Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi
Le hub de contenu Microsoft Sentinel est votre emplacement centralisé pour découvrir et gérer du contenu prêt à l’emploi (intégré). C’est là que vous trouvez des solutions packagées pour les produits de bout en bout, par domaine ou par secteur. Vous avez également accès à un grand nombre de contributions autonomes hébergées dans notre référentiel GitHub et nos panneaux de fonctionnalités.
Découvrez des solutions et des contenus autonomes avec un ensemble cohérent de fonctionnalités de filtrage en fonction de l’état, du type de contenu, du support, du fournisseur et de la catégorie.
Installez du contenu dans votre espace de travail en une seule fois ou individuellement.
Affichez du contenu en mode Liste et voyez rapidement les solutions qui ont des mises à jour. Mettez à jour les solutions en une seule fois, tandis que le contenu autonome est mis à jour automatiquement.
Gérez une solution pour installer ses types de contenu et obtenir les dernières modifications.
Configurez du contenu autonome pour créer de nouveaux éléments actifs en fonction du modèle le plus à jour.
Si vous êtes un partenaire qui souhaite créer sa propre solution, consultez le Guide de génération de solutions Microsoft Sentinel pour la création et la publication de solutions.
Important
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Prérequis
Pour installer, mettre à jour et supprimer du contenu autonome ou des solutions dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.
Pour plus d’informations sur les autres rôles et autorisations pris en charge pour Microsoft Sentinel, consultez Autorisations dans Microsoft Sentinel.
Découvrir du contenu
Le hub de contenu offre le meilleur moyen de trouver de nouvelles solutions ou de gérer celles qui sont déjà installées.
Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Hub de contenu.La page Hub de contenu affiche une grille ou une liste de solutions et de contenu autonome pouvant faire l’objet de recherches.
Filtrez la liste affichée, soit en sélectionnant des valeurs spécifiques dans les filtres, soit en entrant une partie du nom ou de la description d’un contenu dans le champ de recherche.
Pour plus d’informations, consultez Catégories des solutions et du contenu prêt à l’emploi de Microsoft Sentinel.
Sélectionnez Affichage des cartes pour afficher plus d’informations sur une solution.
Chaque élément de contenu affiche les catégories qui s’y appliquent, et les solutions montrent les types de contenu inclus. Par exemple, dans l’image suivante, la solution Cisco Umbrella présente une catégorie Sécurité - Sécurité du cloud, et cette solution comprend un connecteur de données, des règles d’analytique, des requêtes de chasse, des playbooks et bien plus encore.
Installer ou mettre à jour du contenu
Installez le contenu autonome et les solutions individuellement ou ensemble en bloc. Pour plus d’informations sur les opérations en bloc, consultez Installer et mettre à jour du contenu en bloc dans la section suivante.
Si une solution que vous avez déployée a des mises à jour depuis le dernier déploiement, l’affichage liste affiche Mise à jour dans la colonne d’état. La solution est également incluse dans le nombre de Mises à jour en haut de la page.
Voici un exemple montrant l’installation d’une solution individuelle.
Dans le Hub de contenu, recherchez et sélectionnez la solution.
Dans le volet des détails des solutions, dans le coin inférieur droit, sélectionnez Afficher les détails.
Sélectionnez Créer ou Mettre à jour.
Dans l’onglet De base, entrez l’abonnement, le groupe de ressources et l’espace de travail dans lequel vous déployez la solution. Par exemple :
Sélectionnez Suivant pour parcourir les onglets restants à étudier et, dans certains cas, configurer chacun des composants de contenu.
Les onglets correspondent au contenu proposé par la solution. Des solutions différentes pouvant avoir différents types de contenu, vous ne verrez peut-être pas les mêmes onglets dans chaque solution.
Vous pouvez également être invité à saisir les informations d’identification d’un service non Microsoft afin que Microsoft Sentinel puisse s’authentifier sur vos systèmes. Par exemple, avec des playbooks, vous pourriez vouloir effectuer des actions de réponse comme prévu dans votre système.
Dans l’onglet Vérifier + créer , attendez le message
Validation Passed
.Sélectionnez Créer ou Mettre à jour pour déployer la solution. Vous pouvez également sélectionner le lien Télécharger un modèle d’automatisation afin d’obtenir un lien pour déployer la solution en tant que code.
Installer avec les dépendances
Certaines solutions ont des dépendances à installer, notamment de nombreuses solutions de domaine et solutions qui utilisent les connecteurs AMA unifiés pour CEF, Syslogou journaux personnalisés.
Dans ce cas, sélectionnez Installer avec des dépendances pour vous assurer que les connecteurs de données requis sont également installés. À partir de là, sélectionnez une ou plusieurs des dépendances pour les installer avec la solution d’origine. La solution d’origine que vous avez choisie pour l’installation est toujours sélectionnée par défaut.
Si une ou plusieurs des solutions de dépendances sont déjà installées, mais possède des mises à jour, utilisez le bouton Installer/Mettre à jour pour installer et mettre à jour toutes les solutions sélectionnées en bloc. Par exemple :
Une fois que vous installez une solution, chaque type de contenu dans la solution peut nécessiter d’autres d’étapes de configuration. Pour plus d’informations, consultez Activer les éléments de contenu dans une solution.
Installer et mettre à jour du contenu en bloc
Le hub de contenu prend en charge un affichage de liste en plus de la vue de carte par défaut. Sélectionnez l’affichage liste pour installer plusieurs solutions et contenus autonomes en même temps. Le contenu autonome est automatiquement mis à jour. Tout contenu actif ou personnalisé créé en fonction de solutions ou de contenu autonome installé à partir du hub de contenu reste intact.
