Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le portail Defender vous permet de vous connecter à un espace de travail principal et à plusieurs espaces de travail secondaires pour Microsoft Sentinel. Dans le contexte de cet article, un espace de travail est un espace de travail Log Analytics avec Microsoft Sentinel activé.
Cet article s’applique principalement au scénario dans lequel vous intégrez Microsoft Sentinel au portail Defender avec Microsoft Defender XDR pour les opérations de sécurité unifiées. Si vous envisagez d’utiliser Microsoft Sentinel dans le portail Defender sans Microsoft Defender XDR, vous pouvez toujours gérer plusieurs espaces de travail. Toutefois, étant donné que vous n’avez pas Defender XDR, votre espace de travail principal n’aura pas Defender XDR données et vous n’aurez pas accès aux fonctionnalités Defender XDR.
Espaces de travail principaux et secondaires
Sélectionnez votre espace de travail principal lorsque vous intégrez Microsoft Sentinel au portail Defender. Tous les autres espaces de travail que vous intégrez au portail Defender sont considérés comme des espaces de travail secondaires. Le portail Defender prend en charge un espace de travail principal et un nombre illimité d’espaces de travail secondaires par locataire pour Microsoft Sentinel.
Lorsque vous avez également Microsoft Defender XDR, les alertes de votre espace de travail principal sont corrélées avec les données Defender XDR, et les incidents incluent des alertes provenant de votre espace de travail principal et de Defender XDR dans une file d’attente unifiée. Lorsque vous sélectionnez un espace de travail principal, le connecteur de données Defender XDR pour les incidents et les alertes est connecté uniquement à l’espace de travail principal.
Dans ce cas :
| Zone | Description |
|---|---|
| Autres espaces de travail précédemment connectés à Defender XDR | Tous les autres espaces de travail précédemment connectés au connecteur Defender XDR sont déconnectés et fonctionnent comme des espaces de travail secondaires. Les règles d’analyse et l’automatisation que vous avez configurées précédemment en fonction de Defender XDR données ne fonctionnent plus tant que vous n’avez pas configuré l’ingestion de table. |
| Alertes basées sur le locataire et connecteurs de données autonomes | Les alertes provenant d’autres services Microsoft, y compris d’autres services Defender, sont des alertes basées sur le locataire et concernent l’ensemble du locataire au lieu d’un espace de travail spécifique. Pour éviter la duplication entre les espaces de travail, tous les connecteurs de données autonomes directs pour ces services doivent être déconnectés de Microsoft Sentinel dans les espaces de travail secondaires. Cela entraîne l’apparition d’alertes basées sur le locataire uniquement dans l’espace de travail principal. Lors de l’intégration, des connecteurs de données autonomes pour Microsoft Defender pour Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps, Microsoft Defender pour point de terminaison et les Microsoft Defender pour Identity sont automatiquement déconnectés. Si vous avez d’autres connecteurs de données Microsoft autonomes avec des alertes dans vos espaces de travail, veillez à les déconnecter avant l’intégration au portail Defender. |
| Defender XDR alertes et incidents | Toutes les alertes et incidents Defender XDR sont synchronisés avec votre espace de travail principal uniquement. Toutefois, les espaces de travail secondaires peuvent ingérer des données de table Defender s’ils sont configurés dans le connecteur Microsoft XDR dans le portail Sentinel dans Azure ou sous Microsoft Sentinel>Tables de> configuration dans le portail Defender. |
| Création d’incidents et corrélation des alertes | Le portail Defender conserve la création d’incidents et la corrélation des alertes distinctes entre les espaces de travail Microsoft Sentinel. Les incidents dans les espaces de travail secondaires n’incluent pas de données provenant d’un autre espace de travail ou d’Defender XDR. |
| Un espace de travail principal requis | Un espace de travail principal doit toujours être connecté au portail Defender. |
Par exemple, vous pouvez travailler sur une équipe SOC mondiale dans une entreprise qui dispose de plusieurs espaces de travail autonomes. Dans ce cas, vous ne souhaiterez peut-être pas voir les incidents et les alertes de chacun de ces espaces de travail dans votre file d’attente SOC globale dans le portail Defender. Étant donné que ces espaces de travail sont intégrés au portail Defender en tant qu’espaces de travail secondaires, ils s’affichent dans le portail Defender comme Microsoft Sentinel uniquement, sans incidents et alertes Defender, et continuent à fonctionner de manière autonome. Lorsque vous examinez votre espace de travail SOC global, vous ne verrez pas les données de ces espaces de travail secondaires.
Lorsque vous avez plusieurs espaces de travail Microsoft Sentinel au sein d’un locataire Microsoft Entra ID, envisagez d’utiliser l’espace de travail principal pour votre centre d’opérations de sécurité global.
Autorisations pour gérer les espaces de travail et afficher les données de l’espace de travail
Utilisez l’un des rôles ou combinaisons de rôles suivants pour gérer les espaces de travail principaux et secondaires :
| Tâche | Microsoft Entra ou Azure rôle intégré requis | Portée |
|---|---|---|
| Intégrer Microsoft Sentinel au portail Defender | Au moins un administrateur de sécurité dans Microsoft Entra ID Propriétaire ou administrateur de l’accès utilisateur ET contributeur Microsoft Sentinel |
Tenant - Abonnement pour les rôles Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour Microsoft Sentinel Contributeur |
| Connecter ou déconnecter un espace de travail secondaire | Au moins un administrateur de sécurité dans Microsoft Entra ID Propriétaire ou administrateur de l’accès utilisateur ET contributeur Microsoft Sentinel |
Tenant - Abonnement pour les rôles Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour Microsoft Sentinel Contributeur |
| Modifier l’espace de travail principal | Au moins un administrateur de sécurité dans Microsoft Entra ID Propriétaire ou administrateur de l’accès utilisateur ET contributeur Microsoft Sentinel |
Tenant - Abonnement pour les rôles Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour Microsoft Sentinel Contributeur |
| Activer ou désactiver un espace de travail Sentinel dans RBAC unifié | Au moins un administrateur de sécurité dans Microsoft Entra ID Propriétaire ou administrateur de l’accès utilisateur ET contributeur Microsoft Sentinel |
Tenant - Abonnement pour les rôles Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour Microsoft Sentinel Contributeur |
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation.
Une fois que vous vous êtes connecté Microsoft Sentinel au portail Defender, vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure existantes vous permettent d’afficher et d’utiliser les fonctionnalités Microsoft Sentinel et les espaces de travail auxquels vous avez accès.
| Espace de travail | Access |
|---|---|
| Primary | Si vous avez accès à l’espace de travail principal, vous pouvez lire et gérer les données à partir de l’espace de travail et Defender XDR. |
| Secondaire | Si vous avez accès à un espace de travail secondaire, vous pouvez lire et gérer des données à partir de l’espace de travail uniquement. Les incidents et les alertes Defender ne sont pas synchronisés avec les espaces de travail secondaires, mais les espaces de travail secondaires peuvent toujours ingérer des données de table Defender. Pour plus d’informations, consultez Espaces de travail principaux et secondaires. |
Exception: Si vous avez déjà intégré un espace de travail au portail Defender, toutes les alertes créées à l’aide des détections personnalisées sur AlertInfo les tables et avant AlertEvidence la mi-janvier 2025 sont visibles par tous les utilisateurs.
Pour plus d’informations, consultez Rôles et autorisations dans Microsoft Sentinel.
Modifications de l’espace de travail principal
Après avoir intégré Microsoft Sentinel au portail Defender, vous pouvez modifier l’espace de travail principal. Lorsque vous basculez l’espace de travail principal pour Microsoft Sentinel, le connecteur Defender XDR est connecté au nouveau principal et déconnecté automatiquement de l’ancien.
Modifiez l’espace de travail principal dans le portail Defender en accédant àParamètres>système>Microsoft Sentinel>Spaces de travail.
Étendue des données de l’espace de travail dans différentes vues
Si vous disposez des autorisations appropriées pour afficher les données des espaces de travail principaux et secondaires pour Microsoft Sentinel, l’étendue de l’espace de travail dans le tableau suivant s’applique à chaque fonctionnalité.
| Fonctionnalité | Étendue de l’espace de travail |
|---|---|
| Recherche | Les résultats de la recherche globale en haut de la page du navigateur dans le portail Defender fournissent une vue agrégée de toutes les données d’espace de travail pertinentes que vous êtes autorisé à afficher. |
| Examen & réponse > Incidents & alertes >Incidents | Affichez les incidents provenant de différents espaces de travail dans une file d’attente unifiée ou filtrez l’affichage par espace de travail. |
| Investigation & response > Incidents & alertes alertes> | Affichez les alertes de différents espaces de travail dans une file d’attente unifiée ou filtrez l’affichage par espace de travail. Le portail Defender segmente la corrélation des alertes par espace de travail. |
| Entités : à partir d’un incident ou d’une alerte > , sélectionnez un appareil, un utilisateur ou une autre ressource d’entité | Affichez toutes les données d’entité pertinentes de plusieurs espaces de travail dans une seule page d’entité. Les pages d’entités regroupent les alertes, les incidents et les événements chronologie de tous les espaces de travail pour fournir des insights plus approfondis sur le comportement des entités. Filtrez par espace de travail dans les onglets Incidents et alertes, Chronologie et Insights . L’onglet Vue d’ensemble affiche les métadonnées d’entité agrégées à partir de tous les espaces de travail. |
| Enquête & réponse > Chasse >avancée | Sélectionnez un espace de travail en haut à droite du navigateur. Vous pouvez également interroger plusieurs espaces de travail à l’aide de l’opérateur d’espace de travail dans la requête. Consultez Interroger plusieurs espaces de travail. Les résultats de la requête n’affichent pas de nom ou d’ID d’espace de travail. Accédez à toutes les données de journal de l’espace de travail, y compris les requêtes et les fonctions, en lecture seule. Pour plus d’informations, consultez Repérage avancé avec Microsoft Sentinel données dans Microsoft Defender portail. Certaines fonctionnalités sont limitées à l’espace de travail principal : - Création de détections personnalisées - Requêtes via l’API Les requêtes inter-espaces de travail pour les données Log Analytics restent soumises aux limitations de Log Analytics. |
| Microsoft Sentinel expériences | Affichez les données d’un espace de travail pour chaque page dans la section Microsoft Sentinel du portail Defender. Basculez entre les espaces de travail en sélectionnant Sélectionner un espace de travail en haut à droite du navigateur pour la plupart des pages. - La page Classeurs affiche uniquement les données associées à l’espace de travail principal. Les règles d’analyse inter-espaces de travail restent soumises aux limitations et recommandations des règles d’analyse inter-espaces de travail. |
| Optimisation soc | Les données et les recommandations sont agrégées à partir de plusieurs espaces de travail. |
Synchronisation bidirectionnelle pour les espaces de travail
La synchronisation des modifications d’incident entre le Portail Azure et le portail Defender varie selon qu’il s’agit d’un espace de travail principal ou secondaire.
| Espace de travail | Comportement de synchronisation |
|---|---|
| Primaire | Pour Microsoft Sentinel dans le Portail Azure, Defender XDR incidents apparaissent dansIncidents de gestion des> menaces avec le nom du fournisseur d’incident Microsoft XDR. Toutes les modifications que vous apportez à l’status, à la raison de fermeture ou à l’affectation d’un incident de Defender XDR dans le portail Azure ou Defender, sont mises à jour dans la file d’attente des incidents de l’autre. Pour plus d’informations, consultez Utilisation des incidents Microsoft Defender XDR dans Microsoft Sentinel et la synchronisation bidirectionnelle. |
| Secondaire | Toutes les alertes et incidents que vous créez pour un espace de travail secondaire sont synchronisés entre cet espace de travail dans les portails Azure et Defender. Les données d’un espace de travail sont synchronisées uniquement avec l’espace de travail dans l’autre portail. |
Prise en charge de la gestion des risques internes (IRM)
Gestion des risques internes Microsoft Purview alertes (IRM) sont corrélées à l’espace de travail principal uniquement. Si vous avez des alertes IRM avec Microsoft Defender XDR, vous devez connecter IRM au connecteur Microsoft Defender XDR dans votre espace de travail principal avant d’intégrer l’espace de travail au portail Defender. Cela est nécessaire pour garantir que les alertes et les incidents IRM sont disponibles dans l’espace de travail principal. Si vous ne souhaitez pas voir les alertes IRM dans l’espace de travail principal, vous pouvez refuser l’intégration à Microsoft Defender XDR.
En outre, si le connecteur Direct Microsoft 365 Insider Risk Management pour Microsoft Sentinel connecteur de données est connecté à l’un des espaces de travail secondaires, vous devez le déconnecter avant d’intégrer l’espace de travail au portail Defender.