Connecter Microsoft Sentinel au portail Microsoft Defender
Microsoft Sentinel est généralement disponible dans la plateforme d’opérations de sécurité unifiées (SecOps) de Microsoft dans le portail Microsoft Defender. Lorsque vous intégrez Microsoft Sentinel au portail Defender avec Microsoft Defender XDR, vous unifiez des fonctionnalités telles que la gestion des incidents et la chasse avancée. Réduisez le basculement d’outils et créez une investigation plus contextuelle qui accélère la réponse aux incidents et arrête les violations plus rapidement. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Billet de blog : Disponibilité générale de la plateforme d’opérations de sécurité unifiée de Microsoft
- Billet de blog : Forum aux questions sur la plateforme unifiée d’opérations de sécurité
- Microsoft Sentinel dans le portail Microsoft Defender
- intégration Microsoft Defender XDR à Microsoft Sentinel
Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ni licence E5.
Configuration requise
Avant de commencer, consultez la documentation des fonctionnalités pour comprendre les modifications et les limitations du produit.
- Microsoft Sentinel dans le portail Microsoft Defender
- Repérage avancé dans le portail Microsoft Defender
- Alertes, incidents et corrélation dans Microsoft Defender XDR
- Automatisation avec la plateforme d’opérations de sécurité unifiée
Le portail Microsoft Defender prend en charge un seul locataire Microsoft Entra et la connexion à un espace de travail à la fois. Dans le contexte de cet article, un espace de travail est un espace de travail Log Analytics avec Microsoft Sentinel activé.
Microsoft Sentinel prérequis
Pour intégrer et utiliser Microsoft Sentinel dans le portail Defender, vous devez disposer des ressources et des accès suivants :
Un espace de travail Log Analytics pour lequel Microsoft Sentinel activé
Le connecteur de données pour Microsoft Defender XDR activé dans Microsoft Sentinel pour les incidents et les alertes. Installez la solution Defender XDR et configurez le connecteur de données pour vous connecter Microsoft Sentinel au portail Defender. Pour plus d’informations, consultez Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi. Dans le connecteur de données Defender XDR, l’option de configuration permettant de connecter les incidents et les alertes est désactivée une fois que vous avez intégré Microsoft Sentinel au portail Defender.
Un compte Azure avec les rôles appropriés pour intégrer, utiliser et créer des demandes de support pour Microsoft Sentinel dans le portail Defender. Le tableau suivant met en évidence certains des rôles clés nécessaires.
Tâche Microsoft Entra ou le rôle intégré Azure requis Portée Intégrer Microsoft Sentinel au portail Defender Administrateur général ou administrateur de la sécurité dans Microsoft Entra ID Tenant Connecter ou déconnecter un espace de travail avec Microsoft Sentinel activé Propriétaire ou
administrateur de l’accès utilisateur et contributeur Microsoft Sentinel- Abonnement pour les rôles
Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour Microsoft Sentinel ContributeurAfficher Microsoft Sentinel dans le portail Defender lecteur Microsoft Sentinel Abonnement, groupe de ressources ou ressource d’espace de travail Interroger Sentinel des tables de données ou afficher des incidents Microsoft Sentinel Lecteur ou un rôle avec les actions suivantes :
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/readAbonnement, groupe de ressources ou ressource d’espace de travail Prendre des mesures d’enquête sur les incidents Microsoft Sentinel Contributeur ou un rôle avec les actions suivantes :
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeAbonnement, groupe de ressources ou ressource d’espace de travail Créer une demande de support Propriétaire,
Contributeur ou
Demande de support contributeur ou un rôle personnalisé avec Microsoft.Support/*Abonnement Après vous être connecté Microsoft Sentinel au portail Defender, vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure existantes vous permettent d’utiliser les fonctionnalités Microsoft Sentinel auxquelles vous avez accès. Continuez à gérer les rôles et les autorisations pour vos utilisateurs Microsoft Sentinel à partir du Portail Azure. Toutes les modifications azure RBAC sont répercutées dans le portail Defender. Pour plus d’informations sur les autorisations Microsoft Sentinel, consultez Rôles et autorisations dans Microsoft Sentinel | Microsoft Learn et gérer l’accès aux données Microsoft Sentinel par ressource | Microsoft Learn.
Prérequis de la plateforme SecOps unifiée de Microsoft
Pour unifier les fonctionnalités avec Defender XDR dans la plateforme SecOps unifiée de Microsoft, vous devez disposer des ressources et des accès suivants :
- Licences pour Defender XDR, comme décrit dans Microsoft Defender XDR prérequis
- Le compte pour Defender XDR est membre du même locataire Microsoft Entra auquel Microsoft Sentinel est associé
- Accès aux Microsoft Defender XDR dans le portail Defender, comme décrit dans Microsoft Defender XDR conditions préalables
Intégrer Microsoft Sentinel
Pour connecter un espace de travail Microsoft Sentinel au portail Defender, procédez comme suit. Si vous intégrez Microsoft Sentinel sans Defender XDR (préversion), vous devez effectuer une étape supplémentaire pour déclencher la connexion avec Microsoft Sentinel et le portail Defender.
Accédez au portail Microsoft Defender et connectez-vous.
