Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Sentinel est une solution SIEM native cloud qui offre une sécurité évolutive et économique dans des environnements multiclouds et multiplateformes. Il combine l’IA, l’automatisation et le renseignement sur les menaces pour prendre en charge la détection des menaces, l’investigation, la réponse et la chasse proactive.
Microsoft Sentinel SIEM permet aux analystes d’anticiper et d’arrêter les attaques sur les clouds et les plateformes, plus rapidement et avec plus de précision.
Cet article met en évidence les fonctionnalités clés de Microsoft Sentinel.
Microsoft Sentinel hérite des pratiques de vérification et d’immuabilité Azure Monitor. Bien que Azure Monitor soit une plateforme de données en ajout uniquement, il inclut des dispositions pour supprimer des données à des fins de conformité.
Ce service prend en charge Azure Lighthouse, qui permet aux fournisseurs de services de se connecter à leur propre locataire pour gérer les abonnements et les groupes de ressources que les clients ont délégués.
Activer le contenu de sécurité prête à l’emploi
Microsoft Sentinel fournit du contenu de sécurité empaqueté dans des solutions SIEM qui vous permettent d’ingérer des données, de surveiller, d’alerter, de rechercher, d’examiner, de répondre et de vous connecter à différents produits, plateformes et services.
Pour plus d’informations, consultez À propos Microsoft Sentinel contenu et solutions.
Collecter des données à grande échelle
Collectez des données sur tous les utilisateurs, appareils, applications et infrastructure, à la fois localement et dans plusieurs clouds.
Ce tableau met en évidence les principales fonctionnalités de Microsoft Sentinel pour la collecte de données.
| Fonctionnalité | Description | Prise en main |
|---|---|---|
| Connecteurs de données prêtes à l’emploi | De nombreux connecteurs sont empaquetés avec des solutions SIEM pour Microsoft Sentinel et fournissent une intégration en temps réel. Ces connecteurs incluent des sources Microsoft et des sources Azure telles que Microsoft Entra ID, Azure Activity, Azure Storage, etc. Des connecteurs prêtes à l’emploi sont également disponibles pour les écosystèmes de sécurité et d’applications plus larges pour les solutions non-Microsoft. Vous pouvez également utiliser le format d’événement courant, Syslog ou REST-API pour connecter vos sources de données à Microsoft Sentinel. |
connecteurs de données Microsoft Sentinel |
| Connecteurs personnalisés | Microsoft Sentinel prend en charge l’ingestion de données à partir de certaines sources sans connecteur dédié. Si vous ne parvenez pas à connecter votre source de données à Microsoft Sentinel à l’aide d’une solution existante, créez votre propre connecteur de source de données. | Ressources pour la création de connecteurs personnalisés Microsoft Sentinel. |
| Normalisation des données | Microsoft Sentinel utilise à la fois le temps de requête et la normalisation du temps d’ingestion pour traduire diverses sources en une vue uniforme et normalisée. | Normalisation et modèle ASIM (Advanced Security Information Model) |
Détecter les menaces
Détectez les menaces précédemment non détectées et réduisez les faux positifs à l’aide de l’analytique de Microsoft et du renseignement sur les menaces inégalée.
Ce tableau met en évidence les fonctionnalités clés de Microsoft Sentinel pour la détection des menaces.
