gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-defender

Browse Source
This commit is contained in:
Translator
2025-03-21 09:33:29 +00:00
parent ed14482a19
commit 253f2e1cb1
3 changed files with 184 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

35
src/pentesting-cloud/azure-security/az-services/az-defender.md Normal file
View File

@@ -0,0 +1,35 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Defender for Cloud
Microsoft Defender for Cloud est une solution de gestion de la sécurité complète qui couvre Azure, les environnements sur site et multi-cloud. Elle est classée comme une Cloud-Native Application Protection Platform (CNAPP), combinant les capacités de Cloud Security Posture Management (CSPM) et de Cloud Workload Protection (CWPP). Son objectif est d'aider les organisations à trouver **des erreurs de configuration et des points faibles dans les ressources cloud**, à renforcer la posture de sécurité globale et à protéger les charges de travail contre les menaces évolutives sur Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), les configurations hybrides sur site et plus encore.
En termes pratiques, Defender for Cloud **évalue en continu vos ressources par rapport aux meilleures pratiques et normes de sécurité**, fournit un tableau de bord unifié pour la visibilité et utilise une détection avancée des menaces pour vous alerter des attaques. Les principaux avantages incluent une **vue unifiée de la sécurité à travers les clouds**, des recommandations exploitables pour prévenir les violations et une protection intégrée contre les menaces qui peut réduire le risque d'incidents de sécurité. En prenant en charge AWS et GCP ainsi que d'autres plateformes SaaS de manière native et en utilisant Azure Arc pour les serveurs sur site, il garantit que vous pouvez **gérer la sécurité en un seul endroit** pour tous les environnements.
### Key Features
- **Recommendations**: Cette section présente une liste de recommandations de sécurité exploitables basées sur des évaluations continues. Chaque recommandation explique les erreurs de configuration ou les vulnérabilités identifiées et fournit des étapes de remédiation, afin que vous sachiez exactement quoi corriger pour améliorer votre score de sécurité.
- **Attack Path Analysis**: L'Analyse des Chemins d'Attaque cartographie visuellement les routes d'attaque potentielles à travers vos ressources cloud. En montrant comment les vulnérabilités se connectent et pourraient être exploitées, elle vous aide à comprendre et à briser ces chemins pour prévenir les violations.
- **Security Alerts**: La page des Alertes de Sécurité vous notifie des menaces en temps réel et des activités suspectes. Chaque alerte comprend des détails tels que la gravité, les ressources affectées et les actions recommandées, garantissant que vous pouvez réagir rapidement aux problèmes émergents.
- Les techniques de détection sont basées sur **l'intelligence des menaces, l'analyse comportementale et la détection d'anomalies**.
- Il est possible de trouver toutes les alertes possibles sur https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. En fonction du nom et de la description, il est possible de savoir **ce que l'alerte recherche** (pour la contourner).
- **Inventory**: Dans la section Inventaire, vous trouvez une liste complète de tous les actifs surveillés à travers vos environnements. Elle fournit une vue d'ensemble de l'état de sécurité de chaque ressource, vous aidant à repérer rapidement les actifs non protégés ou risqués nécessitant une remédiation.
- **Cloud Security Explorer**: Cloud Security Explorer offre une interface basée sur des requêtes pour rechercher et analyser votre environnement cloud. Il vous permet de découvrir des risques de sécurité cachés et d'explorer des relations complexes entre les ressources, améliorant ainsi vos capacités globales de chasse aux menaces.
- **Workbooks**: Les Workbooks sont des rapports interactifs qui visualisent vos données de sécurité. En utilisant des modèles préconçus ou personnalisés, ils vous aident à surveiller les tendances, à suivre la conformité et à examiner les changements dans votre score de sécurité au fil du temps, facilitant ainsi la prise de décisions de sécurité basées sur les données.
- **Community**: La section Communauté vous connecte avec des pairs, des forums d'experts et des guides de bonnes pratiques. C'est une ressource précieuse pour apprendre des expériences des autres, trouver des conseils de dépannage et rester informé des derniers développements de Defender for Cloud.
- **Diagnose and Solve Problems**: Ce centre de dépannage vous aide à identifier et à résoudre rapidement les problèmes liés à la configuration ou à la collecte de données de Defender for Cloud. Il fournit des diagnostics guidés et des solutions pour garantir que la plateforme fonctionne efficacement.
- **Security Posture**: La page de la Posture de Sécurité agrège votre état de sécurité global en un seul score de sécurité. Elle fournit des informations sur les domaines de votre cloud qui sont solides et ceux nécessitant des améliorations, servant de contrôle de santé rapide de votre environnement.
- **Regulatory Compliance**: Ce tableau de bord évalue dans quelle mesure vos ressources respectent les normes de l'industrie et les exigences réglementaires. Il affiche des scores de conformité par rapport à des références telles que PCI DSS ou ISO 27001, vous aidant à identifier les lacunes et à suivre la remédiation pour les audits.
- **Workload Protections**: Les Protections de Charge de Travail se concentrent sur la sécurisation de types de ressources spécifiques (comme les serveurs, les bases de données et les conteneurs). Elle indique quels plans Defender sont actifs et fournit des alertes et des recommandations adaptées pour chaque charge de travail afin d'améliorer leur protection. Elle est capable de détecter des comportements malveillants dans des ressources spécifiques.
- Il y a aussi l'option **`Enable Microsoft Defender for X`** que vous pouvez trouver dans certains services.
- **Data and AI Security (Preview)**: Dans cette section de prévisualisation, Defender for Cloud étend sa protection aux magasins de données et aux services d'IA. Il met en évidence les lacunes de sécurité et surveille les données sensibles, garantissant que vos dépôts de données et vos plateformes d'IA sont protégés contre les menaces.
- **Firewall Manager**: Le Firewall Manager s'intègre à Azure Firewall pour vous donner une vue centralisée de vos politiques de sécurité réseau. Il simplifie la gestion et la surveillance des déploiements de pare-feu, garantissant l'application cohérente des règles de sécurité à travers vos réseaux virtuels.
- **DevOps Security**: La Sécurité DevOps s'intègre à vos pipelines de développement et à vos dépôts de code pour intégrer la sécurité dès le début du cycle de vie du logiciel. Elle aide à identifier les vulnérabilités dans le code et les configurations, garantissant que la sécurité est intégrée dans le processus de développement.
## Microsoft Defender EASM
Microsoft Defender External Attack Surface Management (EASM) scanne et cartographie en continu les actifs exposés à Internet de votre organisation—y compris les domaines, sous-domaines, adresses IP et applications web—pour fournir une vue complète et en temps réel de votre empreinte numérique externe. Il utilise des techniques de crawling avancées, en partant de graines de découverte connues, pour découvrir automatiquement à la fois les actifs gérés et les actifs IT fantômes qui pourraient autrement rester cachés. EASM identifie **des configurations risquées** telles que des interfaces administratives exposées, des buckets de stockage accessibles au public et des services vulnérables à différents CVE, permettant à votre équipe de sécurité de traiter ces problèmes avant qu'ils ne soient exploités. De plus, la surveillance continue peut également montrer **des changements dans l'infrastructure exposée** en comparant différents résultats de scan afin que l'administrateur puisse être conscient de chaque changement effectué. En fournissant des informations en temps réel et des inventaires détaillés des actifs, Defender EASM permet aux organisations de **surveiller et de suivre en continu les changements de leur exposition externe**. Il utilise une analyse basée sur le risque pour prioriser les résultats en fonction de la gravité et des facteurs contextuels, garantissant que les efforts de remédiation se concentrent là où ils comptent le plus. Cette approche proactive aide non seulement à découvrir des vulnérabilités cachées, mais soutient également l'amélioration continue de votre posture de sécurité globale en vous alertant sur toute nouvelle exposition à mesure qu'elle émerge.
{{#include ../../../banners/hacktricks-training.md}}

104
src/pentesting-cloud/azure-security/az-services/az-monitoring.md Normal file
View File

@@ -0,0 +1,104 @@
# Az - Monitoring
{{#include ../../../banners/hacktricks-training.md}}
## Entra ID - Logs
Il existe 3 types de journaux disponibles dans Entra ID :
- **Sign-in Logs** : Les journaux de connexion documentent chaque tentative d'authentification, qu'elle soit réussie ou échouée. Ils offrent des détails tels que les adresses IP, les emplacements, les informations sur les appareils et les politiques d'accès conditionnel appliquées, qui sont essentielles pour surveiller l'activité des utilisateurs et détecter un comportement de connexion suspect ou des menaces potentielles pour la sécurité.
- **Audit Logs** : Les journaux d'audit fournissent un enregistrement de tous les changements effectués dans votre environnement Entra ID. Ils capturent les mises à jour des utilisateurs, des groupes, des rôles ou des politiques, par exemple. Ces journaux sont vitaux pour la conformité et les enquêtes de sécurité, car ils vous permettent de revoir qui a effectué quel changement et quand.
- **Provisioning Logs** : Les journaux de provisionnement fournissent des informations sur les utilisateurs provisionnés dans votre locataire via un service tiers (tel que des annuaires sur site ou des applications SaaS). Ces journaux vous aident à comprendre comment les informations d'identité sont synchronisées.
> [!WARNING]
> Notez que ces journaux ne sont stockés que pendant **7 jours** dans la version gratuite, **30 jours** dans la version P1/P2 et 60 jours supplémentaires dans les signaux de sécurité pour les activités de connexion à risque. Cependant, même un administrateur global ne pourrait pas **les modifier ou les supprimer plus tôt**.
## Entra ID - Log Systems
- **Diagnostic Settings** : Un paramètre de diagnostic spécifie une liste de catégories de journaux de plateforme et/ou de métriques que vous souhaitez collecter à partir d'une ressource, et une ou plusieurs destinations vers lesquelles vous souhaitez les diffuser. Des frais d'utilisation normaux pour la destination s'appliqueront. En savoir plus sur les différentes catégories de journaux et le contenu de ces journaux.
- **Destinations** :
- **Analytics Workspace** : Enquête via Azure Log Analytics et création d'alertes.
- **Storage account** : Analyse statique et sauvegarde.
- **Event hub** : Diffusion de données vers des systèmes externes comme des SIEM tiers.
- **Monitor partner solutions** : Intégrations spéciales entre Azure Monitor et d'autres plateformes de surveillance non-Microsoft.
- **Workbooks** : Les workbooks combinent du texte, des requêtes de journaux, des métriques et des paramètres en rapports interactifs riches.
- **Usage & Insights** : Utile pour voir les activités les plus courantes dans Entra ID.
## Azure Monitor
Voici les principales fonctionnalités d'Azure Monitor :
- **Activity Logs** : Les journaux d'activité Azure capturent les événements au niveau de l'abonnement et les opérations de gestion, vous donnant un aperçu des changements et des actions effectuées sur vos ressources.
- **Activily logs** ne peuvent pas être modifiés ou supprimés.
- **Change Analysis** : L'analyse des changements détecte et visualise automatiquement les changements de configuration et d'état de vos ressources Azure pour aider à diagnostiquer les problèmes et suivre les modifications au fil du temps.
- **Alerts** : Les alertes d'Azure Monitor sont des notifications automatisées déclenchées lorsque des conditions ou des seuils spécifiés sont atteints dans votre environnement Azure.
- **Workbooks** : Les workbooks sont des tableaux de bord interactifs et personnalisables au sein d'Azure Monitor qui vous permettent de combiner et de visualiser des données provenant de diverses sources pour une analyse complète.
- **Investigator** : Investigator vous aide à explorer les données de journaux et les alertes pour effectuer une analyse approfondie et identifier la cause des incidents.
- **Insights** : Insights fournissent des analyses, des métriques de performance et des recommandations exploitables (comme celles dans Application Insights ou VM Insights) pour vous aider à surveiller et à optimiser la santé et l'efficacité de vos applications et infrastructures.
### Log Analytics Workspaces
Les espaces de travail Log Analytics sont des dépôts centraux dans Azure Monitor où vous pouvez **collecter, analyser et visualiser des données de journaux et de performance** de vos ressources Azure et de vos environnements sur site. Voici les points clés :
- **Centralized Data Storage** : Ils servent de lieu central pour stocker les journaux de diagnostic, les métriques de performance et les journaux personnalisés générés par vos applications et services.
- **Powerful Query Capabilities** : Vous pouvez exécuter des requêtes en utilisant le Kusto Query Language (KQL) pour analyser les données, générer des insights et résoudre des problèmes.
- **Integration with Monitoring Tools** : Les espaces de travail Log Analytics s'intègrent à divers services Azure (tels qu'Azure Monitor, Azure Sentinel et Application Insights) vous permettant de créer des tableaux de bord, de configurer des alertes et d'obtenir une vue complète de votre environnement.
En résumé, un espace de travail Log Analytics est essentiel pour une surveillance avancée, le dépannage et l'analyse de sécurité dans Azure.
Vous pouvez configurer une ressource pour envoyer des données à un espace de travail d'analyse à partir des **paramètres de diagnostic** de la ressource.
## Enumeration
### Entra ID
```bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
```
### Azure Monitor
```bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
```
{{#include ../../../banners/hacktricks-training.md}}

45
src/pentesting-cloud/azure-security/az-services/az-sentinel.md Normal file
View File

@@ -0,0 +1,45 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Sentinel
Microsoft Sentinel est une solution **SIEM** (Gestion des informations et des événements de sécurité) et **SOAR** (Orchestration, automatisation et réponse en matière de sécurité) native du cloud sur Azure.
Elle agrège les données de sécurité provenant de toute une organisation (sur site et dans le cloud) en une seule plateforme et utilise des **analyses intégrées et des renseignements sur les menaces** pour identifier les menaces potentielles.
Sentinel tire parti des services Azure tels que Log Analytics (pour le stockage massif de journaux et les requêtes) et Logic Apps (pour les flux de travail automatisés) cela signifie qu'il peut évoluer à la demande et s'intégrer aux capacités d'IA et d'automatisation d'Azure.
En essence, Sentinel collecte et analyse les journaux de diverses sources, **détecte des anomalies ou des activités malveillantes**, et permet aux équipes de sécurité d'enquêter et de répondre rapidement aux menaces, le tout via le portail Azure sans avoir besoin d'une infrastructure SIEM sur site.
### Configuration de Microsoft Sentinel
Vous commencez par activer Sentinel sur un espace de travail Azure Log Analytics (l'espace de travail est l'endroit où les journaux seront stockés et analysés). Voici les étapes à suivre pour commencer :
1. **Activer Microsoft Sentinel sur un espace de travail** : Dans le portail Azure, créez ou utilisez un espace de travail Log Analytics existant et ajoutez Microsoft Sentinel. Cela déploie les capacités de Sentinel dans votre espace de travail.
2. **Connecter les sources de données (connecteurs de données)** : Une fois Sentinel activé, connectez vos sources de données à l'aide de connecteurs de données intégrés. Qu'il s'agisse de journaux Entra ID, d'Office 365 ou même de journaux de pare-feu, Sentinel commence à ingérer automatiquement les journaux et les alertes. Cela se fait généralement en créant des paramètres de diagnostic pour envoyer des journaux dans l'espace de travail de journaux utilisé.
3. **Appliquer des règles d'analyse et du contenu** : Avec les données qui affluent, activez les règles d'analyse intégrées ou créez des règles personnalisées pour détecter les menaces. Utilisez le Content Hub pour des modèles de règles préemballés et des carnets de travail qui lancent vos capacités de détection.
4. **(Optionnel) Configurer l'automatisation** : Configurez l'automatisation avec des playbooks pour répondre automatiquement aux incidents, comme l'envoi d'alertes ou l'isolement de comptes compromis, améliorant ainsi votre réponse globale.
## Principales caractéristiques
- **Journaux** : L'onglet Journaux ouvre l'interface de requête Log Analytics, où vous pouvez plonger **profondément dans vos données en utilisant le Kusto Query Language (KQL)**. Cette zone est cruciale pour le dépannage, l'analyse judiciaire et les rapports personnalisés. Vous pouvez écrire et exécuter des requêtes pour filtrer les événements de journal, corréler des données provenant de différentes sources, et même créer des tableaux de bord ou des alertes personnalisés basés sur vos découvertes. C'est le centre d'exploration des données brutes de Sentinel.
- **Recherche** : L'outil de recherche offre une interface unifiée pour **localiser rapidement des événements de sécurité, des incidents et même des entrées de journal spécifiques**. Plutôt que de naviguer manuellement à travers plusieurs onglets, vous pouvez taper des mots-clés, des adresses IP ou des noms d'utilisateur pour faire apparaître instantanément tous les événements connexes. Cette fonctionnalité est particulièrement utile lors d'une enquête lorsque vous devez rapidement connecter différentes informations.
- **Incidents** : La section Incidents centralise toutes les **alertes groupées en cas gérables**. Sentinel agrège les alertes connexes en un seul incident, fournissant un contexte tel que la gravité, la chronologie et les ressources affectées. Dans un incident, vous pouvez voir un graphique d'enquête détaillé qui cartographie la relation entre les alertes, facilitant ainsi la compréhension de l'ampleur et de l'impact d'une menace potentielle. La gestion des incidents comprend également des options pour assigner des tâches, mettre à jour des statuts et s'intégrer aux flux de travail de réponse.
- **Carnets de travail** : Les carnets de travail sont des tableaux de bord et des rapports personnalisables qui vous aident à **visualiser et analyser vos données de sécurité**. Ils combinent divers graphiques, tableaux et requêtes pour offrir une vue d'ensemble des tendances et des modèles. Par exemple, vous pourriez utiliser un carnet de travail pour afficher une chronologie des activités de connexion, une cartographie géographique des adresses IP, ou la fréquence de certaines alertes au fil du temps. Les carnets de travail sont à la fois préconçus et entièrement personnalisables pour répondre aux besoins de surveillance spécifiques de votre organisation.
- **Chasse** : La fonctionnalité Chasse fournit une approche proactive pour **trouver des menaces qui pourraient ne pas avoir déclenché d'alertes standard**. Elle est livrée avec des requêtes de chasse préconçues qui s'alignent sur des cadres comme MITRE ATT&CK, mais vous permet également d'écrire des requêtes personnalisées. Cet outil est idéal pour **les analystes avancés cherchant à découvrir des menaces furtives ou émergentes** en explorant des données historiques et en temps réel, telles que des modèles de réseau inhabituels ou un comportement utilisateur anormal.
- **Cahiers** : Avec l'intégration des Cahiers, Sentinel tire parti des **Cahiers Jupyter pour des analyses de données avancées et des enquêtes automatisées**. Cette fonctionnalité vous permet d'exécuter du code Python directement sur vos données Sentinel, rendant possible l'analyse d'apprentissage automatique, la création de visualisations personnalisées ou l'automatisation de tâches d'enquête complexes. Elle est particulièrement utile pour les scientifiques des données ou les analystes de sécurité qui ont besoin de mener des analyses approfondies au-delà des requêtes standard.
- **Comportement des entités** : La page Comportement des entités utilise **l'analyse du comportement des utilisateurs et des entités (UEBA)** pour établir des bases de référence pour l'activité normale dans votre environnement. Elle affiche des profils détaillés pour les utilisateurs, les appareils et les adresses IP, **mettant en évidence les écarts par rapport au comportement typique**. Par exemple, si un compte normalement peu actif présente soudainement des transferts de données à volume élevé, cet écart sera signalé. Cet outil est essentiel pour identifier les menaces internes ou les identifiants compromis basés sur des anomalies comportementales.
- **Renseignements sur les menaces** : La section Renseignements sur les menaces vous permet de **gérer et de corréler des indicateurs de menaces externes**—tels que des adresses IP malveillantes, des URL ou des hachages de fichiers—avec vos données internes. En s'intégrant à des flux de renseignements externes, Sentinel peut automatiquement signaler des événements qui correspondent à des menaces connues. Cela vous aide à détecter et à répondre rapidement aux attaques qui font partie de campagnes plus larges et connues, ajoutant une autre couche de contexte à vos alertes de sécurité.
- **MITRE ATT&CK** : Dans l'onglet MITRE ATT&CK, Sentinel **cartographie vos données de sécurité et vos règles de détection au cadre largement reconnu MITRE ATT&CK**. Cette vue vous aide à comprendre quelles tactiques et techniques sont observées dans votre environnement, à identifier les lacunes potentielles dans la couverture, et à aligner votre stratégie de détection avec des modèles d'attaque reconnus. Elle fournit un moyen structuré d'analyser comment les adversaires pourraient attaquer votre environnement et aide à prioriser les actions défensives.
- **Content Hub** : Le Content Hub est un référentiel centralisé de **solutions préemballées, y compris des connecteurs de données, des règles d'analyse, des carnets de travail et des playbooks**. Ces solutions sont conçues pour accélérer votre déploiement et améliorer votre posture de sécurité en fournissant des configurations de meilleures pratiques pour des services courants (comme Office 365, Entra ID, etc.). Vous pouvez parcourir, installer et mettre à jour ces packs de contenu, facilitant ainsi l'intégration de nouvelles technologies dans Sentinel sans configuration manuelle extensive.
- **Dépôts** : La fonctionnalité Dépôts (actuellement en aperçu) permet le contrôle de version pour votre contenu Sentinel. Elle s'intègre à des systèmes de contrôle de version tels que GitHub ou Azure DevOps, vous permettant de **gérer vos règles d'analyse, carnets de travail, playbooks et autres configurations en tant que code**. Cette approche améliore non seulement la gestion des changements et la collaboration, mais facilite également le retour à des versions précédentes si nécessaire.
- **Gestion des espaces de travail** : Le gestionnaire d'espace de travail de Microsoft Sentinel permet aux utilisateurs de **gérer de manière centralisée plusieurs espaces de travail Microsoft Sentinel** au sein d'un ou plusieurs locataires Azure. L'espace de travail central (avec le gestionnaire d'espace de travail activé) peut consolider les éléments de contenu à publier à grande échelle dans les espaces de travail membres.
- **Connecteurs de données** : La page Connecteurs de données répertorie tous les connecteurs disponibles qui apportent des données dans Sentinel. Chaque connecteur est **préconfiguré pour des sources de données spécifiques** (à la fois Microsoft et tiers) et montre son statut de connexion. La configuration d'un connecteur de données implique généralement quelques clics, après quoi Sentinel commence à ingérer et à analyser les journaux de cette source. Cette zone est vitale car la qualité et l'étendue de votre surveillance de sécurité dépendent de la gamme et de la configuration de vos sources de données connectées.
- **Analytique** : Dans l'onglet Analytique, vous **créez et gérez les règles de détection qui alimentent les alertes de Sentinel**. Ces règles sont essentiellement des requêtes qui s'exécutent selon un calendrier (ou presque en temps réel) pour identifier des modèles suspects ou des violations de seuil dans vos données de journal. Vous pouvez choisir parmi des modèles intégrés fournis par Microsoft ou créer vos propres règles personnalisées en utilisant KQL. Les règles d'analyse déterminent comment et quand les alertes sont générées, impactant directement la façon dont les incidents sont formés et priorisés.
- **Liste de surveillance** : La liste de surveillance de Microsoft Sentinel permet la **collecte de données provenant de sources de données externes pour corréler avec les événements** dans votre environnement Microsoft Sentinel. Une fois créée, utilisez les listes de surveillance dans votre recherche, vos règles de détection, votre chasse aux menaces, vos carnets de travail et vos playbooks de réponse.
- **Automatisation** : Les règles d'automatisation vous permettent de **gérer de manière centralisée toute l'automatisation du traitement des incidents**. Les règles d'automatisation rationalisent l'utilisation de l'automatisation dans Microsoft Sentinel et vous permettent de simplifier des flux de travail complexes pour vos processus d'orchestration des incidents.
{{#include ../../../banners/hacktricks-training.md}}