Partager via

Présentation de Microsoft Sentinel

Microsoft Sentinel est une plateforme de gestion des informations de sécurité et des événements (SIEM) unifiée et native du cloud pour la défense agentique. Pour répondre aux exigences des menaces complexes d’aujourd’hui, Microsoft Sentinel a évolué d’un SIEM traditionnel à une plateforme SIEM, qui s’étend au-delà des contrôles statiques, des contrôles basés sur des règles et de la réponse post-violation pour fournir une base de données prête à l’IA qui transforme les données de télémétrie en graphique de sécurité, normalise l’accès aux agents et coordonne les actions autonomes, tout en conservant les humains en commande des enquêtes stratégiques et à impact élevé.

En tant que SIEM, Microsoft Sentinel offre une sécurité basée sur l’IA dans les environnements multiclouds et multiplateformes, offrant des fonctionnalités robustes pour la détection des menaces, l’investigation, la chasse, la réponse et l’interruption automatisée des attaques. En tant que plateforme, Microsoft Sentinel fournit une base basée sur un lac de données moderne pour des insights approfondis, des fonctionnalités graphiques pour l’analyse contextuelle, un serveur MCP (Model Context Protocol) hébergé pour les outils prêts pour l’agent et les fonctionnalités de développement pour la création et le déploiement de solutions via le Magasin de sécurité.

Cet article fournit une vue d’ensemble de Microsoft Sentinel et de ses composants principaux. Il explique comment Microsoft Sentinel aide les équipes d’opérations de sécurité à détecter et à répondre aux menaces, et à s’adapter en continu en unifiant les données, en automatisant les réponses et en dérivant des insights basés sur l’IA.

Plateforme de sécurité et SIEM de bout en bout, axée sur l'IA

Ce diagramme illustre la plateforme SIEM de bout en bout et de sécurité axée sur l'IA, Microsoft Sentinel, en mettant en lumière ses principaux composants et son intégration avec Microsoft Security Copilot.

Un diagramme illustrant la plateforme de sécurité et de SIEM de bout en bout orientée IA de Microsoft Sentinel.

Microsoft Sentinel SIEM

La solution SIEM Microsoft Sentinel native dans le cloud offre une sécurité basée sur l’IA dans les environnements multiclouds et multiplateformes. Il fournit des fonctionnalités complètes pour la détection des menaces, l’investigation, la réponse et la chasse proactive, ce qui donne aux équipes de sécurité une vue unifiée de leur entreprise.

Microsoft Sentinel SIEM est disponible dans le portail Microsoft Defender , pour les clients disposant ou sans licence Defender XDR ou E5, offrant une expérience unifiée des opérations de sécurité. Cette intégration simplifie les flux de travail, améliore la visibilité et aide les analystes à répondre plus rapidement et plus précisément aux menaces de plus en plus complexes.

L’intégration de Microsoft Sentinel SIEM avec le portail Defender et Security Copilot crée un écosystème puissant qui améliore les opérations de sécurité. Security Copilot permet aux analystes d’interagir avec les données Microsoft Sentinel à l’aide du langage naturel, de générer des requêtes de chasse et d’automatiser les enquêtes, ce qui rend la réponse aux menaces plus rapide et plus accessible.

Pour plus d’informations, consultez Qu’est-ce que Microsoft Sentinel SIEM ?.

Connecteurs de données

Collectez des données dans l’ensemble de votre patrimoine numérique, où que les données résident, y compris tous les utilisateurs, appareils, applications et infrastructure, localement et dans plusieurs clouds :

  • Plus de 350 connecteurs de données prêts à l'emploi avec prise en charge des solutions de sécurité propriétaires et tierces ainsi que des plateformes cloud.

  • Une expérience de gestion de table intégrée qui simplifie la sélection du stockage des données, la prise en charge du placement hiérarchisé entre les niveaux analytique et data lake.

  • Les données ingérées dans le niveau Analytique sont automatiquement mises en miroir dans le niveau Data Lake, ce qui garantit que le niveau Data Lake reste le référentiel centralisé et unifié pour toutes les données de sécurité.

  • Options de connecteurs sans code et personnalisés

  • Normalisation des données pour traduire différentes sources en vue uniforme et normalisée

Pour plus d’informations, consultez connecteurs de données Microsoft Sentinel.

Composants principaux de la plateforme Microsoft Sentinel

Lac de données Microsoft Sentinel

Le lac de données Microsoft Sentinel est un lac de données natif cloud entièrement managé conçu pour les opérations de sécurité. Il unifie, conserve et analyse les données de sécurité à grande échelle, ce qui constitue la base de l’analytique avancée, des insights basés sur l’IA et de la défense agentique.

Conçu pour apporter une flexibilité et une profondeur, le lac de données prend en charge l’analytique multimodale – notamment les requêtes Kusto, l’analyse des relations basée sur des graphiques, le langage de modélisation Microsoft (MML), les agents Security Copilot et les notebooks basés sur l’intelligence artificielle dans Visual Studio Code – tout sur une seule copie de données au format ouvert.

