Édition

Supervision de la sécurité hybride avec Microsoft Defender pour le cloud et Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender pour le cloud
Microsoft Sentinel
Azure Stack

Cette architecture de référence illustre comment utiliser Microsoft Defender pour le cloud et Microsoft Sentinel pour superviser la configuration de la sécurité et la télémétrie des charges de travail locales, Azure et Azure Stack.

Architecture

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Téléchargez un fichier Visio de cette architecture.

Workflow

  • Microsoft Defender pour le cloud. Il s’agit d’une plateforme avancée et unifiée de gestion de la sécurité que Microsoft propose à tous les abonnés Azure. Defender pour le cloud est segmenté en une plateforme de gestion de la posture de sécurité cloud (CSPM) et une plateforme de protection de la charge de travail cloud (CWPP). CWPP est définie par des solutions de protection de sécurité axées sur la charge de travail, qui sont généralement basées sur un agent. Microsoft Defender pour le cloud fournit une protection contre les menaces pour les charges de travail Azure, localement et dans d’autres clouds, notamment les machines virtuelles Windows et Linux, les conteneurs, les bases de données et l’Internet des objets (IoT). Lorsqu’il est activé, l’agent Log Analytics se déploie automatiquement sur des machines virtuelles Azure. Pour les serveurs et machines virtuelles Windows et Linux locaux, vous pouvez déployer manuellement l’agent, utiliser l’outil de déploiement de votre organisation, tel que Gestionnaire Endpoint Protection Microsoft, ou utiliser des méthodes de déploiement à l’aide de scripts. Defender pour le cloud commence à évaluer l’état de sécurité de l’ensemble de vos machines virtuelles, réseaux, applications et données.
  • Microsoft Azure Sentinel. Est une solution native Cloud de type SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response) qui utilise l’intelligence artificielle et l’analytique de sécurité avancées pour vous aider à détecter, repérer et prévenir les menaces et à y répondre au sein de votre entreprise.
  • Azure Stack . Est un portefeuille de produits qui étend les services et les fonctionnalités Azure à l’environnement de votre choix, notamment le centre de données, les emplacements de périphérie et les bureaux distants. Les implémentations Azure Stack utilisent généralement des racks de 4 à 16 serveurs. Ces racks sont fabriqués par des partenaires fournisseurs de matériel de confiance et sont fournis directement à votre centre de données.
  • Azure Monitor. Collecte la télémétrie de surveillance à partir de diverses sources locales et Azure. Les outils de gestion, tels que ceux de Microsoft Defender pour le cloud et Azure Automation, transmettent également les données du journal à Azure Monitor.
  • Espace de travail Log Analytics. Azure Monitor stocke les données de journal dans un espace de travail Log Analytics, qui n’est autre qu’un conteneur de données et d’informations de configuration.
  • Agent Log Analytics. L’agent Log Analytics collecte des données de supervision à partir du système d’exploitation invité et des charges de travail de machine virtuelle dans Azure, d’autres fournisseurs de cloud et localement. L’agent Log Analytics prend en charge la configuration du proxy et, généralement dans ce scénario, une passerelle Microsoft Operations Management Suite (OMS) joue le rôle de proxy.
  • Réseau local. Il s’agit du pare-feu configuré pour prendre en charge la sortie HTTPS de systèmes définis.
  • Systèmes Windows et Linux locaux. Systèmes sur lesquels l’agent Log Analytics est installé.
  • Machines virtuelles Windows et Linux Azure. Systèmes sur lesquels l’agent d’analyse Microsoft Defender pour le cloud est installé.

Composants

Détails du scénario

Cas d’usage potentiels

Utilisations courantes de cette architecture :

  • Meilleures pratiques pour l’intégration de la sécurité locale et de la surveillance de la télémétrie avec les charges de travail basées sur Azure
  • Intégrer Microsoft Defender pour le cloud avec Azure Stack
  • Intégrer Microsoft Defender pour le cloud avec Microsoft Sentinel

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Mise à niveau de Microsoft Defender pour le cloud

Cette architecture de référence utilise Microsoft Defender pour le cloud afin de surveiller les systèmes locaux, les machines virtuelles Azure, les ressources Azure Monitor, voire les machines virtuelles hébergées par d’autres fournisseurs de cloud. Vous trouverez des détails sur la tarification de Microsoft Defender pour le cloud ici.

Espace de travail Log Analytics personnalisé

Microsoft Azure Sentinel a besoin d’accéder à un espace de travail Log Analytics. Dans ce scénario, vous ne pouvez pas utiliser l’espace de travail Log Analytics de Defender pour Cloud par défaut avec Microsoft Sentinel. Au lieu de cela, vous créez un espace de travail personnalisé. La conservation des données pour un espace de travail personnalisé est basée sur le niveau tarifaire de l’espace de travail ; les modèles de tarification pour les journaux de surveillance sont accessibles ici.

Notes

Microsoft Azure Sentinel peut s’exécuter sur des espaces de travail dans toute région couverte par la mise à disposition générale (GA) de Log Analytics, à l’exception des régions Chine et Allemagne (souveraines). Les données générées par Microsoft Azure Sentinel (comme des incidents, des signets et des règles d’alerte, qui peuvent contenir des données client provenant de ces espaces de travail) sont enregistrées dans les régions Europe (pour les espaces de travail situés en Europe), Australie (pour les espaces de travail situés en Australie) ou USA Est (pour les espaces de travail situés dans toute autre région).

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

Une stratégie de sécurité définit l’ensemble des contrôles recommandés pour les ressources d’un abonnement spécifique. Dans Microsoft Defender pour le cloud, vous définissez les stratégies de vos abonnements Azure en fonction des exigences de sécurité de votre entreprise, mais aussi du type des applications ou de la confidentialité des données dans chaque abonnement.

Les stratégies de sécurité que vous activez dans Microsoft Defender pour le cloud déterminent les recommandations et la surveillance en lien avec la sécurité. Pour en savoir plus sur les stratégies de sécurité, consultez renforcer votre stratégie de sécurité avec Microsoft Defender pour le cloud. Vous pouvez attribuer des stratégies de sécurité dans Microsoft Defender pour le cloud uniquement aux niveaux de groupe de gestion ou d’abonnement.

Notes

La première partie de l’architecture de référence explique comment permettre à Microsoft Defender pour le cloud de surveiller les ressources Azure, les systèmes locaux et les systèmes Azure Stack.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

Comme décrit précédemment, les coûts suivants peuvent être facturés en sus de votre abonnement Azure :

  1. Coûts Microsoft Defender for Cloud. Pour plus d’informations, consultez Tarification Defender pour le cloud.
  2. L’espace de travail Azure Monitor offre une granularité de facturation. Pour plus d’informations, consultez Gérer l’utilisation et les coûts avec les journaux Azure Monitor.
  3. Microsoft Sentinel est un service payant. Pour plus d’informations, consultez Tarification Microsoft Azure Sentinel.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

Rôles de Microsoft Defender pour le cloud

Defender pour le cloud évalue la configuration de vos ressources pour identifier les problèmes de sécurité et les vulnérabilités, et affiche des informations relatives à une ressource quand le rôle Propriétaire, Contributeur ou Lecteur vous est attribué pour l’abonnement ou le groupe de ressources auquel la ressource appartient.

En plus de ces rôles, il existe deux rôles spécifiques de Defender pour le cloud :

  • Lecteur de sécurité. L’utilisateur ayant ce rôle dispose de droits en lecture seule sur Defender pour le cloud. Il peut consulter les recommandations, les alertes, la stratégie de sécurité actuelle et les états de la sécurité, mais il ne peut pas apporter de modifications.

  • Administrateur de la sécurité. L’utilisateur ayant ce rôle dispose des mêmes droits que le Lecteur de sécurité. Il peut en outre modifier les stratégies de sécurité et ignorer les alertes et les recommandations. En règle générale, il s’agit d’utilisateurs qui gèrent la charge de travail.

  • Les rôles de sécurité Lecteur Sécurité et Administrateur de la sécurité ont accès uniquement à Defender pour le cloud. Les rôles de sécurité n’ont pas accès aux autres services d’Azure (par exemple Stockage, Web, Mobile ou IoT).

Abonnement Microsoft Sentinel

  • Pour activer Microsoft Sentinel, vous devez disposer d’autorisations Contributeur sur l’abonnement dans lequel réside l’espace de travail Microsoft Sentinel.
  • Pour utiliser Microsoft Azure Sentinel, vous avez besoin des autorisations de contributeur ou de lecteur sur le groupe de ressources auquel appartient l’espace de travail.
  • Microsoft Sentinel est un service payant. Pour plus d’informations, consultez Tarification Microsoft Azure Sentinel.

Efficacité des performances

L’efficacité des performances est la capacité de votre charge de travail à s’adapter efficacement pour répondre aux besoins des utilisateurs. Pour plus d’informations, consultez Vue d’ensemble du pilier d’efficacité des performances.

L’agent Log Analytics pour Windows et Linux est conçu pour avoir un impact minime sur les performances des machines virtuelles ou des systèmes physiques.

Le processus opérationnel de Microsoft Defender pour le cloud n’interfère pas avec vos procédures opérationnelles normales. Au lieu de cela, il surveille passivement vos déploiements et fournit des recommandations en fonction des stratégies de sécurité que vous activez.

Déployer ce scénario

Créer un espace de travail Log Analytics dans le portail Azure

  1. Connectez-vous au portail Azure en tant qu’utilisateur disposant de privilèges Administrateur de sécurité.
  2. Dans le portail Azure, sélectionnez Tous les services. Dans la liste des ressources, entrez Log Analytics. Au fur et à mesure de la saisie, la liste est filtrée. Sélectionnez Espaces de travail Log Analytics.
  3. Sélectionnez Ajouter dans la page Log Analytics.
  4. Attribuez un nom au nouvel espace de travail Log Analytics, par exemple Defender pour le cloud-SentinelWorkspace. Ce nom doit être globalement unique sur l’ensemble des abonnements Azure Monitor.
  5. Dans la liste déroulante Abonnement, sélectionnez un abonnement si la valeur par défaut sélectionnée n’est pas appropriée.
  6. Pour Groupe de ressources, choisissez d’utiliser un groupe de ressources existant ou d’en créez un.
  7. Sous Emplacement, sélectionnez une géolocalisation appropriée.
  8. Sélectionnez OK pour achever la configuration. New Workspace created for the architecture

Activer Defender pour le cloud

Si vous êtes toujours connecté au portail Azure en tant qu’utilisateur disposant de privilèges Administrateur de sécurité, sélectionnez Defender pour le cloud dans le volet. Fenêtre Defender pour le cloud – Vue d’ensemble s’ouvre :

Defender for Cloud Overview dashboard blade opens

Defender pour le cloud active automatiquement le niveau Gratuit pour tous les abonnements Azure que ni vous ni aucun autre utilisateur de l’abonnement n’avez intégrés précédemment.

Mettre à niveau Microsoft Defender pour le cloud

  1. Dans le menu principal de Defender pour le cloud, sélectionnez Prise en main.
  2. Sélectionnez le bouton Mettre à niveau maintenant. Defender pour le cloud dresse la liste de vos abonnements et espaces de travail qui peuvent être utilisés.
  3. Vous pouvez sélectionner des espaces de travail et abonnements éligibles pour démarrer votre évaluation. Dans le menu déroulant, sélectionnez l’espace de travail créé précédemment, ASC-SentinelWorkspace.
  4. Dans le menu principal de Defender pour le cloud, sélectionnez Démarrer l’essai.
  5. La boîte de dialogue Installer des agents doit s’afficher.
  6. Sélectionnez le bouton Installer des agents. Le panneau Microsoft Defender pour le cloud - Couverture s’affiche et vous devriez voir votre abonnement sélectionné. Security Coverage blade showing your subscriptions should be open

Vous avez maintenant activé l’approvisionnement automatique, et Defender pour le cloud installera l’agent Log Analytics pour Windows (HealthService.exe) et l’omsagent pour Linux sur toutes les machines virtuelles Azure prises en charge et toutes celles que vous créez. Vous pouvez désactiver cette stratégie et la gérer manuellement, même si nous vous recommandons fortement d’utiliser l’approvisionnement automatique.

Pour en savoir plus sur les fonctionnalités de Defender pour le cloud qui sont disponibles dans Windows et Linux, consultez Couverture des fonctionnalités pour les machines.

Activer la surveillance par Microsoft defender pour le cloud des ordinateurs Windows locaux

  1. Dans le panneau Microsoft Defender pour le cloud - Vue d’ensemble du portail Azure, sélectionnez l’onglet Prise en main.
  2. Sélectionnez Configurer sous Ajouter de nouveaux ordinateurs non-Azure. Une liste de vos espaces de travail Log Analytics s’affiche, qui devrait inclure l’espace de travail Defender pour le cloud-SentinelWorkspace.
  3. Sélectionnez cet espace de travail. Le panneau Agent direct s’ouvre et affiche un lien permettant de télécharger un agent Windows et des clés pour votre ID d’espace de travail, qui serviront à la configuration de l’agent.
  4. Cliquez sur le lien Télécharger l’Agent Windows correspondant au type de processeur de votre ordinateur pour télécharger le fichier d’installation.
  5. À droite du champ ID de l’espace de travail, sélectionnez Copier puis collez l’ID dans Bloc-notes.
  6. À droite du champ Clé primaire, sélectionnez Copier puis collez la clé dans Bloc-notes.

Installer l’agent Windows

Pour installer l’agent sur les ordinateurs cibles, procédez comme suit.

  1. Copiez le fichier sur l’ordinateur cible, puis exécutez la commande Run Setup.
  2. Sur la page d’accueil, sélectionnez Suivant.
  3. Sur la page Termes du contrat de licence, lisez la licence, puis sélectionnez J’accepte.
  4. Sur la page Dossier de destination, modifiez ou conservez le dossier d’installation par défaut, puis sélectionnez Suivant.
  5. Sur la page Options d’installation de l’agent, choisissez de connecter l’agent à Azure Log Analytics, puis sélectionnez Suivant.
  6. Sur la page Azure Log Analytics, collez l’ID de l’espace de travail et la Clé de l’espace de travail (clé primaire) que vous avez copiés dans le Bloc-notes au cours de la procédure précédente.
  7. Si l’ordinateur doit rendre compte à un espace de travail Log Analytics dans le cloud Azure Government, dans la liste déroulante Cloud Azure, sélectionnez Azure - Gouvernement des États-Unis. Si l’ordinateur a besoin de communiquer avec le service Log Analytics par le biais d’un serveur proxy, sélectionnez Avancé, puis indiquez l’URL et le numéro de port du serveur proxy.
  8. Une fois que vous avez fourni les paramètres de configuration nécessaires, sélectionnez Suivant. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Sur la page Prêt pour l’installation, vérifiez vos choix, puis sélectionnez Installer.
  10. Sur la page Configuration effectuée, sélectionnez Terminer.

Une fois l’exécution terminée, l’agent Log Analytics s’affiche dans le Panneau de configuration Windows, et vous pouvez examiner votre configuration et vérifier que l’agent est connecté.

Pour plus d’informations sur l’installation et la configuration de l’agent, consultez Installer l’agent Log Analytics sur des ordinateurs Windows.

Le service de l’agent Log Analytics collecte les données d’événement et de performances et exécute des tâches et d’autres workflows définis dans un pack d’administration. Defender pour le cloud étend ses plateformes de protection de charge de travail cloud en s’intégrant à Microsoft Defender pour serveurs. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes.

Pour plus d’informations sur Microsoft Defender pour serveurs, consultez Intégrer des serveurs au service Microsoft Defender pour serveurs.

Activer la surveillance par Microsoft defender pour le cloud des ordinateurs Linux locaux

  1. Revenez à l’onglet Prise en main comme décrit précédemment.
  2. Sélectionnez Configurer sous Ajouter de nouveaux ordinateurs non-Azure. Une liste de vos espaces de travail Log Analytics s’affiche. La liste doit inclure l’espace de travail Defender pour le cloud-SentinelWorkspace que vous avez créé.
  3. Dans le panneau Agent direct sous TÉLÉCHARGER ET INTÉGRER L’AGENT POUR LINUX, sélectionnez le bouton Copier pour copier la commande wget.
  4. Ouvrez Bloc-notes et collez cette commande. Enregistrez ce fichier à un emplacement auquel vous pouvez accéder à partir de votre ordinateur Linux.

Notes

Sur les systèmes d’exploitation UNIX et Linux, wget est un outil pour le téléchargement de fichiers non interactifs à partir du web. Il prend en charge le protocole HTTPS, les FTP et les proxys.

L’agent Linux utilise l’infrastructure de démon d’audit Linux. Defender pour le cloud intègre les fonctionnalités de cette infrastructure au sein de l’agent Log Analytics, ce qui permet de collecter, d’enrichir et d’agréger les enregistrements d’audit sous la forme d’événements grâce à l’agent Log Analytics pour Linux. Defender pour le cloud enrichit continuellement l’analytique, qui utilise les signaux Linux pour détecter les comportements malveillants sur les machines Linux locales ou dans le cloud.

Pour obtenir la liste des alertes Linux, consultez la table de référence des alertes.

Installer l’agent Linux

Pour installer l’agent sur les ordinateurs Linux cibles, procédez comme suit :

  1. Sur votre ordinateur Linux, ouvrez le fichier précédemment enregistré. Sélectionnez et copiez l’intégralité du contenu, ouvrez une console de terminal, puis collez la commande.
  2. Une fois l’installation terminée, vous pouvez vérifier que omsagent est installé en exécutant la commande pgrep. La commande retourne l’ID de processus (PID) omsagent. Les journaux de l’agent sont accessibles à l’emplacement suivant : /var/opt/microsoft/omsagent/« id d’espace de travail »/log/ .

L’affichage du nouvel ordinateur Linux dans Defender pour le cloud peut prendre jusqu’à 30 minutes.

Activer la surveillance par Microsoft Defender pour le cloud des machines virtuelles Azure Stack

Après avoir intégré votre abonnement Azure, vous pouvez activer Defender pour le cloud pour protéger vos machines virtuelles s’exécutant sur Azure Stack en ajoutant l’extension de machine virtuelle Azure Monitor, Update and Configuration Management à partir de la Place de marché Azure Stack. Pour ce faire :

  1. Revenez à l’onglet Prise en main comme décrit précédemment.
  2. Sélectionnez Configurer sous Ajouter de nouveaux ordinateurs non-Azure. Une liste de vos espaces de travail Log Analytics s’affiche, qui devrait inclure l’espace de travail Defender pour le cloud-SentinelWorkspace que vous avez créé.
  3. Dans le panneau Agent direct se trouve un lien permettant de télécharger l’agent et les clés pour votre ID d’espace de travail, qui serviront à la configuration de l’agent. Vous n’avez pas besoin de télécharger l’agent manuellement. Il sera installé en tant qu’extension de machine virtuelle au cours des étapes suivantes.
  4. À droite du champ ID de l’espace de travail, sélectionnez Copier puis collez l’ID dans Bloc-notes.
  5. À droite du champ Clé primaire, sélectionnez Copier puis collez la clé dans Bloc-notes.

Activer la surveillance par Defender pour le cloud des machines virtuelles Azure Stack

Microsoft Defender pour le cloud utilise l’extension de machine virtuelle Azure Monitor, Update and Configuration Management fournie avec Azure Stack. Pour activer l’extension Azure Monitor, Update, and Configuration Management, procédez comme suit :

  1. Dans un nouvel onglet de navigateur, connectez-vous à votre portail Azure Stack.
  2. Reportez-vous à la page Machines virtuelles, puis sélectionnez la machine virtuelle que vous souhaitez protéger avec Defender pour le cloud.
  3. Sélectionnez Extensions. La liste des extensions de machine virtuelle installées sur cette machine virtuelle s’affiche.
  4. Sélectionnez l’onglet Ajouter. Le panneau de menu Nouvelle ressource s’ouvre et affiche la liste des extensions de machine virtuelle disponibles.
  5. Sélectionnez l’extension Azure Monitor, Update and Configuration Management, puis sélectionnez Créer. Le panneau de configuration Installer l’extension s’ouvre.
  6. Dans la page de configuration Installer l’extension, collez l’ID de l’espace de travail et la Clé de l’espace de travail (clé primaire) que vous avez copiés dans le Bloc-notes au cours de la procédure précédente.
  7. Une fois que vous avez fourni les paramètres de configuration nécessaires, sélectionnez OK.
  8. Une fois l’installation de l’extension terminée, son état s’affiche en tant qu’Approvisionnement réussi. Il peut s’écouler une heure avant que la machine virtuelle apparaisse dans le portail Defender pour le cloud.

Pour plus d’informations sur l’installation et la configuration de l’agent pour Windows, consultez Installer l’agent à l’aide de l’Assistant Installation.

Pour plus d’informations sur la résolution des problèmes liés à l’agent Linux, consultez Guide pratique pour résoudre les problèmes liés à l’agent Log Analytics pour Linux.

Vous pouvez maintenant effectuer le monitoring de vos machines virtuelles Azure et de vos ordinateurs extérieurs à Azure en un seul et même endroit. Azure Compute fournit une vue d’ensemble de toutes les machines virtuelles et de tous les ordinateurs, ainsi que des recommandations. Chaque colonne représente un ensemble de recommandations, et la couleur représente les machines virtuelles ou les ordinateurs, ainsi que l’état de sécurité actuel pour cette recommandation. Defender pour le cloud fournit également les détections pour ces ordinateurs dans les alertes de sécurité. Defender for Cloud list of systems monitored on the Compute blade

Deux types d’icônes sont représentés sur le panneau Calcul :

Purple computer icon that represents a non-azure monitored computer Ordinateur non Azure

Blue terminal icon that represents an Azure monitored computer Ordinateur Azure

Remarque

La deuxième partie de l’architecture de référence connecte les alertes de Microsoft Defender pour le cloud et les diffuse dans Microsoft Azure Sentinel.

Le rôle de Microsoft Azure Sentinel est d’ingérer des données de différentes sources de données et d’effectuer une corrélation des données entre ces sources de données. Microsoft Azure Sentinel tire parti de l’apprentissage automatique et de l’intelligence artificielle pour rendre la chasse aux menaces, la détection des alertes et les réponses aux menaces plus intelligentes.

Pour intégrer Microsoft Azure Sentinel, vous devez l’activer, puis vous connecter à vos sources de données. Microsoft Sentinel est fourni avec plusieurs connecteurs pour les solutions Microsoft, prêts à l’emploi et offrant une intégration en temps réel, notamment Microsoft Defender pour le cloud, les solutions de protection Microsoft contre les menaces, les sources Microsoft 365 (dont Office 365), Microsoft Entra ID, Microsoft Defender pour serveurs, Microsoft Defender for Cloud Apps, etc. En outre, il existe des connecteurs intégrés pour la connexion aux écosystèmes de sécurité élargis pour les solutions non-Microsoft. Vous pouvez également utiliser Common Event Format, Syslog ou l’API Representational State Transfer (REST) pour connecter vos sources de données à Microsoft Azure Sentinel.

Configuration requise pour l’intégration de Microsoft Azure Sentinel avec Microsoft Defender pour le cloud

  1. Un abonnement Microsoft Azure.
  2. Un espace de travail Log Analytics qui n’est pas l’espace de travail par défaut créé lorsque vous activez Microsoft Defender pour le cloud.
  3. Microsoft Defender pour le cloud.

Ces trois conditions doivent être remplies si vous avez suivi la section précédente.

Conditions préalables globales

  • Pour activer Microsoft Sentinel, vous devez disposer d’autorisations Contributeur sur l’abonnement dans lequel réside l’espace de travail Microsoft Sentinel.
  • Pour utiliser Microsoft Azure Sentinel, vous avez besoin des autorisations de contributeur ou de lecteur sur le groupe de ressources auquel appartient l’espace de travail.
  • Vous pouvez avoir besoin d’autorisations supplémentaires pour vous connecter à des sources de données spécifiques. Vous n’avez pas besoin d’autorisations supplémentaires pour vous connecter à Defender pour le cloud.
  • Microsoft Sentinel est un service payant. Pour plus d’informations, consultez Tarification Microsoft Azure Sentinel.

Activer Microsoft Sentinel

  1. Connectez-vous au portail Azure avec un utilisateur disposant des droits de contributeur pour l’espace de travail Defender pour le cloud-Sentinelworkspace.
  2. Recherchez et sélectionnez Microsoft Sentinel. In the Azure portal search for the term
  3. Sélectionnez Ajouter.
  4. Dans le panneau Microsoft Azure Sentinel, sélectionnez Defender pour le cloud-Sentinelworkspace.
  5. Dans Microsoft Azure Sentinel, sélectionnez Connecteurs de données dans le menu de navigation.
  6. Dans la galerie des connecteurs de données, sélectionnez Microsoft  Defender pour le cloud, puis sélectionnez le bouton Ouvrir la page du connecteur. In Microsoft Sentinel showing the open Collectors page
  7. Sous Configuration, sélectionnez Se connecter à côté de chaque abonnement pour lesquels vous souhaitez diffuser les alertes dans Microsoft Azure Sentinel. Le bouton Se connecter n’est disponible que si vous disposez des autorisations requises et de l’abonnement Defender pour le cloud.
  8. Vous devez maintenant observer l’état de connexion comme étant En cours de connexion. Une fois connecté, il passe à Connecté.
  9. Après avoir confirmé la connectivité, vous pouvez fermer les paramètres Connecteur de données de Defender pour le cloud et actualiser la page afin d’observer les alertes dans Microsoft Azure Sentinel. Le démarrage de la synchronisation des journaux avec Microsoft Azure Sentinel peut prendre un certain temps. Une fois connecté, vous observerez un récapitulatif des données dans le graphe Données reçues, ainsi que l’état de connectivité des types de données.
  10. Vous pouvez décider que les alertes provenant de Microsoft Defender pour le Cloud génèrent automatiquement des incidents dans Microsoft Sentinel. Sous Créer des incidents, sélectionnez Activé pour activer la règle analytique par défaut qui crée automatiquement des incidents à partir d’alertes. Vous pouvez ensuite modifier cette règle sous Analytique, sous l’onglet Règles actives.
  11. Pour utiliser le schéma pertinent dans Log Analytics pour les alertes de Microsoft Defender pour le cloud, recherchez SecurityAlert.

Un des avantages de l’utilisation de Microsoft Azure Sentinel comme solution SIEM est qu’il fournit une corrélation des données entre plusieurs sources, ce qui vous permet de bénéficier d’une visibilité de bout en bout des événements liés à la sécurité de votre organisation.

Pour en savoir plus sur Microsoft Azure Sentinel, consultez les articles suivants :

Étapes suivantes

Azure Monitor

Microsoft Defender pour le cloud

Microsoft Sentinel

Azure Stack