Connecter Microsoft Sentinel au portail Microsoft Defender

S’applique à: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, avec ou sans Microsoft Defender XDR ou une licence E5. En utilisant Microsoft Sentinel dans le portail Defender avec les services Microsoft Defender XDR, vous unifiez des fonctionnalités telles que la gestion des incidents et la chasse avancée. Réduisez le basculement d’outils et créez une investigation plus contextuelle qui accélère la réponse aux incidents et arrête les violations plus rapidement.

Cet article concerne les clients dont les espaces de travail Microsoft Sentinel ne sont pas encore connectés au portail Defender. Dans de nombreux cas, l’intégration des clients à Microsoft Sentinel après le 1er juillet 2025 est automatiquement intégrée au portail Defender.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Configuration requise

Avant de commencer, consultez la documentation des fonctionnalités pour comprendre les modifications et les limitations du produit.

Le portail Microsoft Defender prend en charge un seul locataire Microsoft Entra et la connexion à un espace de travail principal et à plusieurs espaces de travail secondaires. Si vous n’avez qu’un seul espace de travail lorsque vous intégrez Microsoft Sentinel, cet espace de travail est désigné comme espace de travail principal. Pour plus d’informations, consultez Plusieurs espaces de travail Microsoft Sentinel dans le portail Defender. Dans le contexte de cet article, un espace de travail est un espace de travail Log Analytics avec Microsoft Sentinel activé.

Microsoft Sentinel prérequis

Pour intégrer et utiliser Microsoft Sentinel dans le portail Defender, vous devez disposer des ressources et des accès suivants :

Un espace de travail Log Analytics pour lequel Microsoft Sentinel activé

Un compte Azure avec les rôles appropriés pour intégrer, utiliser et créer des demandes de support pour Microsoft Sentinel dans le portail Defender. Vous ne verrez pas d’espaces de travail dans le portail Defender à intégrer où vous ne disposez pas des autorisations requises. Le tableau suivant met en évidence certains des rôles clés nécessaires.

Tâche	Microsoft Entra ou Azure rôle intégré requis	Portée
Intégrer Microsoft Sentinel au portail Defender	Administrateur général ou administrateur de la sécurité dans Microsoft Entra ID AND Propriétaire ou administrateur de l’accès utilisateur et contributeur Microsoft Sentinel	Tenant - Abonnement pour les rôles Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour Microsoft Sentinel Contributeur
Connecter ou déconnecter un espace de travail secondaire	Administrateur général ou administrateur de la sécurité dans Microsoft Entra ID AND Propriétaire ou administrateur de l’accès utilisateur et contributeur Microsoft Sentinel	Tenant - Abonnement pour les rôles Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour Microsoft Sentinel Contributeur
Modifier l’espace de travail principal	Administrateur général ou administrateur de la sécurité dans Microsoft Entra ID AND Propriétaire ou administrateur de l’accès utilisateur et contributeur Microsoft Sentinel	Tenant - Abonnement pour les rôles Propriétaire ou Administrateur de l’accès utilisateur - Abonnement, groupe de ressources ou ressource d’espace de travail pour Microsoft Sentinel Contributeur
Afficher Microsoft Sentinel dans le portail Defender	lecteur Microsoft Sentinel	Abonnement, groupe de ressources ou ressource d’espace de travail
Interroger Microsoft Sentinel des tables de données ou afficher des incidents	Microsoft Sentinel Lecteur ou un rôle avec les actions suivantes : - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/read	Abonnement, groupe de ressources ou ressource d’espace de travail
Prendre des mesures d’enquête sur les incidents	Microsoft Sentinel Contributeur ou un rôle avec les actions suivantes : - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonnement, groupe de ressources ou ressource d’espace de travail
Créer une demande de support	Propriétaire, Contributeur ou Demande de support contributeur ou un rôle personnalisé avec Microsoft.Support/*	Abonnement

Si vous travaillez avec plusieurs locataires, notez que les privilèges d’administrateur délégué granulaires (GDAP) avec Azure Lighthouse ne sont pas pris en charge pour les données Microsoft Sentinel dans le portail Defender. Utilisez plutôt Microsoft Entra’authentification B2B. Pour plus d’informations, consultez Configurer Microsoft Defender gestion multilocataire.

Après vous être connecté Microsoft Sentinel au portail Defender, vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure existantes vous permettent d’utiliser les fonctionnalités Microsoft Sentinel auxquelles vous avez accès. Continuez à gérer les rôles et les autorisations de vos utilisateurs Microsoft Sentinel à partir de l’Portail Azure, car toutes les modifications Azure RBAC sont reflétées dans le portail Defender.

