Décrire les fonctionnalités de détection et d’atténuation des menaces dans Microsoft Sentinel

  • 7 minutes

La gestion efficace du périmètre de sécurité du réseau d’une organisation requiert la bonne combinaison d’outils et de systèmes. Microsoft Sentinel est une solution SIEM/SOAR native cloud, scalable, qui fournit une analytique de sécurité intelligente et une plateforme de renseignement sur les menaces pour toute l’entreprise. Il s’agit d’une solution unique de détection, d’enquête, de réponse et de repérage proactif des cybermenaces, avec une vue aérienne sur toute votre entreprise.

Diagramme illustrant les quatre aspects de Microsoft Sentinel : collecte, détection, investigation et réponse.

Ce diagramme illustre la fonctionnalité de bout en bout de Microsoft Sentinel.

  • Collectez des données à l’échelle du cloud sur l’ensemble des utilisateurs, appareils, applications et infrastructures, tant locaux que dans de multiples clouds.
  • Détectez les menaces non détectées précédemment et réduisez les faux positifs en vous appuyant sur l’analytique et les systèmes de renseignement incomparables sur les menaces.
  • Investiguez les menaces avec l’intelligence artificielle (IA) et chassez les activités suspectes à grande échelle grâce au travail que fait Microsoft sur la cybersécurité depuis des décennies.
  • Répondez aux incidents rapidement avec une orchestration et une automatisation intégrées des tâches de sécurité courantes.

Microsoft Sentinel permet d’effectuer des opérations de sécurité de bout en bout dans un centre des opérations de sécurité moderne (SOC).

Collecter des données à grande échelle

Collecter des données sur tous les utilisateurs, appareils, applications et infrastructure, localement et dans plusieurs clouds. Les éléments suivants sont des fonctionnalités clés dans Microsoft Sentinel pour la collecte de données.

  • Connecteurs de données prêt à l’emploi : plusieurs connecteurs font partie d’un package avec des solutions SIEM pour Microsoft Sentinel et fournisseurs une intégration en temps réel. Ces connecteurs incluent des sources Microsoft et des sources Azure telles que Microsoft Entra ID, Azure Activity, Azure Storage, etc.

    Les connecteurs prêtes à l’emploi sont également disponibles pour les écosystèmes de sécurité et d’applications plus larges pour les solutions non-Microsoft. Vous pouvez également utiliser le format d’événement commun, Syslog ou une API REST pour connecter vos sources de données avec Microsoft Azure Sentinel.

  • Connecteurs personnalisés : Microsoft Sentinel prend en charge l’ingestion de données à partir de sources sans connecteur dédié. Si vous ne pouvez pas connecter votre source de données à Microsoft Sentinel en utilisant une solution existante, vous pouvez créer votre propre connecteur de source de données.

  • Normalisation des données : Microsoft Sentinel ingère des données à partir de plusieurs sources. L’utilisation et la mise en corrélation entre différents types de données pendant une enquête et un repérage peuvent être problématiques. Microsoft Sentinel prend ne charge ASIM (Advanced Security Information Model), qui se trouve entre ces différentes sources et l’utilisateur, pour faciliter les affichages uniformes et normalisés.

Détecter les menaces

Détectez les menaces non détectées précédemment et réduisez les faux positifs en vous appuyant sur l’analytique et les systèmes de renseignement incomparables sur les menaces fournis par Microsoft. Les éléments suivants sont des fonctionnalités clés dans Microsoft Sentinel pour la détection des menaces.

  • Analyses : Microsoft Sentinel utilise les analyses pour regrouper les alertes avec les incidents. Utilisez les règles analytiques prêtes à l’emploi, ou comme point de départ pour créer vos propres règles. Microsoft Sentinel fournit également des règles pour mapper votre comportement réseau, puis rechercher des anomalies sur vos ressources.

  • Couverture MITRE ATT&CK : Microsoft Sentinel analyse les données ingérées, non seulement pour détecter les menaces et vous aider à enquêter, mais aussi pour visualiser la nature et la couverture de l’état de sécurité de votre organisation en fonction des tactiques et techniques de l’infrastructure MITRE ATT&CK, une base de données globale des techniques et tactiques des personnes mal intentionnées.

  • Veille des menaces : vous pouvez intégrer de nombreuses sources de veille des menaces dans Microsoft Sentinel pour détecter une activité malveillante dans votre environnement et fournir un contexte aux enquêteurs de la sécurité afin qu’ils prennent des décisions de réponse éclairées.

  • Watchlists : vous pouvez mettre en corrélation des données à partir d’une source de données que vous fournissez, d’une watchlist, avec les événements dans votre environnement Microsoft Sentinel. Par exemple, vous pouvez créer une watchlist avec une liste des ressources de grande valeur, des employés licenciés ou des comptes de service dans votre environnement. Utilisez les watchlists dans votre recherche, vos règles de détection, votre chasse des menaces et vos playbooks de réponse.

  • Classeurs : vous pouvez créer des rapports visuels interactifs en utilisant des classeurs. Une fois que vous avez connecté les sources de données à Microsoft Sentinel, vous pouvez effectuer un monitoring des données en utilisant l’intégration de Microsoft Sentinel aux classeurs Azure Monitor. Microsoft Sentinel est fourni avec des modèles de classeurs intégrés qui vous permettent d’obtenir rapidement des insights sur vos données. Vous pouvez également créer vos propres classeurs personnalisés.

Examiner les menaces

Investiguez les menaces à l’aide de l’intelligence artificielle et recherchez les activités suspectes à grande échelle en profitant des années de travail que Microsoft a consacrées à la cybersécurité. Les éléments suivants sont des fonctionnalités clés dans Microsoft Sentinel pour les enquêtes sur des menaces.

  • Incidents : les incidents sont vos fichiers de cas contenant une agrégation de toutes les preuves pertinentes pour des enquêtes spécifiques. Chaque incident est créé (ou ajouté à) en fonction d’éléments de preuve (alertes) qui ont été générés par des règles d’analytique ou importés à partir de produits de sécurité tiers qui produisent leurs propres alertes. La page des détails d’un incident fournit des informations et des outils d’enquête approfondie pour vous aider à comprendre l’étendue et à trouver la cause racine d’une menace de sécurité potentielle.

  • Repérages : les outils de repérage de type « Rechercher et interroger » de Microsoft Sentinel, basés sur l’infrastructure MITRE, vous permettent de repérer de façon proactive les menaces de sécurité dans l’ensemble des sources de données de votre organisation avant même qu’une alerte ne soit déclenchée. Une fois que vous avez découvert quelle requête de recherche fournit des informations d’importance sur les attaques possibles, vous pouvez également créer des règles de détection personnalisées basées sur cette requête et communiquer ces informations sous forme d’alertes au personnel en charge de la gestion des incidents de sécurité.

  • Notebooks : Microsoft Sentinel prend en charge les notebooks Jupyter dans les espaces de travail Azure Machine Learning. Les notebooks Jupyter sont une application web open source qui permet aux utilisateurs de créer et de partager des documents contenant du code en direct, des équations, des visualisations et du texte narratif.

    Utilisez des notebooks dans Microsoft Sentinel pour élargir l’étendue de ce que vous pouvez faire avec les données Microsoft Sentinel. Par exemple :

    • Effectuer des analyses qui ne sont pas intégrées dans Microsoft Sentinel, telles que certaines fonctionnalités d’apprentissage automatique Python.
    • Créer des visualisations de données qui ne sont pas intégrées dans Microsoft Sentinel, telles que des chronologies et des arborescences de processus personnalisées.
    • Intégrer des sources de données qui ne proviennent pas de Microsoft Sentinel, telles qu’un jeu de données local

Répondre rapidement aux incidents

Grâce à Microsoft Sentinel, vous pouvez automatiser vos tâches courantes et simplifier l’orchestration de la sécurité avec des playbooks qui s’intègrent aux services Azure et à vos outils existants pour répondre plus rapidement à des incidents.

Les éléments suivants sont des fonctionnalités clés dans Microsoft Sentinel pour la réponse aux menaces.

  • Règles d’automatisation : gérez de façon centralisée l’automatisation du traitement des incidents dans Microsoft Sentinel en définissant et en coordonnant un petit ensemble de règles qui abordent différents scénarios.

  • Playbooks : automatisez et orchestrez vos réponses aux menaces en utilisant des playbooks qui constituent une collection d’actions de correction. Exécutez un playbook à la demande ou automatiquement en réponse à des alertes ou des incidents spécifiques, lorsqu'ils sont déclenchés par une règle d'automatisation.

    Les playbooks de Microsoft Sentinel sont basés sur des flux de travail créés dans Azure Logic Apps. Par exemple, si vous utilisez le système de tickets ServiceNow, utilisez Azure Logic Apps pour automatiser vos flux de travail et ouvrir un ticket dans ServiceNow chaque fois qu’une alerte ou un incident particuliers sont générés.

Activer le contenu de sécurité prête à l’emploi

Le contenu de Microsoft Sentinel fait référence aux composants de la solution Gestion des informations et des événements de sécurité (SIEM) qui permettent aux clients d’ingérer des données, de monitorer, d’alerter, de repérer, d’enquêter, de répondre et de se connecter à divers produits, plateformes et services. Le contenu dans Microsoft Sentinel peut inclure des types de contenu, tels que les connecteurs de données, classeurs, règles d’analyse, requêtes de repérage, notebooks, watchlists et playbooks.

Microsoft Sentinel propose ces types de contenu sous forme de solutions et d’éléments autonomes. Les solutions sont des packages de contenu Microsoft Sentinel ou des intégrations de l’API Microsoft Sentinel qui prennent en charge un scénario vertical de bout en bout de produits, de domaines ou de secteurs d’activité dans Microsoft Sentinel. Les solutions et les éléments autonomes sont détectables et gérés à partir du Hub de contenu.

Le hub de contenu Microsoft Sentinel est votre emplacement centralisé pour découvrir et gérer des solutions en package prêtes à l’emploi (intégrées). Les solutions Microsoft Sentinel sont des packages de contenu Microsoft Sentinel ou des intégrations d’API Microsoft Sentinel qui fournissent un déploiement et une activation en une seule étape. Les outils de hub de contenu, qui remplissent un scénario de produit, de domaine ou vertical de secteur de bout en bout dans Microsoft Sentinel. Un exemple de domaine spécifique et intégré est la Gestion des risques internes Microsoft Purview qui inclut un connecteur de données, un classeur, des règles d’analyse, des requêtes de repérage et un playbook.

Capture d’écran du hub de contenu de Microsoft Sentinel.

Microsoft Sentinel sur le portail Microsoft Defender

Microsoft Sentinel est un service de sécurité activé via le Portail Azure. Une fois le service Microsoft Sentinel activé, vous pouvez y accéder via le Portail Azure ou à partir de la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail de Microsoft Defender.

La plateforme d’opérations de sécurité unifiée Microsoft dans le portail de Microsoft Defender regroupe les fonctionnalités complètes de Microsoft Sentinel, Microsoft Defender XDR et de Microsoft Copilot dans Microsoft Defender.

Lorsque vous intégrez Microsoft Sentinel au portail Defender, vous unifiez les fonctionnalités à Microsoft Defender XDR telles que la gestion des incidents et le repérage avancé. Réduisez le basculement entre outils et créez une réponse plus ciblée sur le contexte qui accélère les réponses aux incidents et arrête les violations plus rapidement.

Des informations détaillées sur l’expérience Microsoft Sentinel dans le portail de Microsoft Defender et la façon d’intégrer sont disponibles dans la section des ressources et du résumé de ce module.