| Capacité | Description | Prise en main |
|---|---|---|
| Analyse | Vous aide à réduire le bruit et à réduire le nombre d’alertes que vous devez examiner et examiner. Microsoft Sentinel utilise l’analytique pour regrouper les alertes en incidents. Utilisez les règles analytiques prêtes à l’emploi telles qu’elles sont ou comme point de départ pour créer vos propres règles. Microsoft Sentinel fournit également des règles pour mapper le comportement de votre réseau, puis rechercher les anomalies dans vos ressources. Ces analyses connectent les points en combinant des alertes de faible fidélité sur différentes entités dans des incidents de sécurité haute fidélité potentiels. | Détecter les menaces prêtes à l’emploi |
| Couverture MITRE ATT&CK | Microsoft Sentinel analyse les données ingérées, non seulement pour détecter les menaces et vous aider à examiner, mais aussi pour visualiser la nature et la couverture des status de sécurité de votre organization en fonction des tactiques et techniques de l’infrastructure MITRE ATT&CK®. | Comprendre la couverture de sécurité par l’infrastructure MITRE ATT&CK® |
| Threat Intelligence | Intégrez de nombreuses sources de renseignement sur les menaces dans Microsoft Sentinel pour détecter les activités malveillantes dans votre environnement et fournir un contexte aux enquêteurs de sécurité pour des décisions de réponse éclairées. | Renseignement sur les menaces dans Microsoft Sentinel |
| Watchlists | Mettez en corrélation les données d’une source de données que vous fournissez, une watchlist, avec les événements de votre environnement Microsoft Sentinel. Par exemple, vous pouvez créer une watchlist avec une liste de ressources à valeur élevée, d’employés licenciés ou de comptes de service dans votre environnement. Utilisez des watchlists dans vos playbooks de recherche, de détection, de repérage des menaces et de réponse. | Watchlists dans Microsoft Sentinel |
| Classeurs | Créez des rapports visuels interactifs à l’aide de classeurs. Microsoft Sentinel est fourni avec des modèles de classeur intégrés qui vous permettent d’obtenir rapidement des insights sur vos données dès que vous connectez une source de données. Vous pouvez également créer vos propres classeurs personnalisés. | Visualiser les données collectées. |
Examiner les menaces
Examinez les menaces avec l’intelligence artificielle et recherchez les activités suspectes à grande échelle, en tirant parti d’années de travail de cybersécurité chez Microsoft.
Ce tableau met en évidence les fonctionnalités clés de Microsoft Sentinel pour l’investigation des menaces.
| Fonctionnalité | Description | Prise en main |
|---|---|---|
| Incidents | Microsoft Sentinel outils d’investigation approfondie vous aident à comprendre l’étendue et à trouver la cause racine d’une menace de sécurité potentielle. Vous pouvez choisir une entité sur le graphique interactif pour poser des questions intéressantes pour une entité spécifique et explorer cette entité et ses connexions pour accéder à la cause racine de la menace. | Naviguer et examiner les incidents dans Microsoft Sentinel |
| Chasse | les puissants outils de recherche et de requête de Microsoft Sentinel, basés sur l’infrastructure MITRE, vous permettent de rechercher de manière proactive les menaces de sécurité dans les sources de données de votre organization, avant qu’une alerte ne soit déclenchée. Créez des règles de détection personnalisées basées sur votre requête de repérage. Ensuite, faites apparaître ces insights sous forme d’alertes à vos répondeurs aux incidents de sécurité. | Chasse aux menaces en Microsoft Sentinel |
| Blocs-notes | Microsoft Sentinel prend en charge les notebooks Jupyter dans Azure espaces de travail Machine Learning, y compris les bibliothèques complètes pour le Machine Learning, la visualisation et l’analyse des données. Utilisez des notebooks dans Microsoft Sentinel pour étendre l’étendue de ce que vous pouvez faire avec Microsoft Sentinel données. Par exemple : - Effectuez des analyses qui ne sont pas intégrées à Microsoft Sentinel, telles que certaines fonctionnalités de Machine Learning Python. - Créez des visualisations de données qui ne sont pas intégrées à Microsoft Sentinel, telles que des chronologies personnalisées et des arborescences de processus. - Intégrer des sources de données en dehors de Microsoft Sentinel, telles qu’un jeu de données local. |
Notebooks Jupyter avec fonctionnalités de chasse Microsoft Sentinel |
Répondre rapidement aux incidents
Automatisez vos tâches courantes et simplifiez l’orchestration de la sécurité avec des playbooks qui s’intègrent à Azure services et à vos outils existants. L’automatisation et l’orchestration de Microsoft Sentinel fournissent une architecture hautement extensible qui permet une automatisation évolutive à mesure que de nouvelles technologies et menaces émergent.
Les playbooks dans Microsoft Sentinel sont basés sur des flux de travail intégrés dans Azure Logic Apps. Par exemple, si vous utilisez le système de ticket ServiceNow, utilisez Azure Logic Apps pour automatiser vos workflows et ouvrir un ticket dans ServiceNow chaque fois qu’une alerte ou un incident particulier est généré.
