Partager via


Automatisation de la réponse aux menaces avec des règles dans Microsoft Sentinel

Les analystes SOC traitent de nombreuses alertes et incidents de sécurité, et le volume de sécurité peut submerger les équipes, ce qui entraîne des alertes ignorées et des incidents non investigués. De nombreuses alertes et incidents peuvent être traités par les mêmes ensembles d’actions de correction prédéfinies, qui peuvent être automatisées pour rendre le SOC plus efficace et libérer des analystes pour des enquêtes plus approfondies.

Utilisez des playbooks Microsoft Sentinel pour exécuter des ensembles préconfigurés d’actions de correction pour faciliter l’automatisation et l’orchestration de votre réponse aux menaces. Exécutez automatiquement des playbooks en réponse à des alertes et incidents spécifiques qui déclenchent une règle d’automatisation configurée, ou manuellement et à la demande pour une entité ou une alerte particulière.

Par exemple, si un compte et une machine sont compromis, un playbook peut isoler automatiquement la machine du réseau et bloquer le compte avant que l’équipe SOC soit informée de l’incident.

Remarque

Étant donné que les règles utilisent des Azure Logic Apps, des frais supplémentaires peuvent s’appliquer. Consultez la page sur la tarification d’Azure Logic Apps pour en savoir plus.

Important

Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Le tableau suivant répertorie les cas d’usage généraux dans lesquels nous vous recommandons d’utiliser des playbooks Microsoft Sentinel pour automatiser votre réponse aux menaces :

Cas d’usage Description
Enrichissement Collectez des données et attachez-les à l’incident pour permettre à votre équipe de prendre des décisions plus intelligentes.
Synchronisation bidirectionnelle Synchronisez les incidents Microsoft Sentinel avec d’autres systèmes de tickets. Par exemple, créez une règle d’automatisation pour tous les cas de création d’incident, et joignez un playbook qui ouvre un ticket dans ServiceNow.
Orchestration Utilisez la plateforme de conversation de l’équipe SOC pour mieux contrôler la file d’attente d’incidents. Par exemple, envoyez un message à votre canal d’opérations de sécurité dans Microsoft Teams ou Slack pour vous assurer que vos analystes de sécurité sont conscients de l’incident.
Response Répondez immédiatement aux menaces, avec des dépendances humaines minimales, par exemple lorsqu’un utilisateur ou une machine compromis est indiqué. Vous pouvez également déclencher manuellement une série d’étapes automatisées pendant une investigation ou lors de la chasse.

Pour plus d’informations, consultez Cas d’utilisation, modèles et exemples de playbook recommandés.

Prérequis

Les rôles suivants sont nécessaires pour utiliser Azure Logic Apps en vue de créer et d’exécuter des playbooks dans Microsoft Sentinel.

Rôle Description
Propriétaire Vous permet d’accorder l’accès aux playbooks dans le groupe de ressources.
Contributeur Microsoft Sentinel Vous permet de joindre un playbook à une règle d’analyse ou d’automatisation.
Répondeur Microsoft Sentinel Vous permet d’accéder à un incident afin d’exécuter un playbook manuellement, mais ne vous permet pas d’exécuter le playbook.
Opérateur de playbook Microsoft Sentinel Vous permet d’exécuter un playbook manuellement.
Contributeur Microsoft Sentinel Automation Permet aux règles d’automatisation d’exécuter des playbooks. Ce rôle n’est pas utilisé à d’autres fins.

Le tableau suivant décrit les rôles requis selon que vous sélectionnez une application logique Consommation ou Standard pour créer votre playbook :

Application logique Rôles Azure Description
Consommation Contributeur d’application logique Modifier et gérer les applications logiques. Exécuter des playbooks. Ne vous permet pas d’accorder l’accès à des playbooks.
Consommation Opérateur d’application logique Lire, activer et désactiver les applications logiques. Ne vous permet pas de modifier ni de mettre à jour des applications logiques.
Standard Opérateur Logic Apps Standard Activer, soumettre à nouveau et désactiver les flux de travail dans une application logique.
Standard Développeur Logic Apps Standard Créer et modifier des applications logiques.
Standard Contributeur Logic Apps Standard Gérer tous les aspects d’une application logique.

L’onglet Playbooks actifs de la page Automatisation affiche tous les playbooks actifs disponibles pour les abonnements sélectionnés. Par défaut, vous ne pouvez utiliser un playbook que dans l’abonnement auquel il appartient, sauf si vous accordez spécifiquement à Microsoft Sentinel des autorisations sur le groupe de ressources du playbook.

Autorisations supplémentaires requises pour que Microsoft Sentinel puisse exécuter des playbooks

Microsoft Sentinel utilise un compte de service pour exécuter des playbooks sur des incidents, renforcer la sécurité et activer l’API de règles d’automatisation afin de prendre en charge les cas CI/CD. Ce compte de service est utilisé pour les playbooks déclenchés par un incident ou lorsque vous exécutez manuellement un playbook sur un incident spécifique.

En plus de vos propres rôles et autorisations, ce compte de service Microsoft Sentinel doit avoir son propre ensemble d’autorisations sur le groupe de ressources où réside le playbook, sous la forme du rôle Contributeur Automatisation Microsoft Sentinel. Une fois titulaire de ce rôle, Microsoft Sentinel peut exécuter n’importe quel playbook dans le groupe de ressources approprié, manuellement ou à partir d’une règle d’automatisation.

Pour accorder à Microsoft Sentinel les autorisations requises, vous devez disposer d’un rôle Propriétaire ou Administrateur de l’accès utilisateur. Pour exécuter les playbooks, vous avez également besoin du rôle Contributeur d’application logique sur le groupe de ressources contenant les playbooks que vous souhaitez exécuter.

Modèles de playbook (préversion)

Important

Les modèles de playbook sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Les modèles de playbooks sont des flux de travail prédéfinis, testés et prêts à l’emploi qui ne sont pas utilisables en tant que playbooks eux-mêmes, mais qui sont prêts à être personnalisés pour répondre à vos besoins. Nous vous recommandons également d’utiliser les modèles de playbook comme référence pour les meilleures pratiques lors du développement de playbooks à partir de zéro, ou comme source d’inspiration pour de nouveaux scénarios d’automatisation.

Accédez aux modèles de playbook à partir des sources suivantes :

Emplacement Description
Page d’automatisation de Microsoft Sentinel L’onglet Modèles de playbook répertorie tous les playbooks installés. Créez un ou plusieurs playbooks actifs à l’aide du même modèle.

Quand une nouvelle version du modèle est publiée, les playbooks actifs créés à partir de ce modèle apparaissent dans l’onglet Playbooks actifs avec une étiquette supplémentaire indiquant qu’une mise à jour est disponible.
Page du hub de contenu Microsoft Sentinel Les modèles de playbooks sont disponibles dans le cadre de solutions de produits ou de contenu autonome que vous installez à partir du hub de contenu.

Pour plus d'informations, consultez les pages suivantes :
À propos du contenu et des solutions Microsoft Sentinel
Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi
GitHub Le référentiel GitHub Microsoft Sentinel contient de nombreux autres modèles de playbook. Sélectionnez Déployer sur Azure pour déployer un modèle sur votre abonnement Azure.

Techniquement, un modèle de playbook est un modèle Azure Resource Manager (ARM) composé de plusieurs ressources : un flux de travail Azure Logic Apps et des connexions d’API pour chaque connexion impliquée.

Pour plus d’informations, consultez l’article suivant :

Flux de travail de création et d’utilisation de playbooks

Utilisez le flux de travail suivant pour créer et exécuter des playbooks Microsoft Sentinel :

  1. Définissez votre scénario d’automatisation. Nous vous recommandons de consulter les cas d’usage recommandés des playbooks et les modèles de playbook pour commencer.

  2. Si vous n’utilisez pas de modèle, créez votre playbook et générez votre application logique. Pour plus d’informations, consultez Créer et gérer des playbooks Microsoft Sentinel.

    Testez votre application logique en l’exécutant manuellement. Pour plus d’informations, consultez Exécuter un playbook manuellement ou à la demande.

  3. Configurez votre playbook pour qu’il s’exécute automatiquement sur une nouvelle création d’alerte ou d’incident, ou exécutez-le manuellement en fonction des besoins de vos processus. Pour plus d’informations, consultez Répondre aux menaces avec les playbooks Microsoft Sentinel.