Pour plus d’informations, consultez Rôles et autorisations dans Microsoft Sentinel et Gérer l’accès aux données Microsoft Sentinel par ressource.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Prérequis pour les opérations de sécurité unifiées

Pour unifier Microsoft Defender XDR et Microsoft Sentinel opérations de sécurité dans le portail Defender, vous devez disposer des ressources et des accès suivants :

Licences pour Defender XDR, comme décrit dans Microsoft Defender XDR prérequis
Le compte pour Defender XDR est membre du même locataire Microsoft Entra auquel Microsoft Sentinel est associé
Accès aux Microsoft Defender XDR dans le portail Defender, comme décrit dans Microsoft Defender XDR conditions préalables

Le cas échéant, remplissez les conditions préalables suivantes :

Service	Conditions préalables
Microsoft Purview : gestion des risques internes	Si votre organization utilise Gestion des risques internes Microsoft Purview, intégrez ces données en activant le connecteur de données Microsoft 365 Insider Risk Management sur votre espace de travail principal pour Microsoft Sentinel. Désactivez ce connecteur sur tous les espaces de travail secondaires pour Microsoft Sentinel que vous prévoyez d’intégrer au portail Defender. - Installez la solution Gestion des risques internes Microsoft Purview à partir du hub de contenu sur l’espace de travail principal. - Configurer le connecteur de données. Pour plus d’informations, consultez Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi.
Microsoft Defender pour le cloud	Pour diffuser en continu les incidents Defender pour le cloud qui sont corrélés entre tous les abonnements du locataire vers l’espace de travail principal pour Microsoft Sentinel : - Connectez le connecteur de données basé sur le locataire Microsoft Defender pour le cloud (préversion) dans l’espace de travail principal. - Déconnectez le connecteur d’alertes Microsoft Defender basées sur un abonnement pour le cloud (hérité) de tous les espaces de travail du locataire. Si vous ne souhaitez pas diffuser en continu des données de locataire corrélées pour Defender pour le cloud vers l’espace de travail principal, continuez à utiliser le connecteur Microsoft Defender pour le cloud (hérité) basé sur un abonnement sur vos espaces de travail. Pour plus d’informations, consultez Ingérer Microsoft Defender pour les incidents cloud avec l’intégration de Microsoft Defender XDR.

Service

Conditions préalables

Microsoft Purview : gestion des risques internes

Si votre organization utilise Gestion des risques internes Microsoft Purview, intégrez ces données en activant le connecteur de données Microsoft 365 Insider Risk Management sur votre espace de travail principal pour Microsoft Sentinel. Désactivez ce connecteur sur tous les espaces de travail secondaires pour Microsoft Sentinel que vous prévoyez d’intégrer au portail Defender.

- Installez la solution Gestion des risques internes Microsoft Purview à partir du hub de contenu sur l’espace de travail principal.
- Configurer le connecteur de données.

Pour plus d’informations, consultez Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi.

Microsoft Defender pour le cloud

Pour diffuser en continu les incidents Defender pour le cloud qui sont corrélés entre tous les abonnements du locataire vers l’espace de travail principal pour Microsoft Sentinel :

- Connectez le connecteur de données basé sur le locataire Microsoft Defender pour le cloud (préversion) dans l’espace de travail principal.
- Déconnectez le connecteur d’alertes Microsoft Defender basées sur un abonnement pour le cloud (hérité) de tous les espaces de travail du locataire.

Si vous ne souhaitez pas diffuser en continu des données de locataire corrélées pour Defender pour le cloud vers l’espace de travail principal, continuez à utiliser le connecteur Microsoft Defender pour le cloud (hérité) basé sur un abonnement sur vos espaces de travail. Pour plus d’informations, consultez Ingérer Microsoft Defender pour les incidents cloud avec l’intégration de Microsoft Defender XDR.

Intégrer Microsoft Sentinel

Cette procédure décrit comment intégrer un espace de travail compatible Microsoft Sentinel au portail Defender.

Accédez au portail Microsoft Defender et connectez-vous.
SélectionnezParamètres>système>Microsoft Sentinel>Connecter un espace de travail.
Sélectionnez les espaces de travail que vous souhaitez connecter, puis sélectionnez Suivant.
Sélectionnez l’espace de travail principal.
Lisez et comprenez les modifications apportées au produit associées à la connexion de votre espace de travail.
Sélectionnez Connexion.

Une fois votre espace de travail connecté, la bannière de la page d’accueil indique que votre environnement est prêt. La page d’accueil est mise à jour avec de nouvelles sections qui incluent des métriques de Microsoft Sentinel, comme le nombre de connecteurs de données et les règles d’automatisation.

