Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Le hub de contenu Microsoft Sentinel est votre emplacement centralisé pour découvrir et gérer du contenu prête à l’emploi (intégré). Vous y trouverez des solutions empaquetées pour les produits de bout en bout par domaine ou secteur d’activité. Vous avez accès au grand nombre de contributions autonomes hébergées dans notre dépôt GitHub et nos panneaux de fonctionnalités.

  • Découvrez des solutions et du contenu autonome avec un ensemble cohérent de fonctionnalités de filtrage basées sur status, le type de contenu, la prise en charge, le fournisseur et la catégorie.

  • Installez du contenu dans votre espace de travail en une seule fois ou individuellement.

  • Affichez le contenu dans l’affichage liste et voyez rapidement quelles solutions ont des mises à jour. Mettez à jour toutes les solutions en même temps que le contenu autonome est mis à jour automatiquement.

  • Gérez une solution pour installer ses types de contenu et obtenir les dernières modifications.

  • Configurez du contenu autonome pour créer des éléments actifs basés sur le modèle le plus à jour.

Si vous êtes un partenaire qui souhaite créer votre propre solution, consultez le Guide de génération de solutions Microsoft Sentinel pour la création et la publication de solutions.

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Configuration requise

Pour installer, mettre à jour et supprimer du contenu ou des solutions autonomes dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.

Pour plus d’informations sur les autres rôles et autorisations pris en charge pour Microsoft Sentinel, consultez Autorisations dans Microsoft Sentinel.

Découvrir du contenu

Le hub de contenu offre le meilleur moyen de trouver du nouveau contenu ou de gérer les solutions que vous avez déjà installées.

  1. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel> Hubde contenugestion du> contenu. Pour Microsoft Sentinel dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.

    La page Hub de contenu affiche une grille pouvant faire l’objet d’une recherche ou une liste de solutions et de contenu autonome.

  2. Recherchez les solutions ou les éléments de contenu autonomes dont vous avez besoin. Sélectionnez des valeurs spécifiques dans les filtres ou entrez un terme de recherche dans la zone Rechercher . Les recherches utilisent l’IA pour prendre en charge les recherches approximatives et le vocabulaire approximatif.

    Lors de la recherche, veillez à appuyer sur Entrée pour démarrer la recherche. Le nombre de résultats de recherche est limité à 50 éléments, y compris les solutions et les éléments de contenu trouvés dans les solutions. Si vous ne trouvez pas ce que vous recherchez, essayez d’affiner l’expression de recherche ou utilisez différents filtres.

    Pour plus d’informations, consultez Catégories pour Microsoft Sentinel du contenu et des solutions prêtes à l’emploi.

  3. Dans l’affichage liste ( ), sélectionnez une solution dans la liste pour afficher des informations sur la solution ainsi que les types d’éléments de contenu qu’elle inclut.

    Développez une solution dans les résultats de recherche ou de filtre pour afficher la liste des éléments de contenu qu’elle inclut. Le volet d’informations sur le côté présente des informations détaillées sur l’élément de contenu.

    Vous pouvez également sélectionner la vue carte ( ) pour afficher les solutions présentées dans une grille. Chaque carte affiche le nom, la description et les catégories de la solution. Sélectionnez un carte pour afficher plus d’informations sur la solution sur le côté.

Pour utiliser un élément de contenu qui fait partie d’une solution, vous devez installer la solution entière. Si vous avez sélectionné un élément de contenu spécifique dans la liste, sélectionnez Installer la solution dans le volet d’informations sur le côté pour installer la solution appropriée.

Pour plus d’informations, consultez Catégories pour Microsoft Sentinel du contenu et des solutions prêtes à l’emploi.

Installer ou mettre à jour le contenu

Installez du contenu et des solutions autonomes individuellement ou ensemble en bloc. Pour plus d’informations sur les opérations en bloc, consultez Installation et mise à jour en bloc du contenu dans la section suivante.

Si une solution que vous avez déployée comporte des mises à jour depuis son dernier déploiement, l’affichage liste affiche Mettre à jour dans la colonne status. La solution est également incluse dans le nombre de Mises à jour en haut de la page.

Voici un exemple montrant l’installation d’une solution individuelle.

  1. Dans le hub de contenu, recherchez et sélectionnez la solution.

  2. Dans le volet d’informations des solutions, en bas à droite, sélectionnez Afficher les détails.

  3. Sélectionnez Créer ou Mettre à jour.

  4. Sous l’onglet Informations de base , entrez l’abonnement, le groupe de ressources et l’espace de travail pour déployer la solution. Par exemple :

    Capture d’écran d’un Assistant Installation de solution, montrant l’onglet Informations de base.

  5. Sélectionnez Suivant pour parcourir les onglets restants pour en savoir plus sur et, dans certains cas, configurer chacun des composants de contenu.

    Les onglets correspondent au contenu proposé par la solution. Différentes solutions peuvent avoir des types de contenu différents, de sorte que vous risquez de ne pas voir les mêmes onglets dans chaque solution.

    Vous pouvez également être invité à entrer des informations d’identification pour un service non-Microsoft afin que Microsoft Sentinel puissent s’authentifier auprès de vos systèmes. Par exemple, avec les playbooks, vous pouvez prendre des mesures de réponse comme indiqué dans votre système.

  6. Sous l’onglet Vérifier + créer , attendez le Validation Passed message.

  7. Sélectionnez Créer ou Mettre à jour pour déployer la solution. Vous pouvez également sélectionner le lien Télécharger un modèle pour l’automatisation pour déployer la solution en tant que code.

Installer avec des dépendances

Certaines solutions ont des dépendances à installer, notamment de nombreuses solutions de domaine et solutions qui utilisent les connecteurs AMA unifiés pour CEF, Syslog ou les journaux personnalisés.

Dans ce cas, sélectionnez Installer avec des dépendances pour vous assurer que les connecteurs de données requis sont également installés. À partir de là, sélectionnez une ou plusieurs des dépendances pour les installer avec la solution d’origine. La solution d’origine que vous avez choisi d’installer est toujours sélectionnée par défaut.

Si une ou plusieurs solutions de dépendance sont déjà installées, mais qu’elles ont des mises à jour, utilisez le bouton Installer/Mettre à jour pour installer et mettre à jour toutes les solutions sélectionnées en bloc. Par exemple :

Capture d’écran de l’installation de plusieurs dépendances de solution en bloc.

Après avoir installé une solution, chaque type de contenu au sein de la solution peut nécessiter d’autres étapes de configuration. Pour plus d’informations, consultez Activer les éléments de contenu dans une solution.

Installer et mettre à jour en bloc le contenu

Le hub de contenu prend en charge un affichage liste en plus de l’affichage carte par défaut. Sélectionnez l’affichage liste pour installer plusieurs solutions et du contenu autonome à la fois. Le contenu autonome est automatiquement mis à jour. Tout contenu actif ou personnalisé créé à partir de solutions ou de contenu autonome installé à partir du hub de contenu reste intact.

  1. Pour installer ou mettre à jour des éléments en bloc, passez à l’affichage liste.

  2. Recherchez ou filtrez le contenu que vous souhaitez installer ou mettre à jour en bloc.

  3. Cochez la case pour chaque solution ou contenu autonome que vous souhaitez installer ou mettre à jour.

  4. Sélectionnez le bouton Installer/Mettre à jour . Capture d’écran de la vue liste des solutions avec plusieurs solutions sélectionnées et en cours d’installation.

    Si une solution ou un contenu autonome que vous avez sélectionné a déjà été installé ou mis à jour, aucune action n’est effectuée sur cet élément. Il n’interfère pas avec la mise à jour et l’installation des autres éléments.

  5. Sélectionnez Gérer pour chaque solution que vous avez installée. Les types de contenu au sein de la solution peuvent nécessiter plus d’informations pour vous permettre de configurer. Pour plus d’informations, consultez Activer les éléments de contenu dans une solution.

Installer des packages et des modèles à l’aide de l’API

Si vous utilisez l’API pour installer des packages de solution ou des modèles individuels, procédez comme suit :

  1. Récupérez le package ou le modèle de solution :

  2. Dans la réponse de l’API, recherchez le properties.mainTemplate champ . Ce champ contient le modèle ARM JSON qui définit la solution ou les ressources de modèle.

  3. Déployez le extrait mainTemplate à l’aide d’un déploiement de modèle ARM, via l’API Rest, Azure CLI ou PowerShell.

Activer les éléments de contenu dans une solution

Gérez de manière centralisée les éléments de contenu pour les solutions installées à partir du hub de contenu.

  1. Dans le hub de contenu, sélectionnez une solution installée dont la version est 2.0.0 ou ultérieure.

  2. Dans la page détails des solutions, sélectionnez Gérer.

    Capture d’écran du bouton Gérer sur la page de détails de la solution de hub de contenu d’activité Azure.

  3. Passez en revue la liste des éléments de contenu.

    Capture d’écran de la description de la solution et de la liste des éléments de contenu pour Azure solution d’activité.

  4. Sélectionnez un élément de contenu pour commencer.

Gérer chaque type de contenu

Les sections suivantes fournissent des conseils sur la façon d’utiliser les différents types de contenu lorsque vous gérez une solution.

