Démarrage rapide : Intégration de Microsoft Sentinel

Dans ce démarrage rapide, vous allez activer Microsoft Sentinel, puis configurer des connecteurs de données pour surveiller et protéger votre environnement. Après avoir connecté vos sources de données à l’aide des connecteurs de données, vous opérez votre choix dans une galerie de classeurs créés par des experts, qui mettent en avant des insights sur la base de vos données. Vous pouvez aisément adapter ces classeurs à vos besoins.

Microsoft Sentinel est fourni avec de nombreux connecteurs pour les produits Microsoft, par exemple, le connecteur de service à service Microsoft 365 Defender. Vous pouvez également activer des connecteurs intégrés pour les produits non-Microsoft, par exemple Syslog ou Common Event Format (CEF). En savoir plus sur les connecteurs de données.

Important

Passez en revue les tarifs de Microsoft Sentinel et les informations de facturation de Microsoft Sentinel.

Conditions préalables globales

• Abonnement Azure actif. Si vous n’en avez pas, créez un compte gratuit avant de commencer.

• Espace de travail Log Analytics. Découvrez comment créer un espace de travail Log Analytics. Pour plus d’informations sur les espaces de travail Log Analytics, consultez Conception de votre déploiement de journaux Azure Monitor.

  Vous pouvez avoir une valeur par défaut de 30 jours de rétention dans l’espace de travail Log Analytics utilisé pour Microsoft Sentinel. Pour vous assurer que vous pouvez utiliser toutes les fonctions et fonctionnalités de Microsoft Sentinel, augmentez la rétention à 90 jours. Configurer des stratégies d’archivage et de conservation des données dans les journaux Azure Monitor.

• Autorisations :

  • Pour activer Microsoft Sentinel, vous avez besoin d’autorisations de contributeur sur l’abonnement dans lequel réside l’espace de travail Microsoft Sentinel.

  • Pour utiliser Microsoft Sentinel, vous avez besoin d’autorisations de contributeur ou de lecteur sur le groupe de ressources auquel appartient l’espace de travail.

  • Vous pouvez avoir besoin d’autorisations supplémentaires pour vous connecter à des sources de données spécifiques.

• Microsoft Sentinel est un service payant. Passez en revue les options de tarification et la page de tarification de Microsoft Sentinel.

• Évaluez les activités de prédéploiement et les conditions préalables au déploiement de Microsoft Sentinel.

Activer Microsoft Sentinel

1. Connectez-vous au portail Azure. Assurez-vous que l’abonnement dans lequel est créé Microsoft Sentinel est bien sélectionné.

2. Recherchez et sélectionnez Microsoft Sentinel.

   

3. Sélectionnez Ajouter.

4. Sélectionnez l’espace de travail que vous souhaitez utiliser ou créez-en un. Vous pouvez exécuter Microsoft Sentinel sur plusieurs espaces de travail, mais les données sont isolées sur un seul espace de travail. Notez que les espaces de travail par défaut créés par Microsoft Defender pour le cloud ne sont pas affichés dans la liste. Vous ne pouvez pas installer Microsoft Sentinel sur ces espaces de travail.

   

   Important

   • Une fois déployé dans un espace de travail, Microsoft Sentinel ne prend pas en charge le déplacement de cet espace de travail vers d’autres groupes de ressources ou abonnements.

     Si vous avez déjà déplacé l’espace de travail, désactivez toutes les règles actives dans Analytics, puis réactivez-les après cinq minutes. Cela doit fonctionner la plupart du temps, mais ce n’est, pour rappel, pas pris en charge et est sous votre entière responsabilité.

5. Sélectionnez Ajouter Microsoft Sentinel.

Configuration des connecteurs de données

Microsoft Sentinel ingère les données des services et des applications en se connectant à ceux-ci et en se transférant les événements et les journaux.

• Pour les machines physiques et virtuelles, vous pouvez installer l’agent Log Analytics qui collecte les journaux et les transfère à Microsoft Sentinel.
• Pour les pare-feu et les proxys, Microsoft Sentinel installe l’agent Log Analytics sur un serveur Syslog Linux, à partir duquel l’agent collecte les fichiers journaux et les transfère à Microsoft Sentinel.

1. Dans le menu principal, sélectionnez Connecteurs de données. La galerie des connecteurs de données s’ouvre.

2. Sélectionnez un connecteur de données, puis le bouton Ouvrir la page du connecteur.

3. La page du connecteur affiche des instructions sur la configuration du connecteur, ainsi que des instructions supplémentaires qui peuvent être nécessaires.

   Par exemple, si vous sélectionnez le connecteur de données Azure Active Directory, qui vous permet d’envoyer en streaming des journaux d’Azure AD vers Microsoft Sentinel, vous pouvez sélectionner le type de journal que vous voulez obtenir : journaux de connexion et/ou journaux d’audit.
   Suivez les instructions d'installation. Pour en savoir plus, lisez le guide de connexion approprié ou découvrez les connecteurs de données Microsoft Sentinel.

4. L’onglet Étapes suivantes de la page du connecteur affiche les modèles de règle d’analytique, exemples de requêtes et classeurs intégrés appropriés qui accompagnent le connecteur de données. Vous pouvez les utiliser tels quels ou les modifier ; dans les deux cas, vous pouvez obtenir immédiatement des insights intéressants sur vos données.

Une fois que vos connecteurs de données sont configurés, ils commencent à être envoyés en streaming dans Microsoft Sentinel et peuvent être utilisés. Vous pouvez afficher les journaux dans les classeurs intégrés et commencer à créer des requêtes dans Log Analytics pour examiner les données.

Passez en revue les meilleures pratiques de collecte de données.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :

• Options de déploiement/gestion alternatives :

  • Déployer Microsoft Sentinel via un modèle ARM
  • Gérer Microsoft Sentinel via une API
  • Gérer Microsoft Sentinel via PowerShell

• Démarrage :

  • Bien démarrer avec Microsoft Sentinel
  • Créer des règles d’analytique personnalisées pour détecter des menaces
  • Connectez votre solution externe en utilisant le format CEF