Connecter Microsoft Sentinel à Microsoft Defender XDR (préversion)

• S’applique à:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Quand vous intégrez Microsoft Sentinel au portail Microsoft Defender, vous unifiez les fonctionnalités avec des Microsoft Defender XDR comme la gestion des incidents et la chasse avancée. Réduisez le basculement d’outils et créez une investigation plus contextuelle qui accélère la réponse aux incidents et arrête les violations plus rapidement. Pour plus d’informations, consultez l’article suivant :

• Microsoft Sentinel dans le portail Microsoft Defender
• Plateforme unifiée des opérations de sécurité avec Microsoft Sentinel et Defender XDR

Importante

Les informations contenues dans cet article concernent un produit de préversion qui peut être considérablement modifié avant sa commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Configuration requise

Avant de commencer, consultez la documentation des fonctionnalités pour comprendre les modifications et limitations du produit :

• Microsoft Sentinel dans le portail Microsoft Defender
• Repérage avancé dans le portail Microsoft Defender
• Automatisation avec la plateforme d’opérations de sécurité unifiée

Le portail Microsoft Defender prend en charge un seul locataire Microsoft Entra et la connexion à un espace de travail à la fois. Dans le contexte de cet article, un espace de travail est un espace de travail Log Analytics avec Microsoft Sentinel activé.

Pour intégrer et utiliser Microsoft Sentinel dans le portail Microsoft Defender, vous devez disposer des ressources et des accès suivants :

• Un espace de travail Log Analytics pour lequel Microsoft Sentinel est activé

• Connecteur de données pour Microsoft Defender XDR (anciennement nommé Microsoft 365 Defender) activé dans Microsoft Sentinel pour les incidents et les alertes

• Accès à Microsoft Defender XDR dans le portail Defender

• Microsoft Defender XDR intégrée au locataire Microsoft Entra

• Un compte Azure avec les rôles appropriés pour intégrer, utiliser et créer des demandes de support pour Microsoft Sentinel dans le portail Defender. Le tableau suivant met en évidence certains des rôles clés nécessaires.

  Tâche	Rôle intégré Azure requis	Portée
  Connecter ou déconnecter un espace de travail avec Microsoft Sentinel activé	Propriétaire ou administrateur de l’accès utilisateur et contributeur Microsoft Sentinel	- Abonnement pour les rôles Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour contributeur Microsoft Sentinel
  Afficher Microsoft Sentinel dans le portail Defender	Lecteur Microsoft Sentinel	Abonnement, groupe de ressources ou ressource d’espace de travail
  Interroger des tables de données Sentinel ou afficher des incidents	Lecteur Microsoft Sentinel ou un rôle avec les actions suivantes : - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/tasks/read	Abonnement, groupe de ressources ou ressource d’espace de travail
  Prendre des mesures d’enquête sur les incidents	Contributeur Microsoft Sentinel ou un rôle avec les actions suivantes : - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read-Microsoft.SecurityInsights/comments/write - Microsoft.SecurityInsights/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonnement, groupe de ressources ou ressource d’espace de travail
  Créer une demande de support	Propriétaire, Contributeur ou Demande de support contributeur ou un rôle personnalisé avec Microsoft.Support/*	Abonnement

  Une fois que vous avez connecté Microsoft Sentinel au portail Defender, vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure existantes vous permettent d’utiliser les fonctionnalités de Microsoft Sentinel auxquelles vous avez accès. Continuez à gérer les rôles et les autorisations de vos utilisateurs Microsoft Sentinel à partir de la Portail Azure. Toutes les modifications azure RBAC sont répercutées dans le portail Defender. Pour plus d’informations sur les autorisations Microsoft Sentinel, consultez Rôles et autorisations dans Microsoft Sentinel | Microsoft Learn et gérer l’accès aux données Microsoft Sentinel par ressource | Microsoft Learn.

Intégrer Microsoft Sentinel

Pour connecter un espace de travail sur lequel Microsoft Sentinel est activé pour Defender XDR, procédez comme suit :

1. Accédez au portail Microsoft Defender et connectez-vous.

2. Dans Microsoft Defender XDR, sélectionnez Vue d’ensemble.

3. Sélectionnez Connecter un espace de travail.

4. Choisissez l’espace de travail que vous souhaitez connecter, puis sélectionnez Suivant.

5. Lisez et comprenez les modifications apportées au produit associées à la connexion de votre espace de travail. Ces modifications sont notamment les suivantes :

   • Les tables de journal, les requêtes et les fonctions dans l’espace de travail Microsoft Sentinel sont également disponibles dans la chasse avancée dans Defender XDR.
   • Le rôle Contributeur Microsoft Sentinel est attribué aux applications Protection Microsoft contre les menaces et WindowsDefenderATP au sein de l’abonnement.
   • Les règles de création d’incidents de sécurité Microsoft actives sont désactivées pour éviter les incidents en double. Cette modification s’applique uniquement aux règles de création d’incident pour les alertes Microsoft et non à d’autres règles d’analyse.
   • Toutes les alertes liées aux produits Defender XDR sont diffusées directement à partir du connecteur de données main Defender XDR pour garantir la cohérence. Vérifiez que les incidents et les alertes de ce connecteur sont activés dans l’espace de travail.

