Exercice : connexion de données de Microsoft Entra ID à Microsoft Sentinel

Effectué

Présentation de Microsoft Sentinel

Screenshot of Azure Sentinel screenshot that shows the initial configuration screen that allows you to create a new KQL (Kusto Query Language) queries.

Un outil SIEM agrège et analyse les activités. Un outil SOAR collecte les données sur les menaces de sécurité et répond à celles-ci. Microsoft Sentinel est à la fois un outil SIEM natif Cloud scalable et une solution SOAR. Microsoft Sentinel vous offre une vue d’ensemble de l’organisation, ce qui réduit le stress lié aux attaques de plus en plus sophistiquées, aux volumes croissants d’alertes et aux longs délais de résolution.

  • Collectez des données à l’échelle du cloud sur l’ensemble des utilisateurs, des appareils, des applications et des infrastructures, locaux et dans plusieurs clouds.
  • Détectez les menaces non détectées précédemment et réduisez les faux positifs en vous appuyant sur l’analytique et les systèmes de renseignement sur les menaces fournis par Microsoft.
  • Investiguez les menaces en utilisant l’intelligence artificielle et recherchez les activités suspectes à grande échelle en profitant des années de travail que Microsoft a consacrées à la cybersécurité.
  • Répondez aux incidents rapidement avec une orchestration et une automatisation intégrées des tâches courantes.

Prérequis

  • Une licence Microsoft Entra ID P1 ou P2 est nécessaire pour ingérer des journaux de connexion dans Microsoft Sentinel. Toute licence Microsoft Entra ID (gratuite/O365/P1/P2) suffit pour ingérer les autres types de journaux. Des frais supplémentaires par gigaoctet peuvent s'appliquer pour Azure Monitor (analytique des journaux d'activité) et Microsoft Sentinel.
  • Le rôle Contributeur Microsoft Sentinel doit être attribué à votre utilisateur sur l’espace de travail.
  • Les rôles Administrateur général ou Administrateur de sécurité doivent être attribués à votre utilisateur sur le locataire à partir duquel vous souhaitez diffuser les journaux.
  • Votre utilisateur doit disposer d’autorisations en lecture et en écriture sur les paramètres de diagnostic Microsoft Entra pour pouvoir consulter l’état de la connexion.

Créer et ajouter un espace de travail Microsoft Sentinel

Utilisez ces instructions si vous n’avez pas encore d’espace de travail disponible pour Microsoft Sentinel.

  1. Connectez-vous au portail Microsoft Azure en tant qu’administrateur de locataires.

  2. Recherchez et sélectionnez Microsoft Sentinel.

  3. Dans l’écran Espaces de travail Microsoft Sentinel, dans le menu, sélectionnez + Ajouter. Si vous disposez déjà d’un espace de travail Microsoft Sentinel, vous pouvez le sélectionner et passer à la tâche suivante.

  4. Dans l’écran Ajouter Microsoft Sentinel à un espace de travail, sélectionnez Créer un espace de travail.

  5. Pour créer un espace de travail Log Analytics, fournissez les informations suivantes :

    Paramètre Valeur
    Abonnement Utiliser votre abonnement actif.
    Resource group Utilisez un groupe de ressources existant ou créez-en un.
    Nom Lab-espace-de-travail-vosinitialeset ladate.
    L'espace de travail doit être une valeur unique globale.
    Niveau tarifaire Paiement à l’utilisation
  6. Lorsque vous avez terminé, sélectionnez votre nouvel espace de travail, puis sélectionnez Ajouter pour ajouter l’espace de travail à Microsoft Sentinel.

Connectez-vous à Microsoft Entra ID

Vous pouvez utiliser un connecteur Microsoft Sentinel intégré pour collecter des données à partir de Microsoft Entra ID et les diffuser en continu dans Microsoft Sentinel. Le connecteur vous permet d’envoyer en streaming des journaux de connexion et des journaux d’audit.

  1. Dans Microsoft Sentinel, dans le menu de navigation à gauche, sous Configuration, sélectionnez Connecteurs de données.

  2. Dans la liste des Connecteurs de données, sélectionnez Microsoft Entra ID, puis Ouvrir la page du connecteur.

    Screenshot of the data connectors screen with the Microsoft Entra ID connector and Open Connector page highlighted.

  3. Sous Configuration, cochez les cases Journaux de connexion Microsoft Entra et Journaux d'audit, puis sélectionnez Appliquer les modifications.

    Screenshot of the logs collected by Azure Sentinel selections highlighted.

  4. Fermez la page du connecteur Microsoft Entra ID.