Exercice - Interroger et visualiser des données avec des workbooks Microsoft Sentinel

  • 10 minutes

Cet exercice d’interrogation et de visualisation des données est une unité facultative. Si vous voulez faire cet exercice, vous devez avoir accès à un abonnement Azure dans lequel vous pouvez créer des ressources Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Notes

Si vous choisissez d’effectuer l’exercice de ce module, sachez que des frais peuvent s’appliquer dans votre abonnement Azure. Pour estimer le coût, consultez les tarifs de Microsoft Sentinel.

Pour déployer les prérequis de l’exercice, effectuez les tâches suivantes.

Tâche 1 : Créer des ressources

  1. Sélectionnez le lien suivant :

    Deploy To Azure.

    Vous êtes invité à vous connecter à Azure.

  2. Dans la page Déploiement personnalisé, fournissez les informations suivantes :

    Nom Description
    Abonnement Sélectionnez votre abonnement Azure.
    Resource group Sélectionnez Créer et indiquez un nom pour le groupe de ressources, par exemple azure-sentinel-rg.
    Région Dans le menu déroulant, sélectionnez l’emplacement où vous voulez déployer Microsoft Sentinel.
    Nom de l’espace de travail Fournissez un nom unique pour l’espace de travail Microsoft Sentinel, par exemple, <votre_nom>-sentinel.
    Emplacement Acceptez la valeur par défaut [resourceGroup().location].
    Nom de machine virtuelle simple Acceptez la valeur par défaut simple-vm.
    Version du système d’exploitation Windows de machine virtuelle simple Acceptez la valeur par défaut 2016-Datacenter.

  3. Sélectionnez Examiner + créer, puis sélectionnez Créer.

    Screenshot of the Custom Deployment page.

    Notes

    Attendez la fin du déploiement. Le déploiement doit prendre moins de 5 minutes.

Tâche 2 : Vérifier les ressources créées

  1. Dans le portail Azure, recherchez Groupes de ressources.

  2. Sélectionnez azure-sentinel-rg.

  3. Triez la liste des ressources par type.

  4. Le groupe de ressources doit contenir les ressources répertoriées dans le tableau suivant.

    Nom Type Description
    <votre_nom>-sentinel Espace de travail Log Analytics Espace de travail Log Analytics utilisé par Microsoft Sentinel, avec l’espace de travail que vous avez choisi dans la tâche précédente.
    simple-vmNetworkInterface Interface réseau Interface réseau de la machine virtuelle.
    SecurityInsights(<votre_nom>-sentinel) Solution Insights de sécurité pour Microsoft Sentinel.
    st1xxxxx Compte de stockage Compte de stockage utilisé par la machine virtuelle. La chaîne aléatoire xxxxx crée un nom de compte de stockage unique.
    simple-vm Machine virtuelle Machine virtuelle utilisée dans la démonstration.
    vnet1 Réseau virtuel Réseau virtuel de la machine virtuelle.

Notes

Les ressources et la configuration dans le cadre de cet exercice sont requises dans l’exercice suivant. Si vous envisagez d’effectuer l’exercice suivant, ne supprimez pas ces ressources.

Tâche 3 : Configurer les connecteurs Microsoft Sentinel

Dans cette tâche, vous déployez un connecteur Microsoft Sentinel vers Activité Azure.

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel. Sélectionnez l’espace de travail Microsoft Sentinel que vous avez créé dans la tâche précédente.

  2. Dans la page Microsoft Sentinel, sur la barre de menus, sous Configuration, sélectionnez Connecteurs de données.

  3. Dans le volet Connecteurs de données, recherchez et sélectionnez Activité Azure.

  4. Dans le volet des détails, sélectionnez Ouvrir la page du connecteur.

    Screenshot of the Microsoft Sentinel Data connectors page.

  5. Dans l’écran Activité Azure, sous Instructions, vérifiez vos prérequis, puis suivez les étapes Configuration.

  6. Quand vous recevez l’état Connecté, fermez tous les panneaux ouverts pour revenir au panneau Microsoft Sentinel | Connecteur de données.

Notes

Le déploiement du connecteur pour Activité Azure peut prendre 15 minutes. Vous pouvez passer au reste des étapes de l’exercice et aux unités suivantes de ce module.