Ce que vous devez faire:
Dans cet exercice, vous allez créer une instance de Microsoft Sentinel, analyser les rôles d’accès nécessaires à l’équipe de sécurité, connecter une source de données de sécurité (Microsoft Defender for Cloud), activer une règle d’analyse analytique, et explorer les fonctionnalités de traque de menaces.
Temps appromatif: 60 minutes
Prérequis:
Pour cet exercice, vous devez avoir accès à un environnement Microsoft Azure (fourni par votre plateforme de laboratoire).
Scénario de mise en situation :
Face à la multiplication des outils de protection (antivirus, pare-feu réseau, alertes cloud), l’équipe informatique de la clinique Santé-Plus commence à être submergée par les alertes de sécurité dispersées.
Votre mandat en tant que technicien ou technicienne en soutien est de mettre en place un SIEM (Microsoft Sentinel). Sentinel servira de cerveau centralisé pour collecter tous les événements de sécurité de la clinique. Vous déploierez l’instance, configurerez les accès pour vos collègues, connecterez les alertes de Microsoft Defender for Cloud pour centraliser la surveillance de notre serveur de radiographies, et passerez en revue les outils d’investigation avancés.
Objectif: Créer l’instance de Microsoft Sentinel
Explication:
Microsoft Sentinel a besoin d’un espace de stockage pour héberger et analyser les montagnes de données d’événements qu’il va ingérer. Cet espace s’appelle un espace de travail Log Analytics (Log Analytics workspace).
Tache 1:
- Ouvrez votre navigateur Microsoft Edge et connectez-vous au portail Azure (
https://portal.azure.com) avec vos identifiants d’administrateur. - Dans la barre de recherche bleue en haut, saisissez Espaces de travail Log Analytics (Log Analytics workspaces) et sélectionnez-le.
- Cliquez sur + Créer (+ Create). Remplissez les informations suivantes :
- Groupe de ressources : Sélectionnez
SC900-Sentinel-RG(si inexistant, cliquez sur Créer nouveau et nommez-le ainsi). - Nom :
SC900-Sentinel-workspace - Région : Est des États-Unis (East US) (ou laissez la région par défaut proposée).
- Cliquez sur Vérifier + créer, puis sur Créer. Attendez une minute la fin du déploiement.
Saisissez Microsoft Sentinel dans la barre de recherche en haut du portail et sélectionnez-le.
Cliquez sur le bouton + Créer (+ Create).
Sélectionnez votre espace de travail fraîchement créé (SC900-Sentinel-workspace), puis cliquez sur Ajouter (Add). L’activation de Sentinel (période d’essai) s’initialise.
Objectif: Assurer la gestion des accès et rôles (RBAC)
Explication:
Pour collaborer sur Sentinel au sein de la clinique, il faut attribuer les bons rôles de sécurité de manière granulaire afin de respecter le principe du moindre privilège.
Tache 1: Examiner les rôles Sentinel intégrés
- Dans la barre de recherche Azure, tapez Groupes de ressources (Resource groups).
- Sélectionnez le groupe
SC900-Sentinel-RG(contenant vos ressources Sentinel). - Dans le menu de gauche, sélectionnez Contrôle d’accès (IAM) (Access control IAM).
- Cliquez sur l’onglet Rôles en haut de la page.
- Dans la boîte de recherche, tapez
Microsoft Sentinel. - Observez les principaux rôles intégrés :
- Lecteur Microsoft Sentinel (Sentinel Reader) : Peut consulter les données et incidents, mais pas les modifier.
- Répondeur Microsoft Sentinel (Sentinel Responder) : Peut assigner et modifier le statut des incidents.
- Contributeur Microsoft Sentinel (Sentinel Contributor) : Peut créer des règles d’alerte, modifier les workbooks, etc.
- Fermez ces fenêtres pour retourner à l’accueil du portail Azure.
Objectif: Connecter une source de données (Hub de contenu)
Explication:
Pour l’instant, Sentinel est une coquille vide. Pour surveiller le serveur de radiographies de la clinique, nous allons le connecter aux alertes générées par Microsoft Defender for Cloud à l’aide du Content Hub (le catalogue de connecteurs prêts à l’emploi).
Tache 1: Installer et configurer la solution Defender for Cloud
- Retournez dans Microsoft Sentinel et sélectionnez votre instance
SC900-Sentinel-workspace. - Dans le menu de gauche, sous la section Gestion du contenu, cliquez sur Hub de contenu (Content hub).
- Faites défiler la liste, recherchez Microsoft Defender for Cloud, sélectionnez-le et cliquez sur Installer (Install) dans le volet de droite.
- Une fois l’installation réussie, sélectionnez de nouveau Microsoft Defender for Cloud et cliquez sur Gérer (Manage) dans le volet de droite.
- Cochez la case à côté de Subscription-based Microsoft Defender for Cloud (Legacy) dans la liste des composants, puis cliquez sur Ouvrir la page du connecteur (Open connector page) à droite.
- Cochez la case correspondant à votre abonnement d’apprentissage et cliquez sur le bouton Se connecter (Connect). Confirmez en cliquant sur OK. Le statut passera à Connecté.
Tache 2: Activer la règle d’analyse (Analytics Rule)
- Utilisez le fil d’Ariane (breadcrumb) en haut pour revenir en arrière en cliquant sur
Microsoft Defender for Cloud. - Décochez le connecteur que vous venez de configurer pour libérer l’affichage.
- Cochez cette fois la règle d’analyse nommée : Detect CoreBackUp Deletion Activity from related security alerts et cliquez sur Créer une règle (Create rule) à droite.
- Parcourez brièvement les onglets de configuration de la règle (ceux-ci permettent de mapper les tactiques et d’automatiser les réponses).
- Arrivé au dernier onglet Vérifier + créer, cliquez sur Enregistrer (Save).
Objectif: Exploration des outils de gestion des menaces (SOC)
Explication:
Familiarisons-nous avec l’interface de travail qu’utilisera quotidiennement le technicien en sécurité de la clinique dentaire pour investiguer et automatiser la protection.
Tache 1: Découvrir les fonctionnalités clés de Sentinel
- Dans le menu de gauche de Sentinel, explorez la section Gestion des menaces (Threat management) :
- Incidents : C’est ici que s’empilent les alertes corrélées nécessitant une enquête immédiate de votre part.
- Repérage (Hunting) : Permet de chercher de manière proactive des menaces cachées et non détectées dans vos journaux de logs.
- MITRE ATT&CK : Cette matrice mappe directement vos règles de détection actives aux tactiques de cyberattaque connues mondialement (ex: persistance, exfiltration). Cliquez sur une case pour en étudier les détails.
- Explorez la section Configuration dans le menu de gauche :
- Analytique (Analytics) : Validez que votre règle créée à l’objectif précédent y figure bien.
- Automatisation (Automation) : Cliquez sur + Créer -> Règle d’automatisation (Automation rule). C’est ici que l’on configure des scénarios de réponse automatique (SOAR), par exemple : « Si un compte externe suspect tente de se connecter, bloquer automatiquement l’usager dans Entra ID ». Cliquez sur Annuler pour quitter.
- Fermez toutes les fenêtres et déconnectez-vous du portail Azure.
Félicitations !
Vous venez de déployer le système nerveux central de la sécurité pour la clinique Santé-Plus. Grâce à Microsoft Sentinel, les incidents détectés sur le serveur de radiographies ou les connexions suspectes d’employés seront immédiatement centralisés et analysés !
La video.
A venir
