Introduction

  • 3 minutes

La fonctionnalité Analytique Microsoft Sentinel fournit une solution intelligente que vous pouvez utiliser pour détecter les menaces et les vulnérabilités potentielles dans votre organisation.

Imaginez que vous travaillez en tant qu’analyste du centre des opérations de sécurité (SOC) chez Contoso, Ltd. Contoso est une société de services financiers de taille moyenne. Basée à Londres, elle a une filiale à New York. Contoso utilise plusieurs produits et services Microsoft afin de mettre en œuvre la sécurité des données et la protection contre les menaces pour ses ressources. Ces produits sont les suivants :

  • Microsoft 365
  • Microsoft Entra ID
  • Protection de l'identifiant Microsoft Entra
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender pour Identity
  • Microsoft Defender for Endpoint
  • Microsoft Defender pour Office 365
  • System Center Endpoint Protection
  • Microsoft Azure Information Protection

Contoso fournit une protection contre les menaces pour ses ressources Azure et locales en utilisant la version payante de Microsoft Defender pour le cloud. La société supervise et protège également d’autres actifs non-Microsoft. Les analystes de la sécurité de Contoso font face à une charge de triage considérable. Ils doivent gérer un volume élevé d’alertes en provenance de plusieurs produits. Les alertes sont mises en corrélation à l’aide des méthodes suivantes :

  • Méthode manuelle avec des tableaux de bord de différents projets
  • Utilisation d’un moteur de corrélation traditionnel

En outre, l’équipe SOC ne peut pas effectuer les tâches qui lui incombent en raison du temps consacré à la configuration et à la maintenance de l’infrastructure informatique.

Le directeur informatique pense que la fonctionnalité Analytique Microsoft Sentinel permettra aux analystes de la sécurité de mener plus rapidement des investigations complexes et d’améliorer le centre des opérations de sécurité (SOC). En tant qu’ingénieur système en chef de Contoso et administrateur Azure, vous avez été invité à configurer des règles analytiques dans Microsoft Sentinel afin que l’équipe SecOps puisse identifier et analyser les attaques contre les ressources Contoso.

Dans ce module, vous allez comprendre l’importance de l’utilisation d’Analytique Microsoft Sentinel, créer et implémenter des règles analytiques à partir de modèles existants, créer de nouvelles règles et requêtes à l’aide de l’Assistant, et gérer les règles avec les modifications.

À la fin de ce module, vous serez en mesure de configurer des règles analytiques dans Microsoft Sentinel pour aider l’équipe SecOps à identifier et à arrêter les cyberattaques.

Objectifs d’apprentissage

  • Expliquer l’importance d’Analytique Microsoft Sentinel.
  • Expliquer les différents types de règles analytiques.
  • Créer des règles à partir de modèles.
  • Créez de nouvelles règles et requêtes analytiques à l’aide de l’Assistant Règle analytique.
  • Gérer les règles avec les modifications.

Prérequis

  • Connaissance de base des services PaaS Azure
  • Connaissance de base des concepts opérationnels, tels que la surveillance, la journalisation et les alertes
  • Abonnement Azure
  • Instance Microsoft Sentinel dans votre abonnement Azure

Notes

Si vous choisissez d’effectuer l’exercice dans ce module, sachez que des frais peuvent s’appliquer dans votre abonnement Azure. Pour estimer le coût, consultez les tarifs de Microsoft Sentinel.