Partager via

Activer l’analyse comportementale des utilisateurs et des entités (UEBA) dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

À l’étape précédente du déploiement, vous avez activé le contenu de sécurité Microsoft Sentinel dont vous avez besoin pour protéger vos systèmes. Dans cet article, vous apprenez à activer et utiliser la fonctionnalité UEBA pour simplifier le processus d’analyse. Cet article fait partie du Guide de déploiement de Microsoft Sentinel.

Au fur et à mesure que Microsoft Sentinel collecte les journaux et les alertes de toutes ses sources de données connectées, il les analyse et établit des profils comportementaux de base des entités de votre organisation (telles que les utilisateurs, hôtes, adresses IP et applications), ainsi qu’un horizon des groupes de pairs. L’utilisation de diverses techniques et fonctionnalités de Machine Learning peut permettre à Microsoft Sentinel d’identifier une activité inhabituelle et vous aider à déterminer si une ressource est compromise. En savoir plus sur UEBA.

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.

À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.

Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez Il est temps de passer à autre chose : mise hors service du portail Azure de Microsoft Sentinel pour une sécurité accrue.

Prérequis

Si vous souhaitez activer ou désactiver cette fonctionnalité (ces prérequis ne sont pas nécessaires pour utiliser la fonctionnalité) :

  • Votre utilisateur(-trice) doit être assigné au rôle d’administrateur(-trice) de sécurité Microsoft Entra ID dans votre locataire ou avoir des autorisations équivalentes.

  • Vous devez attribuer au moins l’un des rôles Azure suivants à votre utilisateur (en savoir plus sur Azure RBAC) :

    • Contributeur Microsoft Sentinel au niveau de l’espace de travail ou du groupe de ressources.
    • Contributeur Log Analytics au niveau du groupe de ressources ou de l’abonnement.

  • Aucun verrou de ressource Azure ne doit être appliqué à votre espace de travail. Apprenez-en davantage sur le verrouillage des ressources Azure.

Remarque

  • Aucune licence spéciale n’est requise pour ajouter des fonctionnalités d’analyse du comportement des utilisateurs et des entités (UEBA) à Microsoft Sentinel et il n’existe aucun coût supplémentaire pour l’utiliser.
  • Toutefois, étant donné que l’UEBA génère de nouvelles données et les stocke dans de nouvelles tables créées par l’UEBA dans votre espace de travail Log Analytics, des frais de stockage de données supplémentaires s’appliquent.

Activer l'Analyse comportementale des utilisateurs et des entités

  • Utilisateurs de Microsoft Sentinel dans le Portail Azure : suivez les instructions de l’onglet portail Azure.
  • Pour les utilisateurs de Microsoft Sentinel dans le cadre du portail Microsoft Defender, suivez les instructions sous l’onglet Portail Defender.

  1. Accédez à la page Configuration du comportement des entités.

    Utilisez l’une de ces trois façons d’accéder à la page Configuration du comportement de l’entité :

    • Sélectionnez Comportement des entités dans le menu de navigation de Microsoft Sentinel, puis sélectionnez Paramètres de comportement des entités sur la barre de menus supérieure.

    • Sélectionnez Paramètres dans le menu de navigation de Microsoft Sentinel, puis l’onglet Paramètres et, sous Analyse comportementale des entités, sélectionnez Définir l’Analyse comportementale des utilisateurs et des entités.

    • Sur la page du connecteur de données XDR de Microsoft Defender, sélectionnez le lien Accéder à la page de configuration de l’Analyse comportementale des utilisateurs et des entités.

  2. Dans la page Configuration du comportement des entités, activez la fonctionnalité Activer UEBA.

    Capture d’écran des paramètres de configuration UEBA.

  3. Sélectionnez les services d’annuaire à partir desquels vous souhaitez synchroniser les entités d’utilisateurs avec Microsoft Sentinel.

    • Instance locale d’Active Directory (préversion)
    • Microsoft Entra ID

    Pour synchroniser les entités d’utilisateurs à partir d’Active Directory local, vous devez intégrer votre locataire Azure à Microsoft Defender pour Identity (autonome ou dans le cadre de Microsoft Defender XDR) et vous devez installer le capteur MDI sur votre contrôleur de domaine Active Directory. Pour découvrir plus d’informations, consultez Prérequis pour Microsoft Defender pour Identity.

  4. Sélectionnez Connecter toutes les sources de données pour connecter toutes les sources de données éligibles, ou sélectionnez des sources de données spécifiques dans la liste.

    Vous pouvez uniquement activer ces sources de données à partir de Defender et des Portails Azure :

    • Journaux de connexion
    • Journaux d’audit
    • Activité Azure
    • Événements de sécurité

    Vous pouvez activer ces sources de données à partir du portail Defender uniquement (préversion) :

    • Journaux de connexion d’identité managée AAD (Microsoft Entra ID)
    • Journaux de connexion du principal du service AAD (Microsoft Entra ID)
    • AWS CloudTrail
    • Événements d’ouverture de session des appareils
    • Okta CL
    • Journaux d’audit GCP

    Pour découvrir plus d’informations sur les sources de données et les anomalies UEBA, consultez Référence UEBA Microsoft Sentinel et Anomalies UEBA.

    Remarque

    Une fois l’UEBA activée, vous pouvez activer les sources de données prises en charge pour l’UEBA directement à partir du volet connecteur de données ou à partir de la page Paramètres du portail Defender, comme décrit dans cet article.

  5. Sélectionnez Se connecter.

  6. Activez la détection des anomalies dans votre espace de travail Sentinel :

    1. Dans le menu de navigation du portail Microsoft Defender, sélectionnez Paramètres des>Microsoft Sentinel>Espaces de travail SIEM.
    2. Sélectionnez l’espace de travail que vous souhaitez configurer.
    3. Dans la page de configuration de l’espace de travail, sélectionnez Anomalies et activez Détecter les anomalies.

Étapes suivantes

Dans cet article, vous avez appris à activer et configurer l’analyse du comportement des utilisateurs et des entités (UEBA) dans Microsoft Sentinel. Pour plus d’informations sur l’analyse du comportement des utilisateurs et des entités, ou processus UEBA (User and Entity Behavior Analytics) :

Identifier les menaces avec UEBA

  • Last updated on