Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le portail Defender vous permet de vous connecter à un espace de travail principal et à plusieurs espaces de travail secondaires pour Microsoft Sentinel. Dans le contexte de cet article, un espace de travail est un espace de travail Log Analytics avec Microsoft Sentinel activé.
Cet article s’applique principalement au scénario dans lequel vous intégrez Microsoft Sentinel au portail Defender avec Microsoft Defender XDR pour les opérations de sécurité unifiées. Si vous envisagez d’utiliser Microsoft Sentinel dans le portail Defender sans Microsoft Defender XDR, vous pouvez toujours gérer plusieurs espaces de travail. Toutefois, étant donné que vous n’avez pas defender XDR, votre espace de travail principal n’aura pas de données Defender XDR et vous n’aurez pas accès aux fonctionnalités Defender XDR.
Espaces de travail principaux et secondaires
Sélectionnez votre espace de travail principal lorsque vous intégrez Microsoft Sentinel au portail Defender. Tous les autres espaces de travail que vous intégrez au portail Defender sont considérés comme des espaces de travail secondaires. Le portail Defender prend en charge un espace de travail principal et jusqu’à 99 espaces de travail secondaires par locataire pour Microsoft Sentinel.
Lorsque vous disposez également de Microsoft Defender XDR, les alertes de votre espace de travail principal sont corrélées avec les données Defender XDR, et les incidents incluent des alertes de votre espace de travail principal et defender XDR dans une file d’attente unifiée. Lorsque vous sélectionnez un espace de travail principal, le connecteur de données Defender XDR pour les incidents et les alertes est connecté à l’espace de travail principal uniquement.
Dans ce cas :
| Domaine | Descriptif |
|---|---|
| Autres espaces de travail précédemment connectés à Defender XDR | Tous les autres espaces de travail qui ont été précédemment connectés au connecteur Defender XDR sont déconnectés et fonctionnent en tant qu’espaces de travail secondaires. Les données Defender XDR ne sont pas disponibles dans un espace de travail secondaire, et toutes les règles d’analyse et automatisation que vous aviez précédemment configurées en fonction des données Defender XDR ne fonctionnent plus. |
| Alertes basées sur le locataire et connecteurs de données autonomes | Les alertes provenant d’autres services Microsoft, y compris d’autres services Defender, sont des alertes basées sur le locataire et sont liées à l’ensemble du locataire au lieu d’un espace de travail spécifique. Pour éviter la duplication entre les espaces de travail, tous les connecteurs de données autonomes directs pour ces services doivent être déconnectés de Microsoft Sentinel dans les espaces de travail secondaires. Cela entraîne l'apparition d’alertes basées sur les locataires uniquement dans l’espace de travail principal. Lors de l’intégration, les connecteurs de données autonomes pour Microsoft Defender for Office 365, Protection Microsoft Entra ID, Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint et Microsoft Defender pour Identity sont automatiquement déconnectés. Si vous disposez d’autres connecteurs de données Microsoft autonomes avec des alertes dans vos espaces de travail, veillez à les déconnecter avant de les intégrer au portail Defender. |
| Alertes et incidents Defender XDR | Toutes les alertes et incidents Defender XDR sont synchronisés avec votre espace de travail principal uniquement. |
| Création d’incidents et corrélation d’alerte | Le portail Defender conserve la création d’incidents et la corrélation des alertes distinctes entre les espaces de travail Microsoft Sentinel. Les incidents dans les espaces de travail secondaires n’incluent pas de données provenant d’un autre espace de travail ou de Defender XDR. |
| Un espace de travail principal requis | Un espace de travail principal doit toujours être connecté au portail Defender. |
Par exemple, vous travaillez peut-être sur une équipe SOC globale dans une entreprise disposant de plusieurs espaces de travail autonomes. Dans ce cas, vous ne souhaiterez peut-être pas voir les incidents et les alertes de chacun de ces espaces de travail dans votre file d’attente SOC globale dans le portail Defender. Étant donné que ces espaces de travail sont intégrés au portail Defender en tant qu’espaces de travail secondaires, ils s’affichent dans le portail Defender en tant que Microsoft Sentinel uniquement, sans données Defender et continuent à fonctionner de manière autonome. Lorsque vous examinez votre espace de travail SOC global, vous ne verrez pas les données de ces espaces de travail secondaires.
Où vous avez plusieurs espaces de travail Microsoft Sentinel au sein d’un locataire Microsoft Entra ID, envisagez d’utiliser l’espace de travail principal pour votre centre d’opérations de sécurité global.
Autorisations pour gérer les espaces de travail et afficher les données de l’espace de travail
Utilisez l’un des rôles ou combinaisons de rôles suivants pour gérer les espaces de travail principaux et secondaires :
| Tâche | Rôles ou combinaisons de rôles obligatoires |
|---|---|
| Connecter un espace de travail principal | L’une des opérations suivantes : - Administrateur général ET propriétaire de l’abonnement - Propriétaire de l’abonnement ET administrateur de la sécurité - Administrateur général ET administrateur d’accès utilisateur ET contributeur Sentinel - Administrateur de sécurité ET administrateur d’accès utilisateur ET contributeur Sentinel |
| Modifier l’espace de travail principal | L’une des opérations suivantes : - Administrateur général - Administrateur de sécurité |
| Intégrer ou désactiver les espaces de travail secondaires | L’une des opérations suivantes : - Administrateur général ET propriétaire de l’abonnement - Propriétaire de l’abonnement ET administrateur de la sécurité - Administrateur général ET administrateur d’accès utilisateur ET contributeur Sentinel - Administrateur de sécurité ET administrateur d'accès utilisateur ET contributeur Sentinel - Propriétaire de l’abonnement - Administrateur de l'accès utilisateur ET contributeur à Sentinel |
Important
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Après avoir connecté Microsoft Sentinel au portail Defender, vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure existantes vous permettent d’afficher et d’utiliser les fonctionnalités et espaces de travail Microsoft Sentinel auxquels vous avez accès.
| Espace de travail | Accès |
|---|---|
| Primaire | Si vous avez accès à l’espace de travail principal, vous pouvez lire et gérer des données à partir de l’espace de travail et de Defender XDR. |
| Secondaire | Si vous avez accès à un espace de travail secondaire, vous pouvez lire et gérer des données à partir de l’espace de travail uniquement. Les espaces de travail secondaires n’incluent pas de données Defender XDR. |
Exception: Si vous avez déjà intégré un espace de travail au portail Defender, toutes les alertes créées à l’aide de détections personnalisées sur AlertInfo et AlertEvidence de tables avant la mi-janvier 2025 sont visibles pour tous les utilisateurs.
Pour plus d’informations, consultez Rôles et autorisations dans Microsoft Sentinel.
Modifications de l’espace de travail principal
Après avoir intégré Microsoft Sentinel au portail Defender, vous pouvez modifier l’espace de travail principal. Lorsque vous basculez l’espace de travail principal pour Microsoft Sentinel, le connecteur Defender XDR est connecté au nouveau principal et déconnecté automatiquement de l’ancien.
Modifiez l’espace de travail principal dans le portail Defender en accédant auxparamètres>système> desespaces de travail>.
Étendue des données d’espace de travail dans différentes vues
Si vous disposez des autorisations appropriées pour afficher les données provenant d’espaces de travail principaux et secondaires pour Microsoft Sentinel, l’étendue de l’espace de travail dans le tableau suivant s’applique à chaque fonctionnalité.
