Introduction
Vous connectez les appareils Windows à l’espace de travail Microsoft Sentinel en utilisant le connecteur de données fourni. Le connecteur offre des options pour contrôler les événements à collecter.
Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous devez collecter les données du journal des événements à partir des hôtes Windows. Les ordinateurs hôtes peuvent être localisés sur site ou en tant que machine virtuelle dans Azure.
L’équipe chargée des opérations de sécurité s’appuie sur les données d’événements créées par l’outil Sysmon installé sur certains des hôtes Windows. Vous configurez les hôtes Windows pour envoyer des données d’événement à Microsoft Sentinel. Vous devez également vous assurer que les événements Sysmon sont disponibles pour être utilisés dans les règles de détection.
À la fin de ce module, vous serez en mesure de connecter des appareils Windows à l’espace de travail Microsoft Sentinel à l’aide du connecteur de données fourni.
À l’issue de ce module, vous pourrez :
- Connecter les machines virtuelles Windows Azure à Microsoft Sentinel
- Connecter des hôtes Windows non Azure à Microsoft Sentinel
- Configurer l'agent Log Analytics pour collecter les événements Sysmon
Prérequis
Connaître les bases des concepts opérationnels comme la supervision, la journalisation et les alertes.