Intégration dans la préversion d’Azure SentinelOn-board Azure Sentinel Preview

Important

Azure Sentinel est actuellement disponible en préversion publique.Azure Sentinel is currently in public preview. Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Certaines fonctionnalités peuvent être limitées ou non prises en charge.Certain features might not be supported or might have constrained capabilities. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Dans ce guide de démarrage rapide, vous allez apprendre à intégrer Azure Sentinel.In this quickstart you will learn how to on-board Azure Sentinel.

Pour intégrer Azure Sentinel, vous devez d’abord activer Azure Sentinel, puis vous connecter à vos sources de données.To on-board Azure Sentinel, you first need to enable Azure Sentinel, and then connect your data sources. Azure Sentinel est fourni avec plusieurs connecteurs pour les solutions Microsoft, disponibles par défaut et offrant une intégration en temps réel, y compris les solutions Microsoft Threat Protection, les sources Microsoft 365, dont Office 365, Azure AD, Azure ATP et Microsoft Cloud App Security, etc.Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft Threat Protection solutions, Microsoft 365 sources, including Office 365, Azure AD, Azure ATP, and Microsoft Cloud App Security, and more. En outre, il existe des connecteurs intégrés pour la connexion aux écosystèmes de sécurité élargis pour les solutions non Microsoft.In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. Vous pouvez également utiliser le format d’événement commun, Syslog ou l’API REST pour connecter vos sources de données à Azure Sentinel.You can also use common event format, Syslog or REST-API to connect your data sources with Azure Sentinel.

Après avoir connecté vos sources de données, vous pouvez faire votre choix parmi une galerie de tableaux de bord créés par des experts, qui mettent en avant les insights provenant de vos sources de données.After you connect your data sources, choose from a gallery of expertly created dashboards that surface insights based on your data. Ces tableaux de bord peuvent être aisément adaptés à vos besoins.These dashboards can be easily customized to your needs.

Conditions préalables globalesGlobal prerequisites

  • Activez l’abonnement Azure, et si vous n’en avez pas, créez un compte gratuit avant de commencer.Active Azure Subscription, if you don't have one, create a free account before you begin.

  • Espace de travail Log Analytics.Log Analytics workspace. Découvrir comment créer un espace de travail Log AnalyticsLearn how to create a Log Analytics workspace

  • Pour activer Azure Sentinel, vous avez besoin des autorisations des contributeurs concernant l’abonnement dans lequel réside l’espace de travail Azure Sentinel.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.

  • Pour utiliser Azure Sentinel, vous avez besoin des autorisations des contributeurs ou des lecteurs sur le groupe de ressources auquel appartient l’espace de travailTo use Azure Sentinel, you need either contributor or reader permissions on the resource group that the workspace belongs to

  • Des autorisations supplémentaires peuvent être nécessaires pour la connexion à des sources de données spécifiquesAdditional permissions may be needed to connect specific data sources

Activer Azure Sentinel Enable Azure Sentinel

  1. Accédez au Portail Azure.Go into the Azure portal.

  2. Assurez-vous que l’abonnement dans lequel est créé Azure Sentinel est bien sélectionné.Make sure that the subscription in which Azure Sentinel is created, is selected.

  3. Recherchez Azure Sentinel.Search for Azure Sentinel. searchsearch

  4. Cliquez sur +Ajouter.Click +Add.

  5. Sélectionnez l’espace de travail que vous souhaitez utiliser ou créez-en un.Select the workspace you want to use or create a new one. Vous pouvez exécuter Azure Sentinel sur plusieurs espaces de travail, mais les données sont isolées sur un seul espace de travail.You can run Azure Sentinel on more than one workspace, but the data is isolated to a single workspace.