| Capacité | Étendue de l’espace de travail |
|---|---|
| Recherche | Les résultats de la recherche globale en haut de la page du navigateur dans le portail Defender fournissent une vue agrégée de toutes les données d’espace de travail pertinentes que vous avez les autorisations d’affichage. |
| Investigation et réponse > Incidents et alertes >Incidents | Affichez les incidents provenant de différents espaces de travail dans une file d’attente unifiée ou filtrez l’affichage par espace de travail. |
| Enquête & réponse |
Affichez des alertes provenant de différents espaces de travail dans une file d’attente unifiée ou filtrez l’affichage par espace de travail. Le portail Defender segmente la corrélation des alertes par espace de travail. |
| Entités : à partir d’un incident ou d’une alerte > , sélectionnez un appareil, un utilisateur ou une autre ressource d’entité | Affichez toutes les données d’entité pertinentes à partir de plusieurs espaces de travail dans une page d’entité unique. Les pages d’entités agrègent les alertes, les incidents et les événements de chronologie de tous les espaces de travail pour fournir des insights plus approfondis sur le comportement de l’entité. Filtrez par espace de travail dans les onglets Incidents et alertes, Chronologie et Insights . L’onglet Vue d’ensemble affiche les métadonnées d’entité agrégées à partir de tous les espaces de travail. |
| Enquête et réponse > Repérage >Repérage avancé | Sélectionnez un espace de travail en haut à droite du navigateur. Vous pouvez également interroger plusieurs espaces de travail à l’aide de l’opérateur d’espace de travail dans la requête. Consultez Interroger plusieurs espaces de travail. Les résultats de la requête n’affichent pas de nom ou d’ID d’espace de travail. Accédez à toutes les données de journal de l’espace de travail, y compris les requêtes et les fonctions, comme lecture seule. Pour plus d'informations, voir Chasse avancée avec les données Microsoft Sentinel dans le portail Microsoft Defender. Certaines fonctionnalités sont limitées à l’espace de travail principal : - Création de détections personnalisées - Requêtes via l’API |
| Expériences Microsoft Sentinel | Affichez les données d’un espace de travail pour chaque page de la section Microsoft Sentinel du portail Defender. Basculez entre les espaces de travail en sélectionnant Sélectionner un espace de travail en haut à droite du navigateur pour la plupart des pages. La page Classeurs affiche uniquement les données associées à l’espace de travail principal. |
| Optimisation SOC | Les données et les recommandations sont agrégées à partir de plusieurs espaces de travail. |
Synchronisation bidirectionnelle pour les espaces de travail
La façon dont les changements d’incidents se synchronisent entre le portail Microsoft Azure et le portail Defender dépend s’il s’agit d’un espace de travail principal ou secondaire.
| Espace de travail | Comportement de synchronisation |
|---|---|
| Primaire | Pour Microsoft Sentinel dans le portail Azure, les incidents Defender XDR apparaissent dansles incidents de > menaces avec le nom du fournisseur d’incidents Microsoft XDR. Toutes les modifications apportées à l'état, à la raison de fermeture ou à l'affectation d'un incident Defender XDR dans l'un des portails Azure ou Defender sont automatiquement répercutées dans la file d'attente des incidents de l'autre. Pour plus d’informations, consultez Utilisation des incidents Microsoft Defender XDR dans Microsoft Sentinel et la synchronisation bidirectionnelle. |
| Secondaire | Toutes les alertes et incidents que vous créez pour un espace de travail secondaire sont synchronisés entre cet espace de travail dans les portails Azure et Defender. Les données d’un espace de travail sont synchronisées uniquement avec l’espace de travail dans l’autre portail. |
Prise en charge de la gestion des risques internes (IRM)
Les alertes irm (Microsoft Purview Insider Risk Management) sont mises en corrélation uniquement avec l’espace de travail principal. Si vous avez des alertes IRM avec Microsoft Defender XDR, vous devez connecter IRM au connecteur Microsoft Defender XDR dans votre espace de travail principal avant d’intégrer l’espace de travail au portail Defender. Cela est nécessaire pour s’assurer que les alertes et incidents IRM sont disponibles dans l’espace de travail principal. Si vous ne souhaitez pas voir les alertes IRM dans l’espace de travail principal, vous pouvez refuser l’intégration à Microsoft Defender XDR.
En outre, si le connecteur direct Microsoft 365 Insider Risk Management pour Microsoft Sentinel est connecté à l’un des espaces de travail secondaires, vous devez le déconnecter avant d'ajouter l’espace de travail au portail Defender.