Pour installer ou mettre à jour des éléments en bloc, passez en affichage liste.
Recherchez ou filtrez le contenu que vous souhaitez installer ou mettre à jour en bloc.
Cochez la case pour chaque solution ou contenu autonome que vous souhaitez installer ou mettre à jour.
Sélectionnez le bouton Installer/Mettre à jour.
Si une solution ou un contenu autonome que vous avez sélectionné a déjà été installé ou mis à jour, aucune action n’est effectuée sur cet élément. Cela n’interfère pas avec la mise à jour et l’installation des autres éléments.
Sélectionnez Gérer pour chaque solution que vous avez installée. Les types de contenu au sein de la solution peuvent nécessiter plus d’informations pour vous permettre de les configurer. Pour plus d’informations, consultez Activer les éléments de contenu dans une solution.
Activer les éléments de contenu dans une solution
Gérez de manière centralisée les éléments de contenu pour des solutions installées depuis le hub de contenu.
Dans le hub de contenu, sélectionnez une solution installée où la version est 2.0.0 ou ultérieure.
Dans la page des détails des solutions, sélectionnez Gérer.
Passez en revue la liste des éléments de contenu.
Sélectionnez un élément de contenu à démarrer.
Gérer chaque type de contenu
Les sections suivantes fournissent des conseils sur l’utilisation des différents types de contenu lorsque vous gérez une solution.
Connecteur de données
Pour connecter un connecteur de données, effectuez les étapes de configuration.
Sélectionnez Ouvrir la page du connecteur.
Effectuez les étapes de configuration du connecteur de données.
Une fois que vous avez configuré le connecteur de données et que les journaux d’activité sont détectés, l’état passe à Connecté.
Règle analytique
Créer une règle à partir d’un modèle ou modifier une règle existante.
Affichez le modèle dans la galerie de modèles d’analyse.
Si le modèle n’es pas encore utilisé, sélectionnez Ouvrir>Créer une règle et suivez les étapes pour activer la règle d’analyse.
Après la création d’une règle, le nombre de règles actives créées à partir du modèle s’affiche dans la colonne Contenu créé.
Sélectionnez le lien des règles actives pour modifier la règle existante. Par exemple, le lien de règle active dans l’image suivante se trouve sous Contenu créé et affiche 2 éléments.
Requête de chasse
Exécutez la requête de chasse fournie ou personnalisez-la.
Pour commencer à effectuer une recherche immédiatement, sélectionnez Exécuter la requête dans la page de détails pour obtenir des résultats rapides.
Pour personnaliser votre requête de chasse, sélectionnez le lien dans la colonne Nom du contenu.
Depuis la galerie de chasse, vous pouvez créer un clone du modèle de la requête de chasse en lecture seule en accédant au menu des points de suspension. Les requêtes de chasse créées de cette façon s’affichent en tant qu’éléments dans la colonne Contenu créé du hub de contenu.
Classeur
Pour personnaliser un classeur créé à partir d’ un modèle, créez une instance d’un classeur.
Sélectionnez Afficher le modèle pour ouvrir le classeur et voir les visualisations.
Sélectionnez Enregistrer pour créer une instance du modèle de classeur.
Affichez votre classeur personnalisable enregistré en sélectionnant Afficher le classeur enregistré.
Dans le hub de contenu, sélectionnez le lien 1 élément dans la colonne Contenu créé pour gérer le classeur.
Parser
Lorsqu’une solution est installée, tous les analyseurs inclus sont ajoutés en tant que fonctions d’espace de travail dans Log Analytics.
Sélectionnez Charger le code de fonction pour ouvrir Log Analytics et afficher ou exécuter le code de fonction.
Sélectionnez Utiliser dans l’éditeur pour ouvrir Log Analytics avec le nom de l’analyseur prêt à être ajouté à votre requête personnalisée.
Manuel
Créer un playbook à partir d’un modèle.
Sélectionnez le lien Nom du contenu du playbook.
Choisissez le modèle et sélectionnez Créer un playbook.
Après sa création, le playbook actif est affiché dans la colonne Contenu créé.
Cliquez sur le lien 1 élément du playbook actif pour gérer le playbook.
Rechercher le modèle de support pour votre contenu
Le volet d’informations de chaque solution et élément de contenu autonome explique le modèle de support de celle-ci ; dans le champ Support, où figure le nom de Microsoft ou d’un partenaire. Par exemple :
Quand vous contactez le support, vous pourriez avoir besoin d’autres informations sur votre solution, comme un nom d’éditeur, de fournisseur et des valeurs d’ID de plan. Recherchez ces informations dans la page détails de l’onglet Informations d’utilisation et support.
Étapes suivantes
Dans ce document, vous avez appris à rechercher et déployer des solutions intégrées et du contenu autonome pour Microsoft Sentinel.
- En savoir plus sur les solutions Microsoft Sentinel.
- Consultez le catalogue complet de solutions Microsoft Sentinel dans le Place de marché Azure.
- Recherchez des solutions spécifiques au domaine dans le catalogue du hub de contenu Microsoft Sentinel.
- Supprimer le contenu et les solutions prêtes à l’emploi Microsoft Sentinel installés.
De nombreuses solutions incluent des connecteurs de données que vous devrez configurer afin de pouvoir commencer à ingérer vos données dans Microsoft Sentinel. Chaque connecteur de données aura son propre ensemble d’exigences, détaillées sur la page du connecteur de données de Microsoft Sentinel.
Pour plus d’informations, consultez Connecter votre source de données.