Pour intégrer Microsoft Sentinel sans Defender XDR dans le portail Defender :
- Pour déclencher la connexion avec Microsoft Sentinel, sélectionnez Investigation & response>Incidents.
- Attendez quelques minutes que la connexion se termine.
Dans le portail Defender, sélectionnez Vue d’ensemble.
Sélectionnez Connecter un espace de travail.
Choisissez l’espace de travail que vous souhaitez connecter, puis sélectionnez Suivant.
Lisez et comprenez les modifications apportées au produit associées à la connexion de votre espace de travail. Ces modifications sont notamment les suivantes :
- Les tables de journal, les requêtes et les fonctions de l’espace de travail Microsoft Sentinel sont également disponibles dans la chasse avancée dans le portail Defender.
- Le rôle Contributeur Microsoft Sentinel est attribué aux applications Protection Microsoft contre les menaces et WindowsDefenderATP au sein de l’abonnement.
- Les règles de création d’incidents de sécurité Microsoft actives sont désactivées pour éviter les incidents en double. Cette modification s’applique uniquement aux règles de création d’incident pour les alertes Microsoft et non à d’autres règles d’analyse.
- Toutes les alertes liées aux produits Defender XDR sont diffusées directement à partir du connecteur de données main Defender XDR pour garantir la cohérence. Vérifiez que les incidents et les alertes de ce connecteur sont activés dans l’espace de travail.
Sélectionnez Connexion.
Une fois votre espace de travail connecté, la bannière de la page Vue d’ensemble indique que votre environnement est prêt. La page Vue d’ensemble est mise à jour avec de nouvelles sections qui incluent des métriques de Microsoft Sentinel comme le nombre de connecteurs de données et les règles d’automatisation.
Explorer les fonctionnalités Microsoft Sentinel dans le portail Defender
Une fois que vous avez connecté votre espace de travail au portail Defender, Microsoft Sentinel se trouve dans le volet de navigation de gauche. Si vous avez Defender XDR activé, des pages telles que Vue d’ensemble, Incidents et Repérage avancé ont des données unifiées provenant de Microsoft Sentinel et Defender XDR. Si vous n’avez pas activé Defender XDR, ces pages incluent simplement des données de Microsoft Sentinel (préversion). Pour plus d’informations sur les fonctionnalités unifiées et les différences entre les portails, consultez Microsoft Sentinel dans le portail Microsoft Defender.
La plupart des fonctionnalités Microsoft Sentinel existantes sont intégrées au portail Defender. Pour ces fonctionnalités, notez que l’expérience entre Microsoft Sentinel dans le Portail Azure et le portail Defender est similaire. Utilisez les articles suivants pour commencer à utiliser Microsoft Sentinel dans le portail Defender. Lorsque vous utilisez ces articles, gardez à l’esprit que votre point de départ dans ce contexte est le portail Defender au lieu du Portail Azure.
- Recherche
- Gestion des menaces
- Visualiser et surveiller vos données à l’aide de classeurs
- Mener une chasse de bout en bout aux menaces avec Hunts
- Utiliser des signets de chasse pour les investigations de données
- Utiliser le livestream de chasse dans Microsoft Sentinel pour détecter les menaces
- Rechercher les menaces de sécurité avec les notebooks Jupyter
- Ajouter des indicateurs en bloc pour Microsoft Sentinel renseignement sur les menaces à partir d’un fichier CSV ou JSON
- Utiliser des indicateurs de menace dans Microsoft Sentinel
- Comprendre la couverture de sécurité par l’infrastructure MITRE ATT&CK
- Gestion de contenu
- Configuration
- Rechercher votre connecteur de données Microsoft Sentinel
- Créer des règles d’analyse personnalisées pour détecter les menaces
- Utiliser des règles d’analyse de détection en quasi-temps réel (NRT) dans Microsoft Sentinel
- Créer des watchlists
- Gérer les watchlists dans Microsoft Sentinel
- Créer des règles d’automatisation
- Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles de contenu
Recherchez Microsoft Sentinel paramètres dans le portail Defender sousParamètres>système>Microsoft Sentinel.
Microsoft Sentinel hors-bord
Vous ne pouvez avoir qu’un seul espace de travail connecté au portail Defender à la fois. Si vous souhaitez vous connecter à un autre espace de travail sur lequel Microsoft Sentinel activé, déconnectez l’espace de travail actuel et connectez-vous à l’autre espace de travail.
Accédez au portail Microsoft Defender et connectez-vous.
Dans le portail Defender, sous Système, sélectionnez Paramètres>Microsoft Sentinel.
Dans la page Espaces de travail , sélectionnez l’espace de travail connecté et Déconnecter l’espace de travail.
Indiquez une raison pour laquelle vous déconnectez l’espace de travail.
Confirmez votre sélection.
Lorsque votre espace de travail est déconnecté, la section Microsoft Sentinel est supprimée du volet de navigation gauche du portail Defender. Les données de Microsoft Sentinel ne sont plus incluses dans la page Vue d’ensemble.
Si vous souhaitez vous connecter à un autre espace de travail, dans la page Espaces de travail , sélectionnez l’espace de travail et Connecter un espace de travail.