Qu’est-ce que Azure Sentinel ?

Microsoft Sentinel est une solution SIEM (Security Information and Event Management) native cloud et une plateforme de sécurité unifiée pour la défense agentique. Pour répondre aux exigences des menaces complexes d’aujourd’hui, Microsoft Sentinel est passé d’un SIEM traditionnel à un SIEM et une plateforme , qui s’étend au-delà des contrôles statiques basés sur des règles et de la réponse post-violation pour fournir une base prête pour l’IA et axée sur les données qui transforme la télémétrie en un graphique de sécurité, normalise l’accès pour les agents et coordonne les actions autonomes, tout en maintenant les humains dans le commandement de la stratégie et des enquêtes à fort impact.

En tant que SIEM, Microsoft Sentinel offre une sécurité pilotée par l’IA dans les environnements multiclouds et multiplateformes, offrant des fonctionnalités robustes pour la détection des menaces, l’investigation, la chasse, la réponse et l’interruption automatisée des attaques. En tant que plateforme, Microsoft Sentinel fournit une base basée sur un lac de données moderne pour des insights approfondis, des fonctionnalités graphiques pour l’analyse contextuelle, un serveur MCP (Model Context Protocol) hébergé pour les outils prêts pour les agents et des fonctionnalités de développement pour la création et le déploiement de solutions via le magasin de sécurité.

Cet article fournit une vue d’ensemble de Microsoft Sentinel et de ses composants principaux. Il explique comment Microsoft Sentinel aide les équipes des opérations de sécurité à détecter et à répondre aux menaces, et à s’adapter en permanence en unifiant les données, en automatisant les réponses et en dérivant des insights pilotés par l’IA.

Plateforme SIEM de bout en bout et de sécurité axée sur l’IA

Ce diagramme illustre l’Microsoft Sentinel plateforme SIEM et de sécurité de bout en bout, axée sur l’IA, en mettant en évidence ses composants principaux et son intégration à Microsoft Security Copilot.

Microsoft Sentinel SIEM

La solution SIEM Microsoft Sentinel native cloud offre une sécurité basée sur l’IA dans les environnements multiclouds et multiplateformes. Il fournit des fonctionnalités complètes pour la détection des menaces, l’investigation, la réponse et la chasse proactive, offrant aux équipes de sécurité une vue unifiée de leur entreprise.

Microsoft Sentinel SIEM est disponible dans le portail Microsoft Defender , pour les clients avec ou sans Defender XDR ou une licence E5, offrant une expérience unifiée des opérations de sécurité. Cette intégration simplifie les flux de travail, améliore la visibilité et aide les analystes à répondre plus rapidement et plus précisément aux menaces de plus en plus complexes.

L’intégration de Microsoft Sentinel SIEM au portail Defender et Security Copilot crée un écosystème puissant qui améliore les opérations de sécurité. Security Copilot permet aux analystes d’interagir avec les données Microsoft Sentinel à l’aide du langage naturel, de générer des requêtes de repérage et d’automatiser les investigations, ce qui rend la réponse aux menaces plus rapide et plus accessible.

Pour plus d’informations, consultez Qu’est-ce que Microsoft Sentinel SIEM ?

Connecteurs de données

Collectez des données sur l’ensemble de votre patrimoine numérique où que les données résident, y compris tous les utilisateurs, appareils, applications et infrastructure, à la fois localement et dans plusieurs clouds :

• Plus de 350 connecteurs de données prêtes à l’emploi avec prise en charge des solutions de sécurité internes et tierces et des plateformes cloud

• Une expérience de gestion des tables intégrée qui simplifie la sélection du stockage des données, en prenant en charge le placement hiérarchisé entre les niveaux analytique et data lake.

• Les données ingérées dans le niveau analytique sont automatiquement mises en miroir dans le niveau data lake, ce qui garantit que le niveau data lake reste le référentiel central et unifié pour toutes les données de sécurité.

• Options de connecteur sans code et personnalisées

• Normalisation des données pour traduire diverses sources en une vue uniforme et normalisée

Pour plus d’informations, consultez connecteurs de données Microsoft Sentinel.

Composants de base de la plateforme Microsoft Sentinel

Microsoft Sentinel Data Lake

Microsoft Sentinel data lake est un lac de données natif cloud entièrement managé et conçu pour les opérations de sécurité. Il unifie, conserve et analyse les données de sécurité à grande échelle, ce qui constitue la base de l’analytique avancée, des insights pilotés par l’IA et de la défense agentique.

Conçu pour la flexibilité et la profondeur, le lac de données prend en charge l’analytique multimodale , notamment les requêtes Kusto, l’analyse des relations basée sur les graphes, le langage MML (Microsoft Modeling Language), les agents de Security Copilot et les notebooks basés sur l’IA dans Visual Studio Code , le tout sur une seule copie de données au format ouvert.

Avec un stockage économique et une conservation à long terme, les équipes de sécurité peuvent examiner les menaces persistantes, enrichir les alertes avec le contexte historique et créer des bases de référence comportementales à l’aide de mois de données, sans la surcharge de l’infrastructure traditionnelle.

Microsoft Sentinel principales fonctionnalités du lac de données sont les suivantes :

• Centralise les journaux de Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune et plus de 350 connecteurs de données , y compris Amazon Web Services (AWS) et Google Cloud Platform (GCP) pour éliminer les silos de données.