Connecteur de données

Pour connecter un connecteur de données, effectuez les étapes de configuration.

  1. Sélectionnez Ouvrir la page du connecteur.

  2. Effectuez les étapes de configuration du connecteur de données.

    Capture d’écran de l’élément de contenu du connecteur de données pour Azure solution Activity où status est déconnecté.

    Une fois que vous avez configuré le connecteur de données et que les journaux sont détectés, le status devient Connecté.

Règle d’analyse

Créez une règle à partir d’un modèle ou modifiez une règle existante.

  1. Affichez le modèle dans la galerie de modèles d’analyse.

  2. Si le modèle n’est pas encore utilisé, sélectionnez Ouvrir>créer une règle et suivez les étapes pour activer la règle d’analyse.

    Une fois que vous avez créé une règle, le nombre de règles actives créées à partir du modèle est affiché dans la colonne Contenu créé .

  3. Sélectionnez le lien règles actives pour modifier la règle existante. Par exemple, le lien de règle active dans l’image suivante se trouve sous Contenu créé et affiche 2 éléments.

    Capture d’écran de l’élément de contenu de règle d’analyse dans la solution pour Azure’activité.

Requête de chasse

Exécutez la requête de repérage fournie ou personnalisez-la.

  1. Pour commencer la recherche immédiatement, sélectionnez Exécuter la requête dans la page de détails pour obtenir des résultats rapides.

    Capture d’écran de l’élément de contenu de requête de chasse cloné dans la solution pour l’activité Azure.

  2. Pour personnaliser votre requête de repérage, sélectionnez le lien dans la colonne Nom du contenu .

    À partir de la galerie de chasse, vous pouvez créer un clone du modèle de requête de chasse en lecture seule en accédant au menu des points de suspension. Les requêtes de chasse créées de cette façon s’affichent sous forme d’éléments dans la colonne Contenu créé du hub de contenu.

Classeur

Pour personnaliser un classeur créé à partir d’un modèle, créez un instance d’un classeur.

  1. Sélectionnez Afficher le modèle pour ouvrir le classeur et voir les visualisations.

  2. Sélectionnez Enregistrer pour créer un instance du modèle de classeur.

  3. Affichez votre classeur personnalisable enregistré en sélectionnant Afficher le classeur enregistré.

  4. Dans le hub de contenu, sélectionnez le lien 1 élément dans la colonne Contenu créé pour gérer le classeur.

    Capture d’écran de l’élément de classeur enregistré dans la solution pour Azure’activité.

Analyseur

Lorsqu’une solution est installée, tous les analyseurs inclus sont ajoutés en tant que fonctions d’espace de travail dans Log Analytics.

  1. Sélectionnez Charger le code de la fonction pour ouvrir Log Analytics et afficher ou exécuter le code de la fonction.

  2. Sélectionnez Utiliser dans l’éditeur pour ouvrir Log Analytics avec le nom de l’analyseur prêt à être ajouté à votre requête personnalisée.

    Capture d’écran du type de contenu de l’analyseur dans une solution.

Playbook

Créez un playbook à partir d’un modèle.

  1. Sélectionnez le lien Nom du contenu du playbook.

  2. Choisissez le modèle, puis sélectionnez Créer un playbook.

  3. Une fois le playbook créé, le playbook actif est affiché dans la colonne Contenu créé .

  4. Sélectionnez le lien d’élément playbook 1 actif pour gérer le playbook.

    Capture d’écran du type de contenu de playbook dans une solution.

Rechercher le modèle de support pour votre contenu

Chaque solution et élément de contenu autonome explique son modèle de support dans son volet d’informations, dans la zone Support , où microsoft ou le nom d’un partenaire est répertorié. Par exemple :

Capture d’écran montrant où vous pouvez trouver votre modèle de support pour votre solution.

Lorsque vous contactez le support technique, vous aurez peut-être besoin d’autres détails sur votre solution, tels qu’un éditeur, un fournisseur et des valeurs d’ID de plan. Vous trouverez ces informations sur la page de détails sous l’onglet Informations d’utilisation & prise en charge .

Capture d’écran des détails de l’utilisation et de la prise en charge d’une solution.

Étapes suivantes

Dans ce document, vous avez appris à rechercher et déployer des solutions intégrées et du contenu autonome pour Microsoft Sentinel.

De nombreuses solutions incluent des connecteurs de données que vous devez configurer pour pouvoir commencer à ingérer vos données dans Microsoft Sentinel. Chaque connecteur de données a son propre ensemble d’exigences détaillées dans la page du connecteur de données dans Microsoft Sentinel.

Pour plus d’informations, consultez Connecter votre source de données.

  • Last updated on