Activités de prédéploiement et prérequis pour le déploiement de Microsoft Sentinel

Cet article présente les activités de prédéploiement et les conditions préalables au déploiement de Microsoft Sentinel.

Activités de prédéploiement

Avant de déployer Microsoft Sentinel, nous vous recommandons de suivre les étapes ci-dessous pour vous aider à tirer le meilleur parti de votre déploiement, dès que possible.

  1. Déterminez les sources de données dont vous avez besoin et les critères de taille des données pour vous aider à projeter avec précision le budget et la chronologie de votre déploiement.

    Vous pouvez déterminer ces informations lors de la révision de vos cas d’usage métier ou en évaluant une solution SIEM que vous avez déjà en place. Si vous disposez déjà d’une solution SIEM, analysez vos données pour comprendre quelles sources de données ont le plus de valeur et doivent être ingérées dans Microsoft Sentinel.

  2. Concevez votre espace de travail Microsoft Sentinel. Tenez compte de paramètres tels que les suivants :

    • Utilisation d’un seul locataire ou de plusieurs locataires
    • Toutes les exigences de conformité que vous avez pour la collecte et le stockage des données
    • Mode de contrôle de l’accès aux données Microsoft Sentinel

    Pour plus d’informations, consultez Bonnes pratiques pour l’architecture de l’espace de travail et Exemples de conceptions d’espaces de travail.

  3. Une fois que les cas d’usage métier, les sources de données et les critères de taille de données ont été identifiés, commencez à planifier votre budget, en tenant compte des implications sur le coût de chaque scénario planifié.

    Assurez-vous que votre budget couvre le coût de l’ingestion des données pour Microsoft Sentinel et Azure Log Analytics, tous les playbooks à déployer, etc.

    Pour plus d'informations, consultez les pages suivantes :

  4. Nommez un ingénieur ou un architecte chargé du déploiement, en fonction des besoins et des chronologies. Cette personne doit mener le déploiement et être le point de contact principal de votre équipe.

Éléments requis pour le locataire Azure

Avant de déployer Microsoft Sentinel, assurez-vous que votre locataire Azure dispose des éléments requis suivants :

Nous vous recommandons, lors de la configuration de votre espace de travail Microsoft Sentinel, de créer un groupe de ressources dédié à Microsoft Sentinel et aux ressources que Microsoft Sentinel utilise, notamment l’espace de travail Log Analytics, les playbooks, les classeurs, etc.

Un groupe de ressources dédié permet d’attribuer des autorisations en une seule opération, au niveau du groupe de ressources, avec application automatique des autorisations aux ressources pertinentes. La gestion de l’accès par le biais d’un groupe de ressources vous aide à vous assurer que vous utilisez Microsoft Sentinel efficacement sans risque d’émettre des autorisations incorrectes. S’il n’y a pas de groupe de ressources pour Microsoft Sentinel, les ressources sont disséminées entre plusieurs groupes de ressources, pouvant empêcher un utilisateur ou un principal de service d’effectuer une action requise ou de visualiser des données en raison d’autorisations insuffisantes. Pour renforcer le contrôle d’accès sur les ressources par niveaux, utilisez des groupes de ressources supplémentaires destinés à héberger les ressources accessibles uniquement par ces groupes. L’utilisation de plusieurs niveaux de groupes de ressources vous permet de séparer l’accès entre ces niveaux.

Étapes suivantes