Exercice - Détecter les menaces avec Analytique Microsoft Sentinel

  • 20 minutes

L’exercice Détection des menaces avec Analytique Microsoft Sentinel dans ce module est une unité facultative. Toutefois, si vous voulez faire cet exercice, vous devez avoir accès à un abonnement Azure dans lequel vous pouvez créer des ressources Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Pour déployer les prérequis de l’exercice, effectuez les tâches suivantes.

Notes

Si vous choisissez d’effectuer l’exercice dans ce module, sachez que des frais peuvent s’appliquer dans votre abonnement Azure. Pour estimer le coût, consultez les tarifs de Microsoft Sentinel.

Tâche 1 : Déployer Microsoft Sentinel à l’aide d’un modèle ARM

  1. Sélectionnez le lien suivant :

    Déployer dans Azure.

    Vous êtes invité à vous connecter à Azure. Le volet Déploiement personnalisé s’affiche.

  2. Sous l’onglet Informations de base, entrez les valeurs suivantes pour chaque paramètre.

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Resource group Sélectionnez Créer nouveau et spécifiez le nom du nouveau groupe de ressources, par exemple azure-sentinel-rg.
    Détails de l’instance
    Région Dans la liste déroulante, sélectionnez l’emplacement où vous voulez déployer Microsoft Sentinel.
    Nom de l’espace de travail Spécifiez un nom unique pour l’espace de travail Microsoft Sentinel, par exemple <yourName>-sentinel, où <yourName> représente le nom de l’espace de travail que vous avez choisi dans la tâche précédente.
    Emplacement Acceptez la valeur par défaut [resourceGroup().location].
    Nom de machine virtuelle simple Acceptez la valeur par défaut simple-vm.
    Version du système d’exploitation Windows de machine virtuelle simple Acceptez la valeur par défaut 2016-Datacenter.

  3. Sélectionnez Vérifier + créer. Quand la validation réussit, sélectionnez Créer.

    Capture d’écran de la page Déploiement personnalisé.

    Notes

    Attendez la fin du déploiement. Le déploiement doit prendre moins de cinq minutes.

Tâche 2 : Vérifier les ressources créées

  1. Dans le portail Azure, recherchez Groupes de ressources.

  2. Sélectionnez azure-sentinel-rg.

  3. Triez la liste des ressources par type.

    Le groupe de ressources doit contenir les ressources répertoriées dans le tableau suivant.

    Nom Type Description
    <yourName>-sentinel Espace de travail Log Analytics Espace de travail Log Analytics utilisé par Microsoft Sentinel, où <yourName> représente le nom de l’espace de travail que vous avez choisi dans la tâche précédente.
    simple-vmNetworkInterface interface réseau Interface réseau de la machine virtuelle.
    SecurityInsights(<yourName>-sentinel) Solution Insights de sécurité pour Microsoft Sentinel.
    simple-vm Machine virtuelle Machine virtuelle utilisée dans la démonstration.
    st1<xxxxx> Compte de stockage Compte de stockage utilisé par la machine virtuelle, où <xxxxx> représente une chaîne aléatoire générée pour créer un nom de compte de stockage unique.
    vnet1 Réseau virtuel Réseau virtuel de la machine virtuelle.

Notes

Les ressources déployées et les étapes de configuration effectuées dans le cadre de cet exercice sont requises dans l’exercice suivant. Si vous avez prévu d’effectuer l’exercice suivant, ne supprimez pas les ressources de cet exercice.

Tâche 3 : Configurer des connecteurs de données Microsoft Sentinel

Dans cette tâche, vous déployez un connecteur de données Microsoft Sentinel vers Activité Azure.

  1. Dans le portail Azure, sélectionnez Accueil, puis recherchez et sélectionnez Microsoft Sentinel.

  2. Dans la liste des noms d’espace de travail Sentinel, sélectionnez l’espace de travail Microsoft Sentinel que vous avez créé dans le cadre de la Tâche 2. Le volet Vue d’ensemble de votre espace de travail Sentinel apparaît.

  3. Dans le volet de menu, sous Gestion du contenu, sélectionnez Hub de contenu. Le volet Hub de contenu s’affiche.

  4. Dans la zone de Recherche, recherchez et sélectionnez la solution Activité Azure. Dans le volet d’informations de Activité Azure, sélectionnez Installer.

  5. Attendez la fin de l’installation et sélectionnez Gérer.

  6. Dans la zone de Recherche, recherchez et sélectionnez le connecteur de données Activité Azure.

  7. Dans le volet d’informations Activité Azure, sélectionnez Ouvrir la page du connecteur.

  8. Sous l’onglet Instructions, dans la zone Configuration, faites défiler vers le bas, jusqu’à « 2. Connecter vos abonnements... », sélectionnez Lancer l’Assistant Attribution Azure Policy>.

  9. Sous l’onglet Informations de base, sélectionnez le bouton de points de suspension (...) sous Étendue, sélectionnez votre « abonnement Azure » dans la liste déroulante, puis sélectionnez Sélectionner.

  10. Sélectionnez l’onglet Paramètres, choisissez votre espace de travail votreNom-sentinel dans la liste déroulante Espace de travail Log Analytics principal.

  11. Sélectionnez l’onglet Correction et cochez la case Créer une tâche de correction. Cette action applique la configuration de l’abonnement pour envoyer les informations à l’espace de travail Log Analytics.

    Notes

    Pour appliquer la stratégie à vos ressources existantes, vous devez créer une tâche de correction.

  12. Sélectionnez le bouton Vérifier + créer pour passer en revue la configuration.

  13. Sélectionnez Créer pour terminer.

  14. Une fois le déploiement terminé, vous verrez l’état Connecté (barre verte) du connecteur Activité Azure dans le volet Connecteurs de configuration/données.

Capture d’écran du connecteur Microsoft Sentinel.

Notes

Le connecteur pour Activité Azure peut prendre environ 15 minutes pour afficher Connecté dans Microsoft Sentinel. Vous pouvez passer aux étapes restantes et aux autres unités de ce module.