Ce tableau met en évidence les fonctionnalités clés de Microsoft Sentinel pour la réponse aux menaces.
| Fonctionnalité | Description | Prise en main |
|---|---|---|
| Règles d’automatisation | Gérez de manière centralisée l’automatisation de la gestion des incidents dans Microsoft Sentinel en définissant et en coordonnant un petit ensemble de règles qui couvrent différents scénarios. | Automatiser la réponse aux menaces dans Microsoft Sentinel avec des règles d’automatisation |
| Playbooks | Automatisez et orchestrez votre réponse aux menaces à l’aide de playbooks, qui sont un ensemble d’actions de correction. Exécutez un playbook à la demande ou automatiquement en réponse à des alertes ou incidents spécifiques, quand ils sont déclenchés par une règle d’automatisation. Pour créer des playbooks avec Azure Logic Apps, choisissez parmi une galerie de connecteurs en constante expansion pour différents services et systèmes comme ServiceNow, Jira, etc. Ces connecteurs vous permettent d’appliquer une logique personnalisée dans votre workflow. |
Automatiser la réponse aux menaces avec des playbooks dans Microsoft Sentinel Liste de tous les connecteurs d’application logique |
Microsoft Sentinel dans le chronologie de mise hors service Portail Azure
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, y compris pour les clients sans Microsoft Defender XDR ou licence E5. Cela signifie que vous pouvez utiliser Microsoft Sentinel dans le portail Defender même si vous n’utilisez pas d’autres services Microsoft Defender.
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender.
Si vous utilisez actuellement Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender dès maintenant pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Microsoft Sentinel dans le portail Microsoft Defender
- Transition de votre environnement Microsoft Sentinel vers le portail Defender
- Planification de votre passage au portail Microsoft Defender pour tous les clients Microsoft Sentinel (blog)
Modifications pour les nouveaux clients à partir de juillet 2025
Pour les modifications décrites dans cette section, les nouveaux Microsoft Sentinel clients sont des clients qui intègrent le premier espace de travail de leur locataire à Microsoft Sentinel.
À compter de juillet 2025, ces nouveaux clients qui disposent également des autorisations d’un propriétaire d’abonnement ou d’un administrateur de l’accès utilisateur et qui ne sont pas Azure utilisateurs délégués lighthouse, ont automatiquement intégré leurs espaces de travail au portail Defender avec l’intégration à Microsoft Sentinel.
Les utilisateurs de ces espaces de travail, qui ne sont pas non plus Azure utilisateurs délégués Lighthouse, voient des liens dans Microsoft Sentinel dans le Portail Azure qui les redirigent vers le portail Defender.
Par exemple :
Ces utilisateurs utilisent Microsoft Sentinel dans le portail Defender uniquement.
Les nouveaux clients qui ne disposent pas des autorisations appropriées ne sont pas automatiquement intégrés au portail Defender, mais ils voient toujours des liens de redirection dans le Portail Azure, ainsi que des invites pour qu’un utilisateur disposant des autorisations appropriées intègre manuellement l’espace de travail au portail Defender.
Ce tableau récapitule ces expériences :
| Type de client | Expérience |
|---|---|
| Clients existants qui créent des espaces de travail dans un locataire où un espace de travail est déjà activé pour Microsoft Sentinel | Les espaces de travail ne sont pas intégrés automatiquement et les utilisateurs ne voient pas les liens de redirection |
| Azure utilisateurs délégués Lighthouse qui créent des espaces de travail dans n’importe quel locataire | Les espaces de travail ne sont pas intégrés automatiquement et les utilisateurs ne voient pas les liens de redirection |
| Nouveaux clients qui intègrent le premier espace de travail de leur locataire à Microsoft Sentinel |
-
Les utilisateurs disposant des autorisations requises ont automatiquement intégré leur espace de travail. Les autres utilisateurs de ces espaces de travail voient des liens de redirection dans le Portail Azure. - Les utilisateurs qui ne disposent pas des autorisations requises n’ont pas leur espace de travail automatiquement intégré. Tous les utilisateurs de ces espaces de travail voient des liens de redirection dans le Portail Azure, et un utilisateur disposant des autorisations requises doit intégrer l’espace de travail au portail Defender. |