Comprendre les incidents

Effectué

Les menaces liées à la technologie pour une organisation sont appelées incidents. La gestion des incidents correspond au processus complet d’investigation des incidents, qui va de la création des incidents jusqu’à leur résolution, en passant par leur investigation approfondie. Microsoft Sentinel peut aider votre équipe informatique à organiser, investiguer et suivre les incidents, de leur création à leur résolