Implémenter Azure Sentinel

Effectué

En plus d’évaluer et de résoudre les problèmes liés à la configuration de la sécurité de son environnement hybride, Contoso doit surveiller les nouveaux problèmes et menaces, et y réagir de manière appropriée. Azure Sentinel est une solution à la fois SIEM et SOAR, conçue pour les environnements hybrides.

Notes

Les solutions SIEM assurent le stockage et l’analyse des journaux, des événements et des alertes générés par d’autres systèmes, et vous pouvez configurer ces solutions pour qu’elles génèrent leurs propres alertes. Les solutions SOAR prennent en charge la correction des vulnérabilités et l’automatisation générale des processus de sécurité.

Qu’est-ce que Sentinel ?

Sentinel répond aux besoins des solutions SIEM et SOAR via les éléments suivants :

• Collecte des données auprès de l’ensemble des utilisateurs, des appareils, des applications et de l’infrastructure, localement et dans le cloud.
• Utilisation de l’IA pour identifier les activités suspectes.
• Détection des menaces avec moins de faux positifs.
• Réponse rapide et automatique aux incidents.

Prérequis pour Sentinel

Pour activer Sentinel, vous avez besoin des éléments suivants :

• Un espace de travail Log Analytics.

  Conseil

  Sentinel ne peut pas utiliser le même espace de travail Log Analytics que Microsoft Defender for Cloud.

• Des autorisations de collaborateur ou plus au sein de l’abonnement et du groupe de travail pour votre espace de travail Sentinel.

• Des autorisations appropriées sur toutes les ressources que vous connectez à Sentinel.

Connexions de données

Sentinel peut se connecter en mode natif à Microsoft Defender for Cloud et fournir ainsi une couverture pour vos serveurs cloud et locaux. En outre, la prise en charge de la connexion de données Sentinel comprend :

• Des connexions natives de service à service. Sentinel s’intègre en mode natif avec les services Azure et non Azure suivants :
  • Journaux d’activité Azure
  • Journaux d'audit Microsoft Entra
  • Protection de l'identifiant Microsoft Entra
  • Azure Advanced Threat Protection (Azure ATP)
  • AWS CloudTrail
  • Microsoft Cloud App Security
  • Serveurs DNS
  • Microsoft 365
  • Defender ATP
  • Pare-feu d'application web Microsoft
  • Pare-feu Windows Defender
  • Événements de sécurité Windows
• Des connexions à des solutions externes via des API. Sentinel peut se connecter aux sources de données via des API pour les solutions suivantes :
  • Barracuda
  • Barracuda CloudGen Firewall
  • Citrix Analytics for Security
  • F5 BIG-IP
  • Forcepoint DLP
  • squadra technologies secRMM
  • Symantec ICDx
  • Zimperium
• Des connexions à des solutions externes via un agent. Sentinel peut se connecter via un agent à des sources de données qui prennent en charge le protocole Syslog. L’agent Sentinel peut être installé directement sur des appareils ou sur un serveur Linux qui peut recevoir des événements d’autres appareils. La prise en charge de la connexion par le biais d’un agent comprend les appareils et solutions suivants :
  • Pare-feux, proxys Internet et points de terminaison
  • Solutions de protection contre la perte de données (DLP)
  • Ordinateurs DNS
  • Serveurs Linux
  • Autres fournisseurs de cloud

Autorisations

L’accès dans Sentinel est géré via des rôles de contrôle d’accès en fonction du rôle (RBAC). Ces rôles vous donnent la possibilité de gérer ce que les utilisateurs peuvent voir et faire dans Sentinel :

• Rôles globaux. Les rôles globaux Azure intégrés (propriétaire, contributeur et lecteur) accordent l’accès à toutes les ressources Azure, y compris Sentinel et Log Analytics.
• Rôles spécifiques à Sentinel. Les rôles intégrés spécifiques à Sentinel sont les suivants :
  • Lecteur Azure Sentinel. Ce rôle peut obtenir des données, des incidents, des tableaux de bord et des informations sur les ressources Sentinel.
  • Répondeur Azure Sentinel. Ce rôle dispose de toutes les fonctionnalités du rôle de lecteur Azure Sentinel et peut également gérer les incidents.
  • Contributeur Azure Sentinel. Outre les fonctionnalités du rôle de répondeur Azure Sentinel, ce rôle peut créer et modifier des tableaux de bord, des règles analytiques et d’autres ressources Sentinel.
• Autres rôles. Les rôles de contributeur Log Analytics et de lecteur Log Analytics sont des rôles intégrés qui sont spécifiques à Log Analytics. Ces rôles accordent des autorisations uniquement à l’espace de travail Log Analytics. Si vous n’avez pas les rôles de contributeur ou de propriétaire global, vous avez besoin du rôle de contributeur d’application logique pour créer et exécuter des playbooks en réponse aux alertes.

