Réponses automatisées Microsoft Sentinel

Microsoft Sentinel est une solution évolutive basée sur le cloud pour la gestion des informations de sécurité et des événements (SIEM) et l’orchestration de la sécurité, l’automatisation et la réponse (SOAR). Il offre une analytique de sécurité intelligente pour les organisations de toutes tailles et fournit les fonctionnalités suivantes et bien plus encore :

• Détection des attaques commerciales
• Chasse proactive
• Réponse automatisée aux incidents

La réponse aux menaces dans Microsoft Sentinel est gérée via des playbooks. Lorsqu’il est déclenché par une alerte ou un incident, un playbook exécute une série d’actions automatisées pour contrer la menace. Vous créez ces playbooks à l’aide d’Azure Logic Apps.

Microsoft Sentinel fournit des centaines de playbooks prêts à l’emploi, y compris des playbooks pour les scénarios suivants :

• Blocage d’un utilisateur Microsoft Entra
• Blocage d’un utilisateur Microsoft Entra en fonction du rejet par e-mail
• Publication d’un message dans un canal Microsoft Teams concernant un incident ou une alerte
• Publication d’un message sur Slack
• Envoi d’un email avec les détails de l’incident ou de l’alerte
• Envoi d’un email avec un rapport d’incident formaté
• Déterminer si un utilisateur Microsoft Entra est à risque
• Envoi d’une carte adaptative via Microsoft Teams pour déterminer si un utilisateur est compromis
• Isolation d’un point de terminaison via Microsoft Defender pour point de terminaison

Cet article inclut un exemple d’implémentation d’un playbook qui répond à une menace en bloquant un utilisateur Microsoft Entra compromis par une activité suspecte.

Cas d’usage potentiels

Les techniques décrites dans cet article s’appliquent chaque fois que vous devez implémenter une réponse automatique à une condition détectable.

Architecture

Téléchargez un fichier Visio de cette architecture.

Workflow

Ce flux de travail montre les étapes à suivre pour déployer le playbook. Assurez-vous que les conditions préalables sont satisfaites avant de commencer. Par exemple, vous devez choisir un utilisateur Microsoft Entra.

1. Suivez les étapes décrites dans Envoyer des journaux à Azure Monitor pour configurer Microsoft Entra ID pour envoyer des journaux d’audit à l’espace de travail Log Analytics utilisé avec Microsoft Sentinel.

   Remarque

   Cette solution n’utilise pas les journaux d’audit, mais vous pouvez vous en servir pour investiguer ce qui se passe quand l’utilisateur est bloqué.

2. Microsoft Entra ID Protection génère les alertes qui déclenchent l’exécution du guide opérationnel de réponse aux menaces. Pour que Microsoft Sentinel collecte les alertes, accédez à votre instance Microsoft Sentinel et sélectionnez Connecteurs de données. Recherchez Microsoft Entra ID Protection et activez la collecte d’alertes. Pour en savoir plus sur Identity Protection, consultez Qu’est-ce qu’Identity Protection.

3. Installez le navigateur ToR sur un ordinateur ou une machine virtuelle que vous pouvez utiliser sans risque pour votre sécurité informatique.

4. Utilisez le navigateur Tor pour vous connecter anonymement à Mes applications en tant qu’utilisateur que vous avez sélectionné pour cette solution. Consultez l’adresse IP anonyme pour obtenir des instructions sur l’utilisation du navigateur Tor pour simuler des adresses IP anonymes.

5. Microsoft Entra authentifie l’utilisateur.

6. Protection des ID Microsoft Entra détecte que l’utilisateur a utilisé un navigateur ToR pour se connecter anonymement. Ce type de connexion est une activité suspecte qui met l’utilisateur en danger. Identity Protection envoie une alerte à Microsoft Sentinel.

7. Configurez Microsoft Sentinel pour créer un incident à partir de l’alerte. Pour plus d’informations, consultez Créer automatiquement des incidents à partir d’alertes de sécurité Microsoft. Le modèle de règle d’analyse de sécurité Microsoft à utiliser est Créer des incidents en fonction des alertes Microsoft Entra ID Protection.

8. Lorsque Microsoft Sentinel déclenche un incident, le playbook répond avec des actions qui bloquent l’utilisateur.

Components

• Microsoft Sentinel est une solution SIEM et SOAR native du cloud. Il utilise une IA et une analytique de sécurité avancées pour détecter les menaces au sein de l’entreprise, et y répondre. Il existe de nombreux playbooks sur Microsoft Sentinel qui vous permettent d’automatiser les réponses et de protéger votre système.
• Microsoft Entra ID est un service cloud de gestion des annuaires et des identités qui combine les principaux services d’annuaire, la gestion des accès aux applications et la protection des identités en une seule solution. Il peut se synchroniser avec des répertoires locaux. Le service d’identité fournit l’authentification unique, l’authentification multifacteur et l’accès conditionnel pour offrir une protection contre les attaques de cybersécurité. La solution présentée dans cet article utilise la protection d’identité Microsoft Entra pour détecter les activités suspectes par un utilisateur.
• Logic Apps est un service cloud serverless pour la création et l’exécution de workflows automatisés qui intègrent vos applications, données, services et systèmes. Les développeurs peuvent utiliser un concepteur visuel pour planifier et orchestrer les workflows de tâches courantes. Logic Apps inclut des connecteurs pour de nombreux services cloud populaires, produits locaux et autres applications SaaS. Dans cette solution, Logic Apps exécute le playbook de réponse aux menaces.

Considérations

• Azure Well-Architected Framework est un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.
• Microsoft Sentinel propose plus de 50 playbooks prêts à être utilisés. Vous pouvez les trouver sous l’onglet Modèles playbook de la page Microsoft Sentinel|Automation de votre espace de travail.
• GitHub dispose d’un large éventail de playbooks Microsoft Sentinel créés par la communauté.

Déployer ce scénario

Vous pouvez déployer ce scénario en suivant les étapes décrites dans la section Workflow, après avoir vérifié que les prérequis sont remplis.

Prérequis

• Préparer le logiciel et choisir un utilisateur de test
• Déployer le playbook

Préparer le logiciel et choisir un utilisateur de test

Pour implémenter et tester le playbook, vous avez besoin d’Azure et de Microsoft Sentinel avec les éléments suivants :

• Une licence Microsoft Entra ID Protection (Premium P2, E3 ou E5).
• Un utilisateur Microsoft Entra. Vous pouvez utiliser un utilisateur existant ou créer un nouvel utilisateur. Si vous créez un utilisateur, vous pouvez le supprimer quand vous n’en avez plus besoin.
• Un ordinateur ou une machine virtuelle pouvant exécuter un navigateur ToR. Vous utiliserez le navigateur pour vous connecter au portail Mes applications en tant qu’utilisateur Microsoft Entra.

Déployer le playbook

Pour déployer un playbook Microsoft Sentinel, procédez comme suit :

• Si vous n’avez pas d’espace de travail Log Analytics à utiliser pour cet exercice, créez-en un comme suit :
  • Accédez à la page principale Microsoft Sentinel, puis sélectionnez + Créer pour accéder à la page Ajouter Microsoft Sentinel à un espace de travail.
  • Sélectionnez Créer un espace de travail. Suivez les instructions pour créer l’espace de travail. Après un court laps de temps, l’espace de travail est créé.
• À ce stade, vous disposez d’un espace de travail, peut-être celui que vous venez de créer. Suivez les étapes suivantes pour savoir si Microsoft Sentinel a été ajouté à celui-ci et le faire si ce n’est pas le cas :
  • Accédez à la page principale Microsoft Sentinel.
  • Si Microsoft Sentinel a déjà été ajouté à votre espace de travail, l’espace de travail apparaît dans la liste affichée. S’il n’a pas encore été ajouté, ajoutez-le comme suit.
    • Sélectionnez + Créer pour accéder à la page Ajouter Microsoft Sentinel à un espace de travail.
    • Sélectionnez votre espace de travail dans la liste affichée, puis sélectionnez Ajouter en bas de la page. Après une courte période, Microsoft Sentinel est ajouté à votre espace de travail.
• Créez un playbook, comme suit :
  • Accédez à la page principale Microsoft Sentinel. Sélectionnez votre espace de travail. Sélectionnez Automation dans le menu de gauche pour accéder à la page Automation. Cette page comporte trois onglets.
  • Sélectionnez l’onglet Modèles Playbook (préversion).
  • Dans le champ de recherche, entrez Bloquer l’utilisateur Microsoft Entra - Incident.
  • Dans la liste des guides opérationnels, sélectionnez Bloquer l’utilisateur Microsoft Entra - Incident, puis sélectionnez Créer un guide opérationnel dans le coin inférieur droit pour accéder à la page Créer un guide opérationnel.
  • Dans la page Créer un playbook, effectuez les étapes suivantes :
    • Sélectionnez les valeurs appropriées pour l’abonnement, le groupe de ressources et la région dans les listes correspondantes.
    • Entrez une valeur pour le nom du playbook si vous ne souhaitez pas utiliser le nom par défaut qui s’affiche.
    • Si vous le souhaitez, sélectionnez Activer les journaux de diagnostic dans Log Analytics pour activer les journaux.
    • Laissez la case à cocher Associer à l’environnement de service d’intégration désactivée.
    • Laissez Environnement de service d’intégration vide.
  • Sélectionnez Suivant : Connexions> pour accéder à l’onglet Connexions de la page Créer un playbook.
  • Choisissez comment s’authentifier dans les composants du playbook. L’authentification est obligatoire pour :
    • Microsoft Entra ID
    • Microsoft Sentinel
    • Office 365 Outlook

    Notes

    Vous pouvez authentifier les ressources durant la personnalisation du playbook sous la ressource d’application logique, si vous souhaitez les activer plus tard. Pour authentifier les ressources ci-dessus à ce stade, vous avez besoin d’autorisations pour mettre à jour un utilisateur sur Microsoft Entra ID, et l’utilisateur doit avoir accès à une boîte aux lettres de messagerie et doit être en mesure d’envoyer des e-mails.

  • Sélectionnez Suivant : Passer en revue et créer > pour accéder à l’onglet Vérifier et créer de Créer un playbook.
  • Sélectionnez Créer et continuer à concevoir pour créer le playbook et accéder à la page concepteur d’applications logiques.

Pour plus d’informations sur la création d’applications logiques, consultez Qu’est-ce qu’Azure Logic Apps et Démarrage rapide : Créer et gérer des définitions de workflow d’applications logiques.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Rudnei Oliveira | Ingénieur principal en sécurité Azure

Autres contributeurs :

• Andrew Nathan | Responsable senior de l’ingénierie client
• Lavanya Kasturi | Rédacteur technique

Étapes suivantes

• Vue d’ensemble d’Azure Cloud Services
• Présentation de Microsoft Sentinel
• Orchestration de la sécurité, automatisation et réponse (SOAR) dans Microsoft Sentinel.
• Automatisation de la réponse aux menaces avec des playbooks dans Microsoft Sentinel
• Qu’est-ce que Microsoft Entra ID ?
• Qu’est-ce qu’Identity Protection ?
• Simuler la détection des risques dans Identity Protection
• Qu’est-ce qu’Azure Logic Apps ?
• Tutoriel : Créer des workflows automatisés basés sur l’approbation à l’aide d’Azure Logic Apps
• Présentation de Microsoft Sentinel

Ressources associées

• Indicateurs de menace pour le renseignement sur les cybermenaces dans Microsoft Sentinel
• Supervision de la sécurité hybride avec Microsoft Defender pour le cloud et Microsoft Sentinel
• Conception d’architecture de sécurité