Exercice - Connecter Microsoft Sentinel à Microsoft Defender XDR

  • 15 minutes

Vous êtes Analyste des opérations de sécurité et vous travaillez dans une entreprise qui a déployé Microsoft Defender XDR et Microsoft Sentinel. Vous devez préparer Microsoft Sentinel dans le portail Microsoft Defender en connectant Microsoft Sentinel à Defender XDR.

Dans cet exercice, vous allez effectuer les tâches suivantes :

  • Installez la solution Microsoft Defender XDR Content Hub.
  • Déployez le connecteur Microsoft Sentinel pour connecter Microsoft Sentinel à Microsoft Defender XDR.
  • Connectez Microsoft Sentinel à Microsoft Defender XDR.
  • Explorez les fonctionnalités de Microsoft Sentinel dans le portail Microsoft Defender XDR.

Remarque

L’environnement de cet exercice est une simulation générée à partir du produit. Comme c’est une simulation limitée, les liens d’une page peuvent ne pas être activés et les entrées texte qui ne sont pas prises en compte dans le script spécifié ne sont pas prises en charge. Un message contextuel s’affiche indiquant : « Cette fonctionnalité n’est pas disponible dans la simulation ». Lorsque cela se produit, sélectionnez OK et poursuivez les étapes de l’exercice.

Capture d’écran d’une fenêtre contextuelle indiquant que cette fonctionnalité n’est pas disponible dans la simulation.

Tâche 1 : connecter Defender XDR

Dans cette tâche, vous déployez le connecteur Microsoft Defender XDR.

  1. Dans le navigateur Microsoft Edge, ouvrez l’environnement simulé en sélectionnant ce lien : portail Azure.

  2. Dans la page d’accueil du portail Azure, sélectionnez l’icône Microsoft Sentinel .

  3. Dans la page Microsoft Sentinel , sélectionnez l’espace de travail Woodgrove-LogAnalyiticWorkspace .

  4. Dans le menu de navigation Microsoft Sentinel, faites défiler jusqu’à la section Gestion du contenu et développez-la. Sélectionnez Ensuite Content Hub.

  5. Dans le Hub de contenu, recherchez la solution Microsoft Defender XDR, puis sélectionnez-la dans la liste.

  6. Dans la page des détails de la solution Microsoft Defender XDR, sélectionnez Installer.

  7. Une fois l’installation terminée, recherchez la solution Microsoft Defender XDR et sélectionnez-la.

  8. Dans la page des détails de la solution Microsoft Defender XDR, sélectionnez Gérer

  9. Sélectionnez la case à cocher du connecteur de données Microsoft Defender XDR, puis sélectionnez la page Ouvrir le connecteur.

  10. Dans la section Configuration , sous l’onglet Instructions , sélectionnez le bouton Connecter des incidents et des alertes .

  11. Vous devez voir un message indiquant que la connexion a réussi.

Tâche 2 : connecter Microsoft Sentinel à Microsoft Defender XDR

Dans cette tâche, vous poursuivez la simulation et connectez un espace de travail Microsoft Sentinel à Microsoft Defender XDR.

  1. Revenez au hub de contenu Microsoft Sentinel (à l’aide du lien de menu « navigation » en haut de la page), puis sélectionnez Vue d’ensemble (préversion) dans la section Général du menu de navigation.

  2. Sélectionnez le bouton En savoir plus dans le message Obtenez votre SIEM et XDR en un seul endroit.

    Capture d’écran du message de bouton SIEM et XDR En savoir plus.

  3. La sélection du bouton En savoir plus ouvre un nouvel onglet dans le navigateur du portail Microsoft Defender XDR .

  4. Sur l’écran d’accueil du portail Defender Defender, vous devriez voir une bannière en haut avec le message, obtenir votre SIEM et votre XDR en un seul endroit. Sélectionnez le bouton Connecter un espace de travail.

    Capture d’écran du bouton d’un espace de travail Defender XDR Connect.

  5. Dans la page Choisir un espace de travail , sélectionnez l’espace de travail Woodgrove-loganalyiticsworkspace Microsoft Sentinel.

  6. Sélectionnez le bouton Suivant.

  7. Dans la page Définir un espace de travail principal , vous devez voir l’espace de travail Microsoft Sentinel woodgrove-loganalyiticsworkspace dans le menu déroulant. Sélectionnez le bouton Suivant.

  8. Sur la page Vérifier et terminer, vérifiez que l’Espace de travail sélectionné est correct et passez en revue les éléments à puces sous la section À quoi s’attendre lorsque l’espace de travail est connecté. Sélectionnez le bouton Connexion.

  9. Vous devriez voir un message Vous êtes sur le point de connecter un espace de travail. Sélectionnez le bouton Connexion.

  10. Vous devriez maintenant être sur la page Workspace successfully connected.

  11. Cliquez sur le bouton Fermer.

    Capture d’écran de la page de connexion réussie de l’espace de travail Defender XDR.

  12. Sur le portail Defender XDR, sur la page d’accueil, vous devez voir une bannière en haut avec le message Votre SIEM et XDR unifié est prêt. Sélectionnez le bouton Démarrer la chasse.

  13. Dans le repérage avancé, un message doit s’afficher pour « Explorer votre contenu à partir de Microsoft Sentinel ». Dans le menu de navigation de repérage avancé , vous trouverez les tables, fonctions et requêtes Microsoft Sentinel sous les onglets correspondants.

  14. Faites défiler vers le bas sous l’onglet Schéma jusqu’à l’en-tête Microsoft Sentinel , puis double-cliquez sur la table ThreatIntelligenceIndicator .

  15. Dans le volet Requête , vous devez voir une requête (KQL) qui retourne des indicateurs de renseignement sur les menaces. Sélectionnez le bouton Exécuter la requête.

    Capture d’écran des tables de chasse avancées Defender XDR Sentinel.

  16. Développez le volet de menu principal de gauche s’il est réduit et développez les nouveaux éléments de menu Microsoft Sentinel. Vous devez voir les sélections recherche, gestion des menaces, gestion de contenu et configuration .

    Remarque

    Il existe des différences de capacités entre le portail Azure Microsoft Sentinel et Sentinel dans le portail Microsoft Defender XDR différences de capacités du portail.

  17. Dans les éléments de menu Microsoft Defender XDR Microsoft Sentinel , sélectionnez Configuration , puis Connecteurs de données.

  18. Dans la page Connecteurs de données , vous devez voir l’activité Azure et d’autres connecteurs de données répertoriés avec l’état Connecté.

Remarque

N’hésitez pas à explorer et comparer les autres fonctionnalités de Microsoft Sentinel, mais comme il s’agit d’une simulation, votre capacité à explorer Microsoft Sentinel dans le portail Microsoft Defender est limitée. Dans un environnement réel, vous pourrez explorer les fonctionnalités complètes de Microsoft Sentinel dans le portail Microsoft Defender.