Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans ce guide de démarrage rapide, vous allez activer Microsoft Sentinel et installer une solution à partir du hub de contenu. Ensuite, vous allez configurer un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel.
Microsoft Sentinel est fourni avec de nombreux connecteurs de données pour les produits Microsoft, tels que le connecteur Microsoft Defender XDR service à service. Vous pouvez également activer des connecteurs intégrés pour des produits non-Microsoft tels que Syslog ou CEF (Common Event Format). Pour ce guide de démarrage rapide, vous allez utiliser le connecteur de données d’activité Azure disponible dans la solution Azure Activity pour Microsoft Sentinel.
Pour intégrer à Microsoft Sentinel à l’aide de l’API, consultez la dernière version prise en charge des états d’intégration Sentinel.
Configuration requise
Abonnement Azure actif. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
Autorisations :
Pour activer Microsoft Sentinel, vous devez contributeur autorisations sur l’abonnement dans lequel réside l’espace de travail Microsoft Sentinel.
Pour utiliser Microsoft Sentinel, vous avez besoin Microsoft Sentinel autorisations Contributeur ou Lecteur Microsoft Sentinel sur le groupe de ressources auquel appartient l’espace de travail.
Pour installer ou gérer des solutions dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel sur le groupe de ressources auquel appartient l’espace de travail.
Si vous êtes un nouveau client Microsoft Sentinel et que vous disposez des autorisations d’un propriétaire d’abonnement ou d’un administrateur de l’accès utilisateur, votre espace de travail est automatiquement intégré au portail Defender. Les utilisateurs de ces espaces de travail utilisent Microsoft Sentinel dans le portail Defender uniquement.
Microsoft Sentinel est un service payant. Passez en revue les options de tarification et la page de tarification Microsoft Sentinel.
Avant de déployer Microsoft Sentinel dans un environnement de production, passez en revue les activités de prédéploiement et les prérequis pour le déploiement de Microsoft Sentinel.
Créer un espace de travail Log Analytics
Microsoft Sentinel doivent être ajoutés à un espace de travail. Si vous disposez déjà d’un espace de travail Log Analytics, passez à l’ajout de Microsoft Sentinel à votre espace de travail Log Analytics. Si vous n’avez pas encore d’espace de travail Log Analytics, vous pouvez en créer un en suivant les instructions ci-dessous ou, pour obtenir une explication plus détaillée, accédez à Créer un espace de travail Log Analytics. Pour plus d’informations sur les espaces de travail Log Analytics, consultez Conception de votre déploiement de journaux Azure Monitor.
Vous pouvez avoir une conservation par défaut de 30 jours dans l’espace de travail Log Analytics utilisé pour Microsoft Sentinel. Pour vous assurer que vous pouvez utiliser toutes les fonctionnalités Microsoft Sentinel, augmentez la conservation à 90 jours. Configurez des stratégies de conservation et d’archivage des données dans Azure Monitor Logs.
Connectez-vous au Portail Azure.
Recherchez et sélectionnez Microsoft Sentinel.
Sélectionnez Créer.
Sélectionnez Créer un nouvel espace de travail.
SousGroupe de ressourcesd’abonnement>, sélectionnez Créer. Entrez un nom pour votre groupe de ressources, puis sélectionnez OK.
Donnez un nom à l’espace de travail et sélectionnez une région, puis sélectionnez Vérifier + créer. (Voir les régions dans lesquelles Log Analytics est disponible.)
Une fois la validation réussie, sélectionnez Créer. Attendez que votre déploiement soit terminé.
Ajouter Microsoft Sentinel à votre espace de travail Log Analytics
Dans la Portail Azure, recherchez et sélectionnez Microsoft Sentinel.
Sélectionnez Créer.
Sélectionnez l’espace de travail que vous souhaitez utiliser, puis sélectionnez Ajouter. Vous pouvez exécuter Microsoft Sentinel sur plusieurs espaces de travail, mais les données sont isolées dans un seul espace de travail.
- Les espaces de travail par défaut créés par Microsoft Defender pour le cloud ne sont pas affichés dans la liste. Vous ne pouvez pas installer Microsoft Sentinel sur ces espaces de travail.
- Une fois déployé sur un espace de travail, Microsoft Sentinel ne prend pas en charge le déplacement de cet espace de travail vers un autre groupe de ressources ou un autre abonnement.
Remarque
Si votre espace de travail n’est pas automatiquement intégré au portail Defender, nous vous recommandons de l’intégrer pour une expérience unifiée de gestion des opérations de sécurité (SecOps) sur Microsoft Sentinel et d’autres services de sécurité Microsoft. Pour plus d’informations, consultez Intégrer Microsoft Sentinel au portail Defender.
Si votre espace de travail est automatiquement intégré ou si vous décidez d’intégrer votre espace de travail maintenant, vous pouvez poursuivre les procédures décrites dans cet article à partir du portail Defender. Si c’est la première fois que vous utilisez le portail Defender, il y aura un délai de quelques minutes pendant la fin du processus.
Accéder aux Microsoft Sentinel dans le portail Defender
Pour accéder à Microsoft Sentinel dans le portail Defender :
Connectez-vous au portail Defender.
La première fois que vous accédez au portail Defender, l’approvisionnement de votre locataire prend un certain temps.
Une fois provisionné, vous verrez Microsoft Sentinel disponibles dans le volet de navigation, avec Microsoft Sentinel nœuds imbriqués. Par exemple :
Faites défiler vers le bas dans le volet de navigation, puis sélectionnez Paramètres > Microsoft Sentinel > Espaces de travail pour afficher les espaces de travail intégrés au portail Defender et disponibles.
Le portail Defender prend en charge plusieurs espaces de travail, un espace de travail faisant office d’espace de travail principal par locataire. Pour plus d’informations, consultez Plusieurs espaces de travail Microsoft Sentinel dans le portail Defender et Microsoft Defender la gestion multilocataire.
Installer une solution à partir du hub de contenu
Le hub de contenu dans Microsoft Sentinel est l’emplacement centralisé pour découvrir et gérer du contenu prête à l’emploi, y compris les connecteurs de données. Pour ce guide de démarrage rapide, installez la solution pour Azure’activité.
Dans Microsoft Sentinel, accédez à la page Hub de contenu, puis recherchez et sélectionnez la solution d’activité Azure.
Dans le volet détails de la solution sur le côté, sélectionnez Installer.
Configurer le connecteur de données
Microsoft Sentinel ingère les données des services et des applications en se connectant au service et en transférant les événements et les journaux à Microsoft Sentinel. Pour ce guide de démarrage rapide, installez le connecteur de données pour transférer les données de Azure’activité à Microsoft Sentinel.
Dans Microsoft Sentinel, sélectionnezConnecteurs de données de configuration>, puis recherchez et sélectionnez le connecteur de données d’activité Azure.
Dans le volet d’informations du connecteur, sélectionnez Ouvrir la page du connecteur. Suivez les instructions de la page connecteur d’activité Azure pour configurer le connecteur de données.
Sélectionnez Lancer Azure Policy’Assistant Affectation.
Sous l’onglet Informations de base, définissez l’étendue sur l’abonnement et le groupe de ressources qui a l’activité à envoyer à Microsoft Sentinel. Par exemple, sélectionnez l’abonnement qui contient votre Microsoft Sentinel instance.
Sélectionnez l’onglet Paramètres et définissez l’espace de travail Log Analytics principal. Il doit s’agir de l’espace de travail dans lequel Microsoft Sentinel est installé.
Sélectionnez Vérifier + créer et Créer.
Générer des données d’activité
Nous allons générer des données d’activité en activant une règle qui a été incluse dans la solution Azure Activity pour Microsoft Sentinel. Cette étape vous montre également comment gérer le contenu dans le hub de contenu.
Dans Microsoft Sentinel, sélectionnez Hub de contenu, puis recherchez et sélectionnez le modèle de règle de déploiement de ressources suspectes dans la solution activité Azure.
Dans le volet d’informations, sélectionnez Créer une règle pour créer une règle à l’aide de l’Assistant Règle d’analyse.
Dans la page De l’Assistant Règle d’analyse - Créer une règle planifiée , définissez l’État sur Activé.
Sous cet onglet et tous les autres onglets de l’Assistant, laissez les valeurs par défaut telles quelles.
Sous l’onglet Vérifier et créer , sélectionnez Créer.
Afficher les données ingérées dans Microsoft Sentinel
Maintenant que vous avez activé le connecteur de données d’activité Azure et généré des données d’activité, nous allons afficher les données d’activité ajoutées à l’espace de travail.
Dans Microsoft Sentinel, sélectionnezConnecteurs de données de configuration>, puis recherchez et sélectionnez le connecteur de données d’activité Azure.
Dans le volet d’informations du connecteur, sélectionnez Ouvrir la page du connecteur.
Passez en revue l’état du connecteur de données. Il doit être Connecté.
Sélectionnez un onglet pour continuer, en fonction du portail que vous utilisez :
Sélectionnez Accéder à Log Analytics pour ouvrir la page Repérage avancé .
En haut du volet, en regard de l’onglet Nouvelle requête , sélectionnez pour + ajouter un nouvel onglet de requête.
Exécutez la requête suivante pour afficher la date d’activité ingérée dans l’espace de travail :
AzureActivity
Par exemple :
Étapes suivantes
Dans ce guide de démarrage rapide, vous avez activé Microsoft Sentinel et installé une solution à partir du hub de contenu. Ensuite, vous configurez un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel. Vous avez également vérifié que les données sont ingérées en les affichant dans l’espace de travail.
Si vous êtes un nouveau client qui a été automatiquement intégré au portail Defender, vos utilisateurs accèdent à Microsoft Sentinel uniquement dans le portail Defender. Lorsque vous utilisez la documentation Microsoft Sentinel, veillez à sélectionner la version du portail Defender de la documentation.
- Pour visualiser les données que vous avez collectées à l’aide des tableaux de bord et des classeurs, consultez Visualiser les données collectées.
- Pour détecter les menaces à l’aide de règles d’analyse, consultez Tutoriel : Détecter les menaces à l’aide de règles d’analyse dans Microsoft Sentinel.