Préparation de l’exercice

Effectué

Pour effectuer cet exercice facultatif, vous devez avoir accès à un abonnement Azure pour créer des ressources Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Notes

Si vous faites les exercices de ce module, vous risquez d’engendrer des frais dans votre abonnement Azure. Pour estimer les coûts, consultez les tarifs de Microsoft Sentinel.

Pour déployer les prérequis de l’exercice, effectuez les tâches suivantes.

Déployer le modèle Azure Resource Manager pour l’environnement de l’exercice

1. Sélectionnez le lien suivant :

   

   Vous êtes invité à vous connecter à Azure.

2. Dans la page Déploiement personnalisé, fournissez les informations suivantes :

   Nom	Description
   Abonnement	Sélectionnez votre abonnement Azure.
   Groupe de ressources	Sélectionnez Créer et spécifiez le nom du nouveau groupe de ressources, par exemple azure-sentinel-rg.
   Région	Sélectionnez une région Azure.
   Nom de l’espace de travail	Spécifiez un nom unique pour l’espace de travail Microsoft Sentinel, par exemple, <yourName>-sentinel, où <yourName> représente le nom de l’espace de travail que vous avez choisi dans la tâche précédente.
   Lieu	Acceptez la valeur par défaut [resourceGroup().location].
   Nom de la machine virtuelle simple	Acceptez la valeur par défaut simple-vm.
   Version du système d’exploitation Windows de la machine virtuelle simple	Acceptez la valeur par défaut 2016-Datacenter.

3. Sélectionnez Examiner + créer, puis sélectionnez Créer.

   Notes

   Attendez que le déploiement se termine. Le déploiement doit prendre moins de cinq minutes.

Vérifier les ressources créées

1. Dans le portail Azure, recherchez Groupes de ressources.

2. Sélectionnez votre groupe de ressources.

3. Triez la liste des ressources par type.

4. Le groupe de ressources doit contenir les ressources figurant dans ce tableau :

   Nom	Type	Description
   <yourName>-sentinel	Espace de travail Log Analytics	Espace de travail Log Analytics utilisé par Microsoft Sentinel, où <yourName> représente le nom de l’espace de travail que vous avez choisi dans la tâche précédente.
   simple-vmNetworkInterface	interface réseau	Interface réseau de la machine virtuelle.
   SecurityInsights(<yourName>-sentinel)	Solution	Insights de sécurité pour Microsoft Sentinel.
   simple-vm	Machine virtuelle	Machine virtuelle utilisée dans la démonstration.
   st1<xxxxx>	Compte de stockage	Compte de stockage utilisé par la machine virtuelle, où <xxxxx> représente une chaîne aléatoire générée pour créer un nom de compte de stockage unique.
   vnet1	Réseau virtuel	Réseau virtuel de la machine virtuelle.

Configurer des connecteurs Microsoft Sentinel

Dans cette tâche, vous déployez un connecteur Microsoft Sentinel vers Activité Azure.

1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel, puis sélectionnez l’espace de travail Microsoft Sentinel précédemment créé.
2. Dans la page Microsoft Sentinel, sur la barre de menus, dans la section Configuration, sélectionnez Connecteurs de données.
3. Dans le volet Connecteurs de données, recherchez et sélectionnez Activité Azure. Dans le volet d’informations, sélectionnez Ouvrir la page du connecteur.
4. Passez en revue les prérequis. Vous devez avoir le rôle de propriétaire attribué pour les étendues d’attribution Azure Policy.
5. Si vous avez un abonnement connecté à la méthode héritée, vous serez invité à le déconnecter en suivant les instructions de Configuration dans « 1. Déconnecter vos abonnements de la méthode héritée ».
6. Si vous n’avez pas configuré le connecteur avec la méthode héritée, passez à « 2. Connecter vos abonnements... » dans la zone Configuration.
7. Sélectionnez Lancer l’Assistant Attribution Azure Policy>.
8. Sous l’onglet De base, sélectionnez le bouton de sélection (...) sous Étendue, sélectionnez votre abonnement dans la liste déroulante. Choisissez ensuite Sélectionner.
9. Sélectionnez l’onglet Paramètres, choisissez votre espace de travail uniquename-sentinel dans la liste déroulante Espace de travail Log Analytics principal.
10. Sélectionnez l’onglet Correction, cochez la case Créer une tâche de correction.
11. Sélectionnez le bouton Vérifier + créer pour passer en revue la configuration.
12. Sélectionnez Créer pour terminer.

Notes

Le connecteur pour Azure Activity utilise des affectations de stratégie, l’affichage d’un état Connecté peut prendre 15 à 30 minutes.