Explorer les fonctionnalités Microsoft Sentinel dans le portail Defender

Une fois que vous avez connecté votre espace de travail au portail Defender, Microsoft Sentinel se trouve dans le volet de navigation de gauche. Si vous avez activé Defender XDR, les pages telles que Accueil, Incidents et Repérage avancé ont des données unifiées de l’espace de travail principal pour Microsoft Sentinel et Defender XDR. Si vous n’avez pas activé Defender XDR, ces pages incluent simplement des données de Microsoft Sentinel. Pour plus d’informations sur les fonctionnalités unifiées et les différences entre les portails, consultez Microsoft Sentinel dans le portail Microsoft Defender.

La plupart des fonctionnalités Microsoft Sentinel existantes sont intégrées au portail Defender. Pour ces fonctionnalités, notez que l’expérience entre Microsoft Sentinel dans le Portail Azure et le portail Defender est similaire. Utilisez les articles suivants pour commencer à utiliser Microsoft Sentinel dans le portail Defender. Lorsque vous utilisez ces articles, gardez à l’esprit que votre point de départ dans ce contexte est le portail Defender au lieu du Portail Azure.

Catégorie de fonctionnalité	Liens
Recherche	- Rechercher dans de longs intervalles de temps dans des jeux de données volumineux - Restaurer les journaux archivés à partir de la recherche
Gestion des menaces	- Visualiser et surveiller vos données à l’aide de classeurs - Mener une chasse de bout en bout aux menaces avec Hunts - Utiliser des signets de chasse pour les investigations de données - Utiliser le livestream de chasse dans Microsoft Sentinel pour détecter les menaces - Rechercher les menaces de sécurité avec les notebooks Jupyter - Ajouter des indicateurs en bloc pour Microsoft Sentinel renseignement sur les menaces à partir d’un fichier CSV ou JSON - Utiliser des indicateurs de menace dans Microsoft Sentinel - Comprendre la couverture de sécurité par l’infrastructure MITRE ATT&CK
Gestion du contenu	- Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi - Microsoft Sentinel catalogue du hub de contenu - Déployer du contenu personnalisé à partir de votre référentiel
Configuration	- Rechercher votre connecteur de données Microsoft Sentinel - Créer des règles d’analyse personnalisées pour détecter les menaces - Utiliser des règles d’analyse de détection en quasi-temps réel (NRT) dans Microsoft Sentinel - Créer des watchlists - Gérer les watchlists dans Microsoft Sentinel - Créer des règles d’automatisation - Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles de contenu

Recherchez Microsoft Sentinel paramètres dans le portail Defender sousParamètres>système>Microsoft Sentinel.

Modifier l’espace de travail principal

Vous ne pouvez avoir qu’un seul espace de travail principal connecté au portail Defender à la fois. Mais vous pouvez modifier l’espace de travail principal.

Dans le portail Defender, accédez àParamètres>système>Microsoft Sentinel>Spaces de travail.
Sélectionnez le nom de l’espace de travail que vous souhaitez rendre principal.
Sélectionnez Définir comme principal.
Lisez et comprenez les modifications apportées au produit associées à la modification de l’espace de travail principal.
Sélectionnez Confirmer et continuez.

Lorsque vous basculez l’espace de travail principal pour Microsoft Sentinel, le connecteur Defender XDR est connecté au nouveau principal et déconnecté automatiquement de l’ancien. Pour plus d’informations, consultez Plusieurs espaces de travail Microsoft Sentinel dans le portail Defender.

Microsoft Sentinel hors-bord

Si vous décidez de retirer un espace de travail du portail Defender, déconnectez-le des paramètres de Microsoft Sentinel.

Si le connecteur Microsoft Defender XDR est configuré pour votre espace de travail, la désactivation de l’espace de travail à partir du portail Defender déconnecte également le connecteur Microsoft Defender XDR.

Accédez au portail Microsoft Defender et connectez-vous.
Dans le portail Defender, sous Système, sélectionnez Paramètres>Microsoft Sentinel.
Dans la page Espaces de travail , sélectionnez l’espace de travail connecté et Déconnecter l’espace de travail.
Indiquez une raison pour laquelle vous déconnectez l’espace de travail.
Confirmez votre sélection.

Lorsque votre espace de travail est déconnecté, la section Microsoft Sentinel est supprimée du volet de navigation gauche du portail Defender. Les données de Microsoft Sentinel ne sont plus incluses dans la page d’accueil.

Si vous souhaitez vous connecter à un autre espace de travail, dans la page Espaces de travail , sélectionnez l’espace de travail et Connecter un espace de travail.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-09-18