Implémenter Azure Sentinel

Pour implémenter Sentinel :

1. Dans le portail Azure, recherchez et sélectionnez Azure Sentinel.
2. Dans le panneau des espaces de travail Azure Sentinel, sélectionnez Connecter l’espace de travail, puis choisissez l’espace de travail approprié.
3. Sélectionnez Ajouter Azure Sentinel. L’espace de travail est modifié pour inclure Sentinel.
4. Dans le panneau Azure Sentinel, dans Actualités et guides, sélectionnez l’onglet Démarrer.
5. Sélectionnez Se connecter pour commencer la collecte de données.
6. Sélectionnez le connecteur approprié. Par exemple, sélectionnez Microsoft Defender for Cloud.
7. Sélectionnez Ouvrir la page du connecteur.
8. Passez en revue les informations sur les conditions préalables et, quand vous êtes prêt, sélectionnez Se connecter.

Qu’est-ce que SIEM ?

Les solutions SIEM stockent et analysent les données de journal qu’elles reçoivent des sources externes. Vous connectez des sources de données à partir d’Azure et de sources externes dans votre organisation, y compris des ressources locales. Azure Sentinel fournit ensuite un tableau de bord par défaut qui vous permet d’analyser et de visualiser ces événements. Le tableau de bord affiche des données sur le nombre d’événements que vous avez reçus, le nombre d’alertes générées à partir de ces données et l’état des incidents créés à partir de ces alertes.

Sentinel utilise des détections intégrées et personnalisées pour vous avertir des menaces de sécurité potentielles, telles que des tentatives d’accès à l’organisation Contoso depuis l’extérieur de l’infrastructure ou l’envoi de données de Contoso à une adresse IP malveillante connue. Il vous permet également de créer des incidents en fonction de ces alertes.

Sentinel vous fournit des workbooks intégrés et personnalisés pour vous aider à analyser des données entrantes. Les workbooks sont des rapports interactifs qui incluent des requêtes de journal, du texte, des métriques et d’autres données. Les règles de création d’incident Microsoft vous permettent de créer des incidents à partir d’alertes générées par d’autres services tels que Microsoft Defender for Cloud.

Pour implémenter les fonctionnalités SIEM dans Sentinel :

• Activez Azure Sentinel.
• Créez une connexion de données.
• Créez une règle personnalisée qui génère une alerte.

Qu’est-ce que SOAR ?

Les solutions SOAR vous permettent de gérer et d’orchestrer l’analyse des données que vous avez collectées sur les menaces de sécurité, de coordonner vos réponses à ces menaces et de créer des réponses automatisées. Les fonctionnalités SOAR d’Azure Sentinel sont étroitement liées à ses fonctionnalités SIEM.

Utilisez les bonnes pratiques suivantes pour implémenter SOAR dans Sentinel :

• Lorsque vous créez des règles d’analyse qui déclenchent des alertes, configurez-les également pour créer des incidents.
• Utilisez ces incidents pour gérer le processus d’investigation et de réponse.
• Regroupez les alertes associées dans un incident.

Investiguer les incidents

Dans Sentinel, vous pouvez examiner le nombre d’incidents ouverts, le nombre d’incidents en cours de traitement et le nombre d’incidents fermés. Vous pouvez même rouvrir des incidents fermés. Vous pouvez afficher les détails d’un incident, par exemple quand il est survenu et son état. Vous pouvez également ajouter des notes à un incident et modifier son état, afin de faciliter la compréhension de sa progression. Les incidents peuvent être attribués à des utilisateurs spécifiques.

Répondre aux alertes avec des playbooks de sécurité

Sentinel vous permet d’utiliser des playbooks de sécurité pour répondre aux alertes. Les playbooks de sécurité sont des collections de procédures basées sur Azure Logic Apps qui s’exécutent en réponse à une alerte. Vous pouvez exécuter ces playbooks de sécurité manuellement à la suite de l’investigation d’un incident ou configurer une alerte pour exécuter automatiquement un playbook.

Documentation supplémentaire

Pour plus d’informations, consultez les documents suivants :

• Autorisations dans Azure Sentinel
• Vue d’ensemble – Qu’est-ce qu’Azure Logic Apps ?
• Démarrage rapide : Intégrer Azure Sentinel
• Tutoriel : Créer des règles d’analytique personnalisées pour détecter des menaces