Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Le hub de contenu Microsoft Sentinel est votre emplacement centralisé pour découvrir et gérer du contenu prêt à l’emploi (intégré). C’est là que vous trouvez des solutions packagées pour les produits de bout en bout, par domaine ou par secteur. Vous avez également accès à un grand nombre de contributions autonomes hébergées dans notre référentiel GitHub et nos panneaux de fonctionnalités.

  • Découvrez des solutions et des contenus autonomes avec un ensemble cohérent de fonctionnalités de filtrage en fonction de l’état, du type de contenu, du support, du fournisseur et de la catégorie.

  • Installez du contenu dans votre espace de travail en une seule fois ou individuellement.

  • Affichez du contenu en mode Liste et voyez rapidement les solutions qui ont des mises à jour. Mettez à jour les solutions en une seule fois, tandis que le contenu autonome est mis à jour automatiquement.

  • Gérez une solution pour installer ses types de contenu et obtenir les dernières modifications.

  • Configurez du contenu autonome pour créer de nouveaux éléments actifs en fonction du modèle le plus à jour.

Si vous êtes un partenaire qui souhaite créer sa propre solution, consultez le Guide de génération de solutions Microsoft Sentinel pour la création et la publication de solutions.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Pour installer, mettre à jour et supprimer du contenu autonome ou des solutions dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.

Pour plus d’informations sur les autres rôles et autorisations pris en charge pour Microsoft Sentinel, consultez Autorisations dans Microsoft Sentinel.

Découvrir du contenu

Le hub de contenu offre le meilleur moyen de trouver de nouvelles solutions ou de gérer celles qui sont déjà installées.

  1. Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.
    Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Hub de contenu.

    La page Hub de contenu affiche une grille ou une liste de solutions et de contenu autonome pouvant faire l’objet de recherches.

  2. Filtrez la liste affichée, soit en sélectionnant des valeurs spécifiques dans les filtres, soit en entrant une partie du nom ou de la description d’un contenu dans le champ de recherche.

    Pour plus d’informations, consultez Catégories des solutions et du contenu prêt à l’emploi de Microsoft Sentinel.

  3. Sélectionnez Affichage des cartes pour afficher plus d’informations sur une solution.

    Chaque élément de contenu affiche les catégories qui s’y appliquent, et les solutions montrent les types de contenu inclus. Par exemple, dans l’image suivante, la solution Cisco Umbrella présente une catégorie Sécurité - Sécurité du cloud, et cette solution comprend un connecteur de données, des règles d’analytique, des requêtes de chasse, des playbooks et bien plus encore.

Installer ou mettre à jour du contenu

Installez le contenu autonome et les solutions individuellement ou ensemble en bloc. Pour plus d’informations sur les opérations en bloc, consultez Installer et mettre à jour du contenu en bloc dans la section suivante.

Si une solution que vous avez déployée a des mises à jour depuis le dernier déploiement, l’affichage liste affiche Mise à jour dans la colonne d’état. La solution est également incluse dans le nombre de Mises à jour en haut de la page.

Voici un exemple montrant l’installation d’une solution individuelle.

  1. Dans le Hub de contenu, recherchez et sélectionnez la solution.

  2. Dans le volet des détails des solutions, dans le coin inférieur droit, sélectionnez Afficher les détails.

  3. Sélectionnez Créer ou Mettre à jour.

  4. Dans l’onglet De base, entrez l’abonnement, le groupe de ressources et l’espace de travail dans lequel vous déployez la solution. Par exemple :

    Capture d’écran de l’Assistant Installation de la solution, avec l’onglet Bases.

  5. Sélectionnez Suivant pour parcourir les onglets restants à étudier et, dans certains cas, configurer chacun des composants de contenu.

    Les onglets correspondent au contenu proposé par la solution. Des solutions différentes pouvant avoir différents types de contenu, vous ne verrez peut-être pas les mêmes onglets dans chaque solution.

    Vous pourriez également être invité à entrer des informations d’identification pour un service tiers, de sorte que Microsoft Sentinel puisse s’authentifier auprès de vos systèmes. Par exemple, avec des playbooks, vous pourriez vouloir effectuer des actions de réponse comme prévu dans votre système.

  6. Dans l’onglet Vérifier + créer , attendez le message Validation Passed.

  7. Sélectionnez Créer ou Mettre à jour pour déployer la solution. Vous pouvez également sélectionner le lien Télécharger un modèle d’automatisation afin d’obtenir un lien pour déployer la solution en tant que code.

Chaque type de contenu dans la solution peut nécessiter d’autres d’étapes de configuration. Pour plus d’informations, consultez Activer les éléments de contenu dans une solution.

Installer et mettre à jour du contenu en bloc

Le hub de contenu prend en charge un affichage de liste en plus de la vue de carte par défaut. Sélectionnez l’affichage liste pour installer plusieurs solutions et contenus autonomes en même temps. Le contenu autonome est automatiquement mis à jour. Tout contenu actif ou personnalisé créé en fonction de solutions ou de contenu autonome installé à partir du hub de contenu reste intact.

  1. Pour installer ou mettre à jour des éléments en bloc, passez en affichage liste.

  2. Recherchez ou filtrez le contenu que vous souhaitez installer ou mettre à jour en bloc.

  3. Cochez la case pour chaque solution ou contenu autonome que vous souhaitez installer ou mettre à jour.

  4. Sélectionnez le bouton Installer/Mettre à jour. Capture d’écran de l’affichage liste des solutions avec plusieurs solutions sélectionnées et en cours d’installation.

    Si une solution ou un contenu autonome que vous avez sélectionné a déjà été installé ou mis à jour, aucune action n’est effectuée sur cet élément. Cela n’interfère pas avec la mise à jour et l’installation des autres éléments.