Avec un stockage économique et une rétention à long terme, les équipes de sécurité peuvent examiner les menaces persistantes, enrichir les alertes avec un contexte historique et créer des bases de référence comportementales à l’aide de mois de données, sans surcharge de l’infrastructure traditionnelle.

Les principales fonctionnalités de Microsoft Sentinel data lake sont les suivantes :

  • Centralise les journaux d’activité de Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune et plus de 350 connecteurs de données ( y compris Amazon Web Services (AWS) et Google Cloud Platform (GCP) pour éliminer les silos de données.

  • Optimise les coûts en découplant l’ingestion des données à partir de l’analytique. Vous pouvez donc stocker des volumes massifs de données de sécurité et appliquer les moteurs d’analyse les plus efficaces pour les tâches telles que la chasse aux menaces, la détection d’anomalies et les enquêtes d’investigation approfondies.

  • Active l’analyse multimodale sur une seule copie de données au format ouvert à l’aide de requêtes Kusto, de travaux planifiés et de notebooks basés sur l’intelligence artificielle dans Visual Studio Code. Aucune configuration de l’infrastructure n’est requise.

Pour plus d’informations, consultez Qu’est-ce que Le lac de données Microsoft Sentinel ?.

Graphe Microsoft Sentinel

Microsoft Sentinel graph fournit une fonctionnalité d’analytique de graphique unifiée en modélisant et en analysant des relations complexes entre les ressources, les identités, les activités et le renseignement sur les menaces. Il permet aux agents Microsoft Defenders et IA de raisonner sur les données interconnectées, offrant des insights plus approfondis et une réponse plus rapide aux cybermenaces.

Les principales fonctionnalités de Microsoft Sentinel graph sont les suivantes :

  • Analytique unifiée basée sur des graphiques qui alimente les expériences intégrées dans l’ensemble de la sécurité, de la conformité, de l’identité et de l’écosystème de sécurité Microsoft.
  • Modélisation de relation réelle qui utilise des nœuds et des arêtes pour représenter les utilisateurs, les appareils, les ressources cloud, les flux de données et les actions des attaquants.
  • Raisonnement amélioré des menaces pour aider les Defenders à répondre à des questions complexes, telles que les chemins vulnérables qu’un attaquant peut emprunter d’une entité compromise à une ressource critique.
  • Défense de bout en bout avec prise en charge des scénarios de pré-violation et de post-violation, à l’aide de graphiques interconnectés entre Microsoft Defender et Microsoft Purview.

Pour plus d’informations, consultez Qu’est-ce que Microsoft Sentinel graph ?.

Serveur MCP (Microsoft Sentinel Model Context Protocol)

Le serveur MCP Microsoft Sentinel fournit une interface unifiée hébergée qui permet aux équipes de sécurité d’interagir avec les données de sécurité à l’aide du langage naturel et de créer des agents de sécurité intelligents , sans configuration d’infrastructure ou connecteurs personnalisés. Cette intégration simplifie l’exploration et l’automatisation des données, ce qui rend les opérations de sécurité basées sur l’IA plus accessibles et efficaces.

Les principales fonctionnalités du serveur MCP Microsoft Sentinel sont les suivantes :

  • Interface hébergée qui utilise Microsoft Entra pour l'authentification et prend en charge les clients compatibles pour des opérations d'IA fluides.
  • Outils de sécurité en langage naturel, y compris les outils axés sur les scénarios pour interroger et raisonner sur le lac de données Microsoft Sentinel sans connaissance de schéma ni codage.
  • Création accélérée d’agents par lequel les ingénieurs peuvent créer des agents de sécurité personnalisés à l’aide du langage naturel, ce qui réduit l’effort manuel et accélère l’automatisation.
  • L’intégration native avec le lac de données de Microsoft Sentinel permet une ingénierie contextuelle enrichie sans compromettre la couverture des données ou le coût.

Pour plus d’informations, consultez La prise en charge de Microsoft Sentinel pour le protocole MCP (Model Context Protocol) ?.

Expérience du développeur Microsoft Sentinel

Microsoft Sentinel offre des fonctionnalités étendues aux partenaires pour créer des solutions impactantes qu’ils peuvent publier via le Microsoft Security Store ou le Hub de contenu SIEM Microsoft Sentinel. En plus de Microsoft Sentinel, vous pouvez prendre en charge de nouveaux scénarios à l’aide d’un large éventail de données de sécurité, de fonctionnalités de traitement et d’expériences IA, sans avoir besoin de nouveaux pipelines, moteurs de calcul ou infrastructure de stockage.

Par exemple, les partenaires peuvent créer, empaqueter et publier :

  • Contenu SIEM Microsoft Sentinel, comme les connecteurs, les règles analytiques, les requêtes de repérage et les playbooks.
  • Contenu de la plateforme Microsoft Sentinel, tel que des connecteurs, des travaux de notebook Jupyter pour analyser les données et des agents qui mettent en corrélation ces données avec le contenu de lac existant. L’agent peut ensuite interagir avec d’autres points de terminaison et applications externes pour fournir aux clients une expérience unifiée puissante.

Pour plus d’informations, consultez Générer et publier des solutions Microsoft Sentinel.

Get started

Pour commencer à utiliser la plateforme Microsoft Sentinel et SIEM, consultez :

  • Last updated on