• Optimise les coûts en découplant l’ingestion des données de l’analytique, ce qui vous permet de stocker d’énormes volumes de données de sécurité et d’appliquer les moteurs d’analyse les plus efficaces pour les tâches telles que la chasse aux menaces, la détection des anomalies et les investigations d’investigation approfondies.

• Active l’analytique modale sur une seule copie de données au format ouvert à l’aide de requêtes Kusto, de travaux planifiés et de notebooks basés sur l’IA dans Visual Studio Code, sans configuration d’infrastructure requise.

Pour plus d’informations, consultez Qu’est-ce que Microsoft Sentinel lac de données ?

Graphe Microsoft Sentinel

Microsoft Sentinel graph fournit une fonctionnalité d’analyse de graphe unifiée en modélisant et en analysant les relations complexes entre les ressources, les identités, les activités et le renseignement sur les menaces. Il permet aux microsoft defenders et aux agents IA de raisonner sur les données interconnectées, offrant des insights plus approfondis et une réponse plus rapide aux cybermenaces.

Microsoft Sentinel fonctionnalités clés du graphe sont les suivantes :

• Analytique unifiée basée sur des graphiques qui alimentent les expériences intégrées dans la sécurité, la conformité, l’identité et l’écosystème de sécurité Microsoft.
• Modélisation des relations réelles qui utilise des nœuds et des arêtes pour représenter les utilisateurs, les appareils, les ressources cloud, les flux de données et les actions des attaquants.
• Amélioration du raisonnement des menaces pour aider les defenders à répondre à des questions complexes, telles que les chemins vulnérables qu’un attaquant pourrait emprunter d’une entité compromise à une ressource critique.
• Défense de bout en bout avec prise en charge des scénarios pré-violation et post-violation, à l’aide de graphes interconnectés entre Microsoft Defender et Microsoft Purview.

Pour plus d’informations, consultez Qu’est-ce que Microsoft Sentinel graphique ?

Microsoft Sentinel serveur MCP (Model Context Protocol)

Microsoft Sentinel serveur MCP fournit une interface unifiée et hébergée qui permet aux équipes de sécurité d’interagir avec les données de sécurité en langage naturel et de créer des agents de sécurité intelligents, sans configuration de l’infrastructure ni connecteurs personnalisés. Cette intégration simplifie l’exploration et l’automatisation des données, ce qui rend les opérations de sécurité pilotées par l’IA plus accessibles et plus efficaces.

Microsoft Sentinel principales fonctionnalités du serveur MCP sont les suivantes :

• Interface hébergée qui utilise Microsoft Entra pour l’identité et prend en charge les clients compatibles pour les opérations d’IA transparentes.
• Outils de sécurité en langage naturel, y compris les outils axés sur les scénarios pour interroger et raisonner sur Microsoft Sentinel lac de données sans connaissances de schéma ni codage.
• Création accélérée d’agents grâce à laquelle les ingénieurs peuvent créer des agents de sécurité personnalisés à l’aide du langage naturel, ce qui réduit les efforts manuels et accélère l’automatisation.
• L’intégration native au lac de données de Microsoft Sentinel permet une ingénierie de contexte enrichie sans compromettre la couverture ou le coût des données.

Pour plus d’informations, consultez Quelle est la prise en charge par Microsoft Sentinel du protocole MCP (Model Context Protocol) ?

Microsoft Sentinel l’expérience des développeurs

Microsoft Sentinel offre aux partenaires des fonctionnalités étendues pour créer des solutions percutantes qu’ils peuvent publier via le Microsoft Security Store ou le Microsoft Sentinel SIEM Content Hub. En vous appuyant sur Microsoft Sentinel, vous pouvez prendre en charge de nouveaux scénarios à l’aide d’un large éventail de données de sécurité, de fonctionnalités de traitement et d’expériences d’IA, sans avoir besoin de nouveaux pipelines, moteurs de calcul ou infrastructure de stockage.

Par exemple, les partenaires peuvent créer, empaqueter et publier :

• Microsoft Sentinel du contenu SIEM tel que des connecteurs, des règles analytiques, des requêtes de chasse et des playbooks.
• Microsoft Sentinel contenu de la plateforme, comme les connecteurs, les travaux de notebook Jupyter pour analyser les données et les agents qui mettent en corrélation ces données avec le contenu de lac existant. L’agent peut ensuite interagir avec d’autres points de terminaison et applications externes pour fournir aux clients une expérience unifiée puissante.

Pour plus d’informations, consultez Générer et publier des solutions Microsoft Sentinel.

Prise en main

Pour commencer à utiliser la plateforme Microsoft Sentinel et SIEM, consultez :

• Intégrer Microsoft Sentinel
• Intégrer à Microsoft Sentinel data lake et Microsoft Sentinel graph
• connecteur de données Microsoft Sentinel
• Bien démarrer avec Microsoft Sentinel serveur MCP (préversion)
• Gérer les niveaux de données et la rétention dans Microsoft Defender portail (préversion)
• Gérer et surveiller les coûts des Microsoft Sentinel
• Notebooks Jupyter dans le lac de données Microsoft Sentinel
• Créer et publier des solutions Microsoft Sentinel