Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une fois vos sources de données connectées à Microsoft Sentinel, vous pouvez visualiser et analyser les données à l’aide de classeurs dans Microsoft Sentinel. Les classeurs Microsoft Sentinel sont basés sur des classeurs Azure Monitor et ajoutent des tableaux et des graphiques avec des analyses pour vos journaux et requêtes aux outils déjà disponibles dans Azure.
Microsoft Sentinel vous permet de créer des classeurs personnalisés dans vos données ou d’utiliser des modèles de classeur existants accompagnant des solutions empaquetées ou proposés sous forme de contenu autonome dans le hub de contenu. Chaque classeur est une ressource Azure comme n’importe quelle autre, et vous pouvez lui affecter le contrôle d’accès en fonction du rôle (RBAC) Azure pour en définir et en limiter l’accès.
Cet article décrit comment visualiser vos données dans Microsoft Sentinel à l’aide de classeurs. La modification de classeurs directement dans le portail Defender est en préversion.
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.
Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez Il est temps de passer à autre chose : mise hors service du portail Azure de Microsoft Sentinel pour une sécurité accrue.
Prérequis
Vous devez avoir au moins les droits de lecteur de Workbook ou de contributeur de Workbook sur le groupe de ressources de l'espace de travail Microsoft Sentinel.
Les classeurs que vous pouvez voir dans Microsoft Sentinel sont enregistrés dans le groupe de ressources de l'espace de travail Microsoft Sentinel et sont étiquetés par l'espace de travail dans lequel ils ont été créés.
Pour utiliser un modèle de classeur, installez la solution qui contient le classeur ou installez le classeur en tant qu’élément autonome depuis le hub de contenu. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Si vous travaillez dans le portail Defender avec une source de données Azure Data Explorer, veillez à configurer et à vous authentifier auprès d’Azure Data Explorer à partir du portail Defender.
Créer un classeur avec un modèle
Pour créer un classeur, utilisez un modèle installé à partir du hub de contenu.
Dans Microsoft Sentinel, sélectionnez Classeurs de gestion des > menaces.
Dans la page Classeurs , sélectionnez l’onglet Modèles pour afficher la liste des modèles de classeur installés. Sélectionnez un modèle pour afficher ses détails.
Certains classeurs nécessitent des connexions de données spécifiques à la fonction. Avant d’enregistrer un classeur, vérifiez qu’un champ de types de données obligatoires vous permet de disposer de ce type de données ingérées.
Exemple :
Dans le volet d’informations, sélectionnez Enregistrer, puis sélectionnez l’emplacement où vous souhaitez enregistrer le classeur. Cette action crée une ressource Azure à l’emplacement sélectionné en fonction du modèle approprié. Seul le fichier JSON du classeur est enregistré à cet emplacement et aucune donnée.
Dans le volet d’informations, sélectionnez Afficher le classeur enregistré pour l’ouvrir pour modification.
Une fois le classeur ouvert, sélectionnez Modifier pour personnaliser le classeur en fonction de vos besoins.
Lorsque vous travaillez dans le portail Defender, certaines visualisations ne peuvent être consultées que dans le portail Azure. Dans ce cas, sélectionnez Ouvrir dans Azure pour ouvrir le classeur dans le portail Azure.
Par exemple, sélectionnez le filtre TimeRange pour afficher les données d’un intervalle de temps différent de la sélection actuelle. Pour modifier une zone de classeur spécifique, sélectionnez Modifier ou sélectionnez les points de suspension (...) pour ajouter des éléments, ou déplacer, cloner ou supprimer la zone.
Pour cloner votre classeur, sélectionnez Enregistrer sous. Enregistrez le clone sous un autre nom dans le même abonnement et le même groupe de ressources. Les classeurs clonés sont également affichés sous l’onglet Mes classeurs dans la page Classeurs de gestion des > menaces Microsoft Sentinel>.
Lorsque vous avez terminé, sélectionnez Terminé la modification pour enregistrer vos modifications.
Pour plus d'informations, consultez les pages suivantes :
- Créer des rapports interactifs avec les workbooks Azure Monitor
- Tutoriel : données visuelles dans Log Analytics
Créer un classeur
Créez un classeur à partir de zéro dans Microsoft Sentinel.