    recherche

    Notes

    • Emplacement de l’espace de travail Il est important de comprendre que toutes les données que vous diffusez sur Azure Sentinel sont stockées à l’emplacement géographique de l’espace de travail que vous avez sélectionné.Workspace location It's important to understand that all the data you stream to Azure Sentinel is stored in the geographic location of the workspace you selected.
    • Les espaces de travail par défaut créés par Azure Security Center n’apparaissent pas dans la liste. Vous ne pouvez pas installer Azure Sentinel sur ces derniers.Default workspaces created by Azure Security Center will not appear in the list; you can't install Azure Sentinel on them.
    • Azure Sentinel peut s’exécuter sur des espaces de travail déployés dans l’une des régions suivantes : Australie Sud-Est, Canada Centre, Inde Centre, USA Est, USA Est 2 EUAP (Canary), Japon Est, Asie Sud-Est, Royaume-Uni Sud, Europe Ouest et USA Ouest 2.Azure Sentinel can run on workspaces that are deployed in any of the following regions: Australia Southeast, Canada Central, Central India, East US, East US 2 EUAP (Canary), Japan East, Southeast Asia, UK South, West Europe, West US 2.
  6. Cliquez sur Ajouter Azure Sentinel.Click Add Azure Sentinel.

Connecter des sources de donnéesConnect data sources

Azure Sentinel crée la connexion aux services et aux applications en se connectant au service et en transférant les événements et les journaux vers Azure Sentinel.Azure Sentinel creates the connection to services and apps by connecting to the service and forwarding the events and logs to Azure Sentinel. Pour les ordinateurs et les machines virtuelles, vous pouvez installer l’agent Azure Sentinel qui collecte les journaux et les transfère à Azure Sentinel.For machines and virtual machines, you can install the Azure Sentinel agent that collects the logs and forwards them to Azure Sentinel. Pour les pare-feux et les proxies, Azure Sentinel utilise un serveur Linux Syslog.For Firewalls and proxies, Azure Sentinel utilizes a Linux Syslog server. L’agent est installé sur ce dernier et l’utilise pour collecter les fichiers journaux et les transférer à Azure Sentinel.The agent is installed on it and from which the agent collects the log files and forwards them to Azure Sentinel.

  1. Cliquez sur Collecte de données.Click Data collection.
  2. Il existe une vignette pour chaque source de données que vous pouvez connecter.There is a tile for each data source you can connect.
    Par exemple, cliquez sur Azure Active Directory.For example, click Azure Active Directory. Si vous connectez cette source de données, vous diffusez tous les journaux d’Azure AD vers Azure Sentinel.If you connect this data source, you stream all the logs from Azure AD into Azure Sentinel. Vous pouvez sélectionner le type de journaux de votre choix pour accéder et vous connecter aux journaux et/ou journaux d’audit.You can select what type of logs you wan to get - sign-in logs and/or audit logs.
    Dans la partie inférieure, Azure Sentinel fournit des recommandations sur les tableaux de bord que vous devez installer pour chaque connecteur afin que vous puissiez immédiatement obtenir des insights intéressants sur vos données.At the bottom, Azure Sentinel provides recommendations for which dashboards you should install for each connector so you can immediately get interesting insights across your data.
    Suivez les instructions d’installation ou consultez le guide de connexion concerné pour plus d’informations.Follow the installation instructions or refer to the relevant connection guide for more information. Pour plus d’informations sur les connecteurs de données, consultez Connecter des services Microsoft.For information about data connectors, see Connect Microsoft services.

Une fois que vos données sources sont connectées, elles commencent à être diffusées en continu dans Azure Sentinel et peuvent être utilisées.After your data sources are connected, your data starts streaming into Azure Sentinel and is ready for you to start working with. Vous pouvez afficher les journaux dans les tableaux de bord intégrés et commencer à créer des requêtes dans Log Analytics pour examiner les données.You can view the logs in the built-in dashboards and start building queries in Log Analytics to investigate the data.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter des sources de données à Azure Sentinel.In this document, you learned about connecting data sources to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: