Parcours d’apprentissage 8 – Laboratoire 1 – Exercice 4 – Connecter Defender XDR à Microsoft Sentinel à l’aide des connecteurs de données

Scénario du labo

Vous êtes Analyste des opérations de sécurité et vous travaillez dans une entreprise qui a déployé Microsoft Defender XDR et Microsoft Sentinel. Vous devez préparer la Plateforme d’opérations de sécurité unifiée qui connecte Microsoft Sentinel à Defender XDR. Votre étape suivante consiste à installer la solution Hub de contenu Defender XDR et à déployer le connecteur de données Defender XDR dans Microsoft Sentinel.

Note : l’environnement de cet exercice est une simulation générée à partir du produit. Comme c’est une simulation limitée, les liens d’une page peuvent ne pas être activés et les entrées texte qui ne sont pas prises en compte dans le script spécifié ne sont pas prises en charge. Un message contextuel indiquant « Cette fonctionnalité n’est pas disponible dans la simulation » s’affiche. Lorsque cela se produit, sélectionnez OK et poursuivez les étapes de l’exercice.

Tâche 1 : Connecter Defender XDR

Dans cette tâche, vous déployez le connecteur Microsoft Defender XDR.

1. Connectez-vous à la machine virtuelle WIN1 en tant qu’Administrateur avec le mot de passe suivant : Pa55w.rd.

2. Dans le navigateur Microsoft Edge, ouvrez l’environnement simulé en sélectionnant ce lien : Portail Azure.

3. Sur la page Accueil du portail Azure, sélectionnez l’icône Microsoft Sentinel.

4. Sur la page Microsoft Sentinel, sélectionnez l’espace de travail Woodgrove-LogAnalyiticWorkspace.

5. Dans les menus de gauche de Microsoft Sentinel, faites défiler jusqu’à la section Gestion de contenu, puis sélectionnez Hub de contenu.

6. Dans le Hub de contenu, recherchez la solution Microsoft Defender XDR, puis sélectionnez-la dans la liste.

7. Dans la page des détails de la solution Microsoft Defender XDR, sélectionnez Installer.

8. Une fois l’installation terminée, recherchez la solution Microsoft Defender XDR, puis sélectionnez-la.

9. Dans la page des détails de la solution Microsoft Defender XDR, sélectionnez Gérer

10. Sélectionnez la case à cocher du connecteur de données Microsoft Defender XDR, puis sélectionnez la page Ouvrir le connecteur.

11. Vous devez voir un message indiquant que la connexion a réussi.

Tâche 2 : Connectez Microsoft Sentinel à Microsoft Defender XDR

Dans cette tâche, vous poursuivez la simulation et connectez un espace de travail Microsoft Sentinel à Microsoft Defender XDR.

1. Revenez au Hub de contenu Microsoft Sentinel (à l’aide du lien de menu « navigation » en haut de la page), puis sélectionnez Vue d’ensemble (préversion) dans la section Général du menu de navigation.

2. Sélectionnez le bouton En savoir plus dans le message Centralisez votre SIEM et XDR au même endroit.

3. En cliquant sur En savoir plus, un nouvel onglet s’ouvre dans le navigateur, pointant vers le portail Microsoft Defender XDR.

4. Sur la page Accueil du portail Defender Defender, vous devriez voir une bannière en haut indiquant : Centralisez votre SIEM et XDR au même endroit. Sélectionnez le bouton Connecter un espace de travail.

5. Sur la page Choisissez un espace de travail, sélectionnez l’espace de travail Microsoft Sentinel woodgrove-loganalyiticsworkspace.

6. Sélectionnez le bouton Suivant.

7. Sur la page Définir un espace de travail principal, l’espace de travail Microsoft Sentinel woodgrove-loganalyiticsworkspace devrait apparaître dans le menu déroulant. Sélectionnez le bouton Suivant.

8. Sur la page Vérifier et terminer, vérifiez que l’Espace de travail sélectionné est correct et passez en revue les éléments à puces sous la section À quoi s’attendre lorsque l’espace de travail est connecté. Cliquez sur le bouton Connecter.

9. Vous devriez voir le message Vous êtes sur le point de connecter un espace de travail. Cliquez sur le bouton Connecter.

10. Vous êtes maintenant sur la page Espace de travail connecté avec succès.

11. Cliquez sur le bouton Fermer.

12. Sur le portail Defender XDR, sur la page d’accueil, vous devez voir une bannière en haut avec le message Votre SIEM et XDR unifié est prêt. Sélectionnez le bouton Démarrer la chasse.

13. Dans Repérage avancé, un message devrait s’afficher : « Explorez votre contenu à partir de Microsoft Sentinel ». Dans le menu de navigation Repérage avancé, vous trouverez les tables, fonctions et requêtes Microsoft Sentinel sous les onglets correspondants.

14. Faites défiler la section Schéma jusqu’à l’en-tête Microsoft Sentinel, puis double-cliquez sur la table ThreatIntelligenceIndicator.

15. Dans le volet Requête, une requête (KQL) s’affiche, renvoyant des indicateurs de veille de menaces. Sélectionnez le bouton Exécuter la requête.

16. Les résultats devraient apparaître dans le volet Résultats.

17. Développez le volet de menu principal de gauche s’il est réduit et développez les nouveaux éléments de menu Microsoft Sentinel. Vous devriez voir les options suivantes : Recherche, Gestion des menaces, Gestion de contenu et Configuration.

    Remarque : Notez qu’il existe des différences de fonctionnalités entre le portail Microsoft Sentinel d’Azure et Sentinel dans le portail Microsoft Defender XDR Différences de fonctionnalités des portails.

18. Dans le menu Microsoft Sentinel de Microsoft Defender XDR, sélectionnez Configuration, puis Connecteurs de données.

19. Sur la page Connecteurs de données, vous devriez voir Activité Azure et d’autres connecteurs de données affichés avec l’état Connecté.

Remarque : N’hésitez pas à explorer et comparer les autres fonctionnalités de Microsoft Sentinel. Toutefois, comme il s’agit d’une simulation, vos possibilités d’exploration dans le portail Microsoft Defender sont limitées. Dans un environnement réel, vous pourrez explorer toutes les fonctionnalités de Microsoft Sentinel dans le portail Microsoft Defender.

Vous avez terminé le labo – Veuillez passer au Parcours d’apprentissage 9 – Laboratoire 1 – Exercice 1 – Modifier une règle de sécurité Microsoft.