Dans Microsoft Sentinel, sélectionnez Classeurs de gestion des > menaces, puis ajoutez un classeur.
Pour modifier le classeur, sélectionnez Modifier, puis ajoutez du texte, des requêtes et des paramètres selon vos besoins.
Pour plus d’informations sur la personnalisation du classeur, consultez Créer des rapports interactifs avec les classeurs Azure Monitor.
Quand vous créez une requête, définissez l’option Source de données sur Journaux et l’option Type de ressource sur Log Analytics, puis choisissez au moins un espace de travail.
En guise de meilleure pratique, votre requête doit utiliser un Analyseur d’Advanced SIEM Information Model (ASIM), et non un tableau intégré. Ensuite, la requête prend en charge toutes les sources de données pertinentes actuelles ou futures au lieu d’une seule source de données.
Lorsque vous avez terminé avec vos modifications, sélectionnez Terminé la modification , puis Enregistrez. Dans le volet latéral, entrez un nom explicite pour votre classeur, puis sélectionnez l’abonnement et le groupe de ressources de votre espace de travail.
Lorsque vous travaillez dans le portail Azure, basculez entre les classeurs de votre espace de travail en sélectionnant Ouvrir
Dans la barre d’outils d’un classeur. L’écran bascule vers une liste de classeurs vers lesquels vous pouvez basculer.Sélectionnez le classeur que vous souhaitez ouvrir :
Créer des vignettes pour vos classeurs
Pour ajouter une vignette personnalisée à un classeur Microsoft Sentinel, commencez par créer la vignette dans Log Analytics. Pour plus d’informations, consultez Données visuelles dans Log Analytics.
Une fois que vous avez créé une vignette, sélectionnez Épingler, puis sélectionnez le classeur dans lequel vous souhaitez que la vignette apparaisse.
Actualiser les données de votre classeur
Actualisez votre classeur pour afficher les données mises à jour. Dans la barre d’outils, sélectionnez l’une des options suivantes :
Actualiser, pour actualiser manuellement les données de votre classeur.
Actualisation automatique, pour définir l’actualisation automatique de votre classeur à un intervalle configuré.Les intervalles d’actualisation automatique s’échelonnent entre 5 minutes et 1 jour.
L’actualisation automatique est suspendue lorsque vous modifiez un classeur, et les intervalles sont redémarrés chaque fois que vous revenez en mode d’affichage à partir du mode d’édition.
Les intervalles d’actualisation automatique sont également redémarrés si vous actualisez manuellement vos données.
Par défaut, l’actualisation automatique est désactivée. Si vous avez activé l’actualisation automatique, elle est désactivée à chaque fermeture du bloc-notes pour optimiser la perforamnce et empêcher son exécution en arrière-plan. Activez l’actualisation automatique en fonction de vos besoins la prochaine fois que vous ouvrirez le classeur.
Imprimer un classeur ou enregistrer au format PDF (portail Azure uniquement)
Pour imprimer un classeur ou l’enregistrer au format PDF, utilisez le menu Options à droite du titre du classeur. Ces options sont disponibles uniquement dans le portail Azure. Si vous travaillez dans le portail Defender, sélectionnez Ouvrir dans Azure pour ouvrir le classeur dans le portail Azure.
Sélectionnez Options >
Imprimer le contenu.Dans l’écran d’impression, ajustez vos paramètres d’impression si nécessaire ou sélectionnez Enregistrer au format PDF pour l’enregistrer localement.
Exemple :
Supprimer un ou plusieurs classeurs
Vous pouvez supprimer les modèles enregistrés et les classeurs personnalisés de l’onglet Mes classeurs . Les modèles eux-mêmes ne peuvent pas être supprimés.
Pour supprimer un classeur, sélectionnez le classeur sous l’onglet Mes classeurs , puis sélectionnez Supprimer. Cette action supprime la ressource de classeur et toutes les modifications que vous avez apportées au modèle. Le modèle d’origine reste disponible.
Suggestions de classeur
Cette section passe en revue les recommandations de base que nous avons pour utiliser des classeurs avec Microsoft Sentinel.
Ajouter des classeurs Microsoft Entra ID
Si vous utilisez Microsoft Entra ID avec Microsoft Sentinel, nous vous recommandons d’installer la solution Microsoft Entra pour Microsoft Sentinel et d’utiliser les classeurs suivants :
- Connexions Microsoft Entra analyse les connexions pour détecter les anomalies. Ce classeur fournit les connexions ayant échoué à partir d’applications, d’appareils et d’emplacements afin que vous puissiez vérifier, en un clin d’œil, si quelque chose d’inhabituel se produit. Faites attention lorsque plusieurs connexions échouent.
- Journaux d’audit Microsoft Entra analyse les activités d’administration, comme la modification des utilisateurs (ajout, suppression, etc.), la création de groupe et les modifications.
Ajouter des classeurs de pare-feu
Nous vous recommandons d’installer la solution appropriée à partir du hub de contenu afin d’ajouter un classeur pour votre pare-feu.
Par exemple, installez la solution de pare-feu Palo Alto pour Microsoft Sentinel afin d’ajouter les classeurs Palo Alto. Les classeurs analysent le trafic de votre pare-feu et vous indiquent des corrélations entre les données de votre pare-feu et les événements de menaces. De plus, ils mettent en évidence des événements suspects dans des entités.
Créer différents classeurs pour différentes utilisations
Nous vous recommandons de créer différentes visualisations pour chaque type de personnage qui utilise des classeurs, en fonction du rôle des personnages et de ce qu’ils recherchent. Par exemple, créez pour votre administrateur réseau un classeur qui inclut les données du pare-feu.
Vous pouvez également créer des classeurs en fonction de la fréquence à laquelle vous souhaitez les examiner, par exemple si certains éléments doivent être consultés tous les jours et d’autres toutes les heures. Vous pouvez, par exemple, examiner les connexions Microsoft Entra toutes les heures pour y rechercher d’éventuelles anomalies.
Exemple de requête pour comparer les tendances du trafic sur plusieurs semaines
Utilisez la requête suivante pour créer une visualisation qui compare les tendances du trafic sur plusieurs semaines. Changez le fournisseur de l’appareil et la source de données sur lesquels vous exécutez la requête, en fonction de votre environnement.
L’exemple de requête suivant utilise la table SecurityEvent à partir de Windows. Vous pouvez le changer pour l’exécuter sur la table AzureActivity ou CommonSecurityLog, sur n’importe quel autre pare-feu.
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
Exemple de requête avec des données provenant de plusieurs sources
Vous souhaitez peut-être créer une requête qui incorpore des données provenant de plusieurs sources. Par exemple, créez une requête qui examine les journaux d’audit Microsoft Entra pour contrôler les utilisateurs qui viennent d’y être créés, puis vérifie vos journaux Azure pour voir si ces utilisateurs ont commencé à apporter des modifications dans l’attribution des rôles dans les 24 heures qui suivent leur création. Cette activité suspecte s’affiche dans une visualisation avec la requête suivante :
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
Consultez plus d’informations sur les éléments suivants utilisés dans les exemples précédents dans la documentation Kusto :
- opérateur where
- opérateur extend
- Opérateur project
- opérateur project-away
- opérateurjointure
- Opérateur summarize
- fonction ago()
- fonction classe()
- fonctioniff()
- Fonctiontostring()
- fonction d’agrégation count()
Pour plus d’informations sur KQL, consultez Vue d’ensemble du langage de requête Kusto (KQL).
Autres ressources :
Problèmes connus liés à la modification de classeurs dans le portail Defender (préversion)
La modification de classeurs directement dans le portail Defender est actuellement en préversion et inclut actuellement les problèmes connus suivants :
- L’éditeur avancé peut apparaître en mode clair, même si votre portail est défini sur le mode sombre.
- Les données de point de terminaison personnalisées ne sont pas prises en charge pour la modification de classeurs dans le portail Defender.
- Les classeurs au sein des classeurs ne sont pas pris en charge pour la modification dans le portail Defender.
- Le partage en lecture seule n’est pas pris en charge pour les classeurs dans le portail Defender.
- Les diagrammes mermaid ne sont pas pris en charge pour la modification de classeurs dans le portail Defender.
Articles connexes
Pour plus d'informations, consultez les pages suivantes :
Classeurs Microsoft Sentinel couramment utilisés