  5. Sélectionnez Gérer pour chaque solution que vous avez installée. Les types de contenu au sein de la solution peuvent nécessiter plus d’informations pour vous permettre de les configurer. Pour plus d’informations, consultez Activer les éléments de contenu dans une solution.

Activer les éléments de contenu dans une solution

Gérez de manière centralisée les éléments de contenu pour des solutions installées depuis le hub de contenu.

  1. Dans le hub de contenu, sélectionnez une solution installée où la version est 2.0.0 ou ultérieure.

  2. Dans la page des détails des solutions, sélectionnez Gérer.

    Capture d’écran du bouton Gérer sur la page détails de la solution du hub de contenu d’activité Azure.

  3. Passez en revue la liste des éléments de contenu.

    Capture d’écran de la description de la solution et liste des éléments de contenu pour la solution d’activité Azure.

  4. Sélectionnez un élément de contenu à démarrer.

Gérer chaque type de contenu

Les sections suivantes fournissent des conseils sur l’utilisation des différents types de contenu lorsque vous gérez une solution.

Connecteur de données

Pour connecter un connecteur de données, effectuez les étapes de configuration.

  1. Sélectionnez Ouvrir la page du connecteur.

  2. Effectuez les étapes de configuration du connecteur de données.

    Capture d’écran de l’élément de contenu du connecteur de données pour la solution d’activité Azure où l’état est déconnecté.

    Une fois que vous avez configuré le connecteur de données et que les journaux d’activité sont détectés, l’état passe à Connecté.

Règle analytique

Créer une règle à partir d’un modèle ou modifier une règle existante.

  1. Affichez le modèle dans la galerie de modèles d’analyse.

  2. Si le modèle n’es pas encore utilisé, sélectionnez Ouvrir>Créer une règle et suivez les étapes pour activer la règle d’analyse.

    Après la création d’une règle, le nombre de règles actives créées à partir du modèle s’affiche dans la colonne Contenu créé.

  3. Sélectionnez le lien des règles actives pour modifier la règle existante. Par exemple, le lien de règle active dans l’image suivante se trouve sous Contenu créé et affiche 2 éléments.

    Capture d’écran de l’élément de contenu de règle d’analyse dans la solution pour l’activité Azure.

Requête de chasse

Exécutez la requête de chasse fournie ou personnalisez-la.

  1. Pour commencer à effectuer une recherche immédiatement, sélectionnez Exécuter la requête dans la page de détails pour obtenir des résultats rapides.

    Capture d’écran de l’élément de contenu de requête de chasse cloné dans la solution pour l’activité Azure.

  2. Pour personnaliser votre requête de chasse, sélectionnez le lien dans la colonne Nom du contenu.

    Depuis la galerie de chasse, vous pouvez créer un clone du modèle de la requête de chasse en lecture seule en accédant au menu des points de suspension. Les requêtes de chasse créées de cette façon s’affichent en tant qu’éléments dans la colonne Contenu créé du hub de contenu.

Classeur

Pour personnaliser un classeur créé à partir d’ un modèle, créez une instance d’un classeur.

  1. Sélectionnez Afficher le modèle pour ouvrir le classeur et voir les visualisations.

  2. Sélectionnez Enregistrer pour créer une instance du modèle de classeur.

  3. Affichez votre classeur personnalisable enregistré en sélectionnant Afficher le classeur enregistré.

  4. Dans le hub de contenu, sélectionnez le lien 1 élément dans la colonne Contenu créé pour gérer le classeur.

    Capture d’écran de l’élément de classeur enregistré dans la solution pour l’activité Azure.

Parser

Lorsqu’une solution est installée, tous les analyseurs inclus sont ajoutés en tant que fonctions d’espace de travail dans Log Analytics.

  1. Sélectionnez Charger le code de fonction pour ouvrir Log Analytics et afficher ou exécuter le code de fonction.

  2. Sélectionnez Utiliser dans l’éditeur pour ouvrir Log Analytics avec le nom de l’analyseur prêt à être ajouté à votre requête personnalisée.

    Capture d’écran du type de contenu de l’analyseur dans une solution.

Manuel

Créer un playbook à partir d’un modèle.

  1. Sélectionnez le lien Nom du contenu du playbook.

  2. Choisissez le modèle et sélectionnez Créer un playbook.

  3. Après sa création, le playbook actif est affiché dans la colonne Contenu créé.

  4. Cliquez sur le lien 1 élément du playbook actif pour gérer le playbook.

    Capture d’écran du type de contenu de type playbook dans une solution.

Rechercher le modèle de support pour votre contenu

Le volet d’informations de chaque solution et élément de contenu autonome explique le modèle de support de celle-ci ; dans le champ Support, où figure le nom de Microsoft ou d’un partenaire. Par exemple :

Capture d’écran de l’endroit où vous pouvez trouver le modèle de support pour votre solution.

Quand vous contactez le support, vous pourriez avoir besoin d’autres informations sur votre solution, comme un nom d’éditeur, de fournisseur et des valeurs d’ID de plan. Recherchez ces informations dans la page détails de l’onglet Informations d’utilisation et support.

Capture d’écran des détails d’utilisation et de support pour une solution.

Étapes suivantes

Dans ce document, vous avez appris à rechercher et déployer des solutions intégrées et du contenu autonome pour Microsoft Sentinel.

De nombreuses solutions incluent des connecteurs de données que vous devrez configurer afin de pouvoir commencer à ingérer vos données dans Microsoft Sentinel. Chaque connecteur de données aura son propre ensemble d’exigences, détaillées sur la page du connecteur de données de Microsoft Sentinel.

Pour plus d’informations, consultez Connecter votre source de données.