Domain separation et intégration Microsoft Azure Sentinel

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Domain Separation est pris en charge pour cette application. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

    Niveau de prise en charge : basique

    • Logique métier : garantit que les données parviennent au bon domaine pour les cas d'utilisation du fournisseur de service de l'application.
    • L'application prend en charge Séparation de domaine lors de l'exécution. Séparation de domaine inclut la séparation à partir de l'interface utilisateur, des clés de cache, des rapports, des déploiements et des agrégations.
    • Le propriétaire de l'instance doit configurer l'application de sorte qu'elle fonctionne sur plusieurs locataires.

    Exemple de cas d'utilisation : lorsqu'un fournisseur de service (SP) utilise la messagerie instantanée pour répondre au message d'un locataire-client, le client doit pouvoir afficher la réponse du SP.

    Pour en savoir plus sur les niveaux de prise en charge, consultez la rubrique Prise en charge de Séparation de domaine par les applications.

    Comment fonctionne Domain separation dans l’intégration Microsoft Azure Sentinel

    Pour réaliser Domain Separation, procédez comme suit :
    • Créez un utilisateur avec le rôle sn_si.admin dans le domaine respectif.
      Remarque :
      Lorsque vous créez le profil, utilisez le sélecteur de domaine pour sélectionner un domaine. Ne créez pas l’utilisateur dans le domaine parent et ne modifiez pas ultérieurement le domaine du profil. Pour chaque domaine, votre profil doit disposer d’un utilisateur disposant du rôle sn_si.admin. Utilisez cet utilisateur pour créer ou modifier des paramètres dans le profil.
    • Désactivez les travaux planifiés existants.
    • Répliquez les tâches planifiées suivantes pour chaque domaine :
      • Azure Sentinel : extraire les alertes et les entités
      • Synchronisation des commentaires Azure Sentinel
      • Mise à jour de l’état d’Azure Sentinel
      • Processus du profil Azure Sentinel
      • Données brutes du processus Azure Sentinel
      • Nettoyage des données Azure Sentinel
      • Extraction du commentaire historique Azure Sentinel
      Remarque :
      Après avoir répliqué les tâches planifiées, utilisez le navigateur et recherchez le module Politiques d’accès au module, affichez les enregistrements récemment créés dont le script cible affiche les travaux planifiés nouvellement créés. Modifiez la valeur du champ Résultats à suivre.
    • Remplacez l’exécution en tant qu’utilisateur système par l’utilisateur disposant du rôle sn_si.admin dans le domaine respectif, puis exécutez la tâche planifiée.

    L’exemple suivant montre comment répliquer la tâche de mise à jour de l’état et des commentaires Azure Sentinel et exécuter la tâche en tant qu’utilisateur système.

    Répliquez les commentaires Azure Sentinel et la tâche de mise à jour de l’état, puis exécutez-la en tant qu’utilisateur système.