6. Sélectionnez Connexion.

Une fois votre espace de travail connecté, la bannière de la page Vue d’ensemble indique que votre solution SIEM (Security Information and Event Management) unifiée et la détection et réponse étendues (XDR) sont prêtes. La page Vue d’ensemble est mise à jour avec de nouvelles sections qui incluent des métriques de Microsoft Sentinel telles que le nombre de connecteurs de données et les règles d’automatisation.

Explorer les fonctionnalités de Microsoft Sentinel dans le portail Defender

Une fois que vous avez connecté votre espace de travail au portail Defender, Microsoft Sentinel se trouve dans le volet de navigation de gauche. Les pages telles que Vue d’ensemble, Incidents et Repérage avancé contiennent des données unifiées de Microsoft Sentinel et Defender XDR. Pour plus d’informations sur les fonctionnalités unifiées et les différences entre les portails, consultez Microsoft Sentinel dans le portail Microsoft Defender.

La plupart des fonctionnalités existantes de Microsoft Sentinel sont intégrées au portail Defender. Pour ces fonctionnalités, notez que l’expérience entre Microsoft Sentinel dans le Portail Azure et le portail Defender est similaire. Utilisez les articles suivants pour commencer à utiliser Microsoft Sentinel dans le portail Defender. Lorsque vous utilisez ces articles, gardez à l’esprit que votre point de départ dans ce contexte est le portail Defender au lieu du Portail Azure.

• Recherche
  • Recherche sur de longues périodes dans des jeux de données volumineux
  • Restaurer les journaux archivés à partir de la recherche
• Gestion des menaces
  • Visualiser et surveiller vos données à l’aide de classeurs
  • Mener une chasse de bout en bout aux menaces avec Hunts
  • Utiliser des signets de chasse pour les investigations de données
  • Utiliser le livestream de chasse dans Microsoft Sentinel pour détecter les menaces
  • Rechercher les menaces de sécurité avec les notebooks Jupyter
  • Ajouter des indicateurs en bloc à Microsoft Sentinel Threat Intelligence à partir d’un fichier CSV ou JSON
  • Utiliser des indicateurs de menace dans Microsoft Sentinel
  • Comprendre la couverture de sécurité par l’infrastructure MITRE ATT&CK
• Gestion de contenu
  • Découvrir et gérer le contenu microsoft Sentinel prête à l’emploi
  • Catalogue du hub de contenu Microsoft Sentinel
  • Déployer du contenu personnalisé à partir de votre référentiel
• Configuration
  • Rechercher votre connecteur de données Microsoft Sentinel
  • Create des règles d’analyse personnalisées pour détecter les menaces
  • Utiliser des règles d’analyse de détection en quasi-temps réel (NRT) dans Microsoft Sentinel
  • Create watchlists
  • Gérer les watchlists dans Microsoft Sentinel
  • Create règles d’automatisation
  • Create et personnaliser les playbooks Microsoft Sentinel à partir de modèles de contenu

Recherchez les paramètres Microsoft Sentinel dans le portail Defender sousParamètres>système>Microsoft Sentinel.

Désintégrer Microsoft Sentinel

Vous ne pouvez avoir qu’un seul espace de travail connecté au portail Defender à la fois. Si vous souhaitez vous connecter à un autre espace de travail sur lequel Microsoft Sentinel est activé, déconnectez l’espace de travail actuel et connectez-vous à l’autre espace de travail.

1. Accédez au portail Microsoft Defender et connectez-vous.

2. Dans le portail Defender, sous Système, sélectionnez Paramètres>Microsoft Sentinel.

3. Dans la page Espaces de travail , sélectionnez l’espace de travail connecté et Déconnecter l’espace de travail.

4. Confirmez votre sélection.

   Lorsque votre espace de travail est déconnecté, la section Microsoft Sentinel est supprimée du volet de navigation gauche du portail Defender. Les données de Microsoft Sentinel ne sont plus incluses dans la page Vue d’ensemble.

Si vous souhaitez vous connecter à un autre espace de travail, dans la page Espaces de travail , sélectionnez l’espace de travail et Connecter un espace de travail.

Contenu connexe

• Microsoft Sentinel dans le portail Microsoft Defender
• Repérage avancé dans le portail Microsoft Defender
• Interruption automatique des attaques dans Microsoft Defender XDR
• Examiner les incidents dans Microsoft Defender XDR