender pour la section Général du portail Microsoft Azure.
Portail Azure
Defender
Présentation
Vue d’ensemble
Journaux d’activité
Enquête et réponse > Repérage > Repérage avancé
Actualités et guides
Non disponible
Recherche
Microsoft Sentinel > Recherche
Gestion des menaces
Le tableau suivant répertorie les modifications apportées à la navigation entre les portails Microsoft Azure et Defender pour la section Gestion des menaces dans le portail Microsoft Azure.
Portail Azure
Defender
Incidents
Enquête et réponse >Incidents et alertes > Incidents
Classeurs
Microsoft Sentinel > Gestion des menaces > Classeurs
Chasse
Microsoft Sentinel > Gestion des menaces > Repérage
Notebooks
Microsoft Sentinel > Gestion des menaces > Notebooks
Recherchez également les pages d’entité pour les types d’entités d’entité utilisateur, appareil, IP et Ressource Azure à partir d’incidents et d’alertes au fur et à mesure qu’elles apparaissent.
Informations sur les menaces
Microsoft Sentinel > Gestion des menaces > Veille des menaces
MITRE ATT&CK
Microsoft Sentinel > Gestion des menaces > MITRE ATT&CK
Gestion de contenu
Le tableau suivant répertorie les modifications apportées à la navigation entre les portails Microsoft Azure et Defender pour la section Gestion de contenu dans le portail Microsoft Azure.
Portail Azure
Defender
Hub de contenu
Microsoft Sentinel > Gestion de contenu > Hub de contenu
Référentiels
Microsoft Sentinel > Gestion de contenu > Référentiels
Community
Microsoft Sentinel > Gestion de contenu > Communauté
Configuration
Le tableau suivant répertorie les modifications apportées à la navigation entre les portails Microsoft Azure et Defender pour la section Configuration du portail Microsoft Azure.
Portail Azure
Defender
Gestionnaire d’espace de travail
Non disponible
Connecteurs de données
Microsoft Sentinel > Configuration > Connecteurs de données
Analyse
Microsoft Sentinel > Configuration > Analyse
Watchlists
Microsoft Sentinel > Configuration > Watchlists
Automation
Microsoft Sentinel > Configuration > Automatisation