Exercice - Configurer l’environnement Azure
Pour configurer l’environnement Azure pour l’exercice de gestion des incidents facultatif, effectuez les étapes suivantes.
Prérequis
Pour effectuer cet exercice facultatif, vous devez avoir accès à un abonnement Azure. Si vous n’avez pas d’abonnement, créez un compte gratuit.
Notes
N’oubliez pas que cet exercice crée des ressources qui peuvent entraîner des coûts dans votre abonnement Azure. Pour estimer les coûts, consultez les tarifs de Microsoft Sentinel.
Déployer le modèle Azure Resource Manager
Sélectionnez le bouton suivant pour déployer le modèle ARM (Azure Resource Manager) qui crée les ressources Azure. Connectez-vous à Azure si vous y êtes invité.
Dans la page Déploiement personnalisé, fournissez les informations suivantes :
- Abonnement : sélectionnez votre abonnement Azure s’il n’est pas déjà sélectionné.
- Groupe de ressources : sélectionnez Créer et nommez le groupe de ressources azure-sentinel-rg.
- Localisation : sélectionnez la région Azure dans laquelle vous souhaitez déployer Microsoft Sentinel.
- Nom de l’espace de travail : fournissez un nom unique pour l’espace de travail Microsoft Sentinel, par exemple, <votre_nom>-Sentinel.
Laissez les autres paramètres tels quels, sélectionnez Vérifier + créer, puis sélectionnez Créer.
Attendez que le déploiement se termine. Le déploiement doit prendre moins de cinq minutes.
Vérifier les ressources déployées
Une fois le déploiement terminé, sélectionnez Accéder au groupe de ressources ou recherchez Groupes de ressources dans le portail, puis sélectionnez azure-sentinel-rg.
Dans la page azure-sentinel-rg, triez la liste des ressources par Type.
Vérifiez que le groupe de ressources contient les ressources suivantes :
Nom Type Description <votre_nom>-Sentinel Espace de travail Log Analytics Espace de travail Log Analytics utilisé par Microsoft Sentinel, avec le nom que vous avez choisi pour l’espace de travail. simple-vmNetworkInterface interface réseau Interface réseau de la machine virtuelle. SecurityInsights(<votre_nom>-Sentinel) Solution Insights de sécurité pour Microsoft Sentinel. st1<xxxxx> Compte de stockage Compte de stockage utilisé par la machine virtuelle, où <xxxxx> représente une chaîne aléatoire générée pour créer un nom de compte de stockage unique. simple-vm Machine virtuelle Machine virtuelle à utiliser dans la démonstration. vnet1 Réseau virtuel Réseau virtuel de la machine virtuelle.
Configurer le connecteur Microsoft Sentinel
Ensuite, déployez le connecteur de journal d’activité Azure pour Microsoft Sentinel.
- Dans le portail Azure, recherchez et sélectionnez Microsoft Azure Sentinel.
- Dans la page Microsoft Sentinel, sélectionnez l’espace de travail Microsoft Sentinel que vous avez créé.
- Dans la page de l’espace de travail, sélectionnez Connecteurs de données sous Configuration dans le menu de gauche.
- Dans la page Connecteurs de données, recherchez et sélectionnez Activité Azure, puis sélectionnez Ouvrir la page du connecteur dans l’écran Activité Azure.
- En bas de la page Activité Azure, sélectionnez Lancer l’Assistant Attribution Azure Policy.
- Sous l’onglet Informations de base de l’Assistant, sélectionnez les points de suspension ... sous Étendue. Dans le volet Étendues, sélectionnez votre abonnement, puis sélectionnez Sélectionner.
- Sélectionnez l’onglet Paramètres et choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics principal.
- Sélectionnez l’onglet Correction et cochez la case Créer une tâche de correction. Cette action applique la configuration de l’abonnement pour envoyer les informations à l’espace de travail Log Analytics.
- Sélectionnez le bouton Vérifier + créer pour passer en revue la configuration, puis sélectionnez Créer.
Un délai d’une heure peut être nécessaire avant que le connecteur Activité Azure affiche un état Connecté. Pendant le déploiement du connecteur, passez aux unités suivantes pour découvrir les incidents dans Microsoft Sentinel.