Démarrage rapide : Intégration de Microsoft Sentinel

Dans ce guide de démarrage rapide, vous allez activer Microsoft Sentinel et installer une solution à partir du hub de contenu. Ensuite, vous allez configurer un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel.

Microsoft Sentinel est fourni avec de nombreux connecteurs de données pour les produits Microsoft tels que le connecteur de service à service Microsoft Defender XDR. Vous pouvez également activer des connecteurs intégrés pour les produits non-Microsoft, tels que Syslog ou Common Event Format (CEF). Pour ce démarrage rapide, vous allez utiliser le connecteur de données Azure Activity qui est disponible dans la solution Azure Activity pour Microsoft Sentinel.

Prérequis

Activer Microsoft Sentinel

Pour commencer, ajoutez Microsoft Sentinel à un espace de travail existant ou créez-en un.

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Microsoft Sentinel.

    Screenshot of searching for a service while enabling Microsoft Sentinel.

  3. Sélectionnez Ajouter.

  4. Sélectionnez l’espace de travail que vous souhaitez utiliser ou créez-en un. Vous pouvez exécuter Microsoft Sentinel sur plusieurs espaces de travail, mais les données sont isolées sur un seul espace de travail.

    Screenshot of choosing a workspace while enabling Microsoft Sentinel.

    • Les espaces de travail par défaut créés par Microsoft Defender pour le cloud ne sont pas affichés dans la liste. Vous ne pouvez pas installer Microsoft Sentinel sur ces espaces de travail.
    • Une fois déployé dans un espace de travail, Microsoft Sentinel ne prend pas actuellement en charge le déplacement de cet espace de travail vers un autre groupe de ressources ou un autre abonnement.
  5. Sélectionnez Ajouter Microsoft Sentinel.

Installez une solution à partir du hub de contenu

Le hub de contenu dans Microsoft Sentinel est l’emplacement centralisé pour découvrir et gérer du contenu prête à l’emploi, y compris les connecteurs de données. Pour ce guide de démarrage rapide, installez la solution pour Azure Activity.

  1. Dans Microsoft Sentinel, sélectionnez Hub de contenu.

  2. Recherchez et sélectionnez la solution Azure Activity.

    Screenshot of the content hub with the solution for Azure Activity selected.

  3. Dans la barre d’outils en haut de la page, sélectionnez Installer/Mettre à jour.

Configurez le connecteur de données

Microsoft Sentinel ingère les données des services et des applications en se connectant à ceux-ci et en se transférant les événements et les journaux. Pour ce guide de démarrage rapide, installez le connecteur de données pour transférer les données d’Azure Activity à Microsoft Sentinel.

  1. Sélectionnez Connecteurs de données dans Microsoft Sentinel.

  2. Recherchez et sélectionnez le connecteur de données Azure Activity.

  3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

  4. Passez en revue les instructions pour configurer le connecteur.

  5. Sélectionnez Lancer l’Assistant Attribution Azure Policy.

  6. Sous l’onglet De base, définissez Étendue sur l’abonnement et le groupe de ressources dont l’activité doit être envoyée à Microsoft Sentinel. Par exemple, sélectionnez l’abonnement qui contient votre instance Microsoft Sentinel.

  7. Sélectionnez l'onglet Paramètres .

  8. Définissez l’espace de travail Log Analytics principal. Il doit s’agir de l’espace de travail dans lequel Microsoft Sentinel est installé.

  9. Sélectionnez Vérifier + créer, puis Créer.

Générez des données d’activité

Nous allons générer des données d’activité en activant une règle qui a été incluse dans la solution Azure Activity pour Microsoft Sentinel. Cette étape vous montre également comment gérer le contenu dans le hub de contenu.

  1. Dans Microsoft Sentinel, sélectionnez Hub de contenu.

  2. Recherchez et sélectionnez la solution Azure Activity.

  3. Dans le volet de droite, sélectionnez Gérer.

  4. Recherchez et sélectionnez le modèle de règle Déploiement de ressources suspectes.

  5. Sélectionnez Configuration.

  6. Sélectionnez la règle et Créer une règle.

  7. Sous l’onglet Général, définissez État comme étant activé. Conservez les autres valeurs par défaut.

  8. Acceptez les valeurs par défaut sur les autres onglets.

  9. Dans l’onglet Vérifier et créer, sélectionnez Créer.

Affichez les données ingérées dans Microsoft Sentinel

Maintenant que vous avez activé le connecteur de données Azure Activity et généré des données d’activité, nous allons afficher les données d’activité ajoutées à l’espace de travail.

  1. Sélectionnez Connecteurs de données dans Microsoft Sentinel.

  2. Recherchez et sélectionnez le connecteur de données Azure Activity.

  3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

  4. Passez en revue l’État du connecteur de données. Il doit être Connecté.

    Screenshot of data connector for Azure Activity with the status showing as connected.

  5. Dans le volet latéral gauche au-dessus du graphique, sélectionnez Accéder à l’analytique des journaux d'activité.

  6. En haut du volet, en regard de l’onglet Nouvelle requête 1, sélectionnez l’onglet + pour ajouter une nouvelle requête.

  7. Dans le volet de requête, exécutez la requête suivante pour afficher la date d’activité ingérée dans l’espace de travail.

     AzureActivity
    

    Screenshot of the log query window with results returned for the Azure Activity query.

Étapes suivantes

Dans ce guide de démarrage rapide, vous avez activé Microsoft Sentinel et installé une solution à partir du hub de contenu. Ensuite, vous configurez un connecteur de données pour commencer à ingérer des données dans Microsoft Sentinel. Vous avez également vérifié que les données sont ingérées en affichant les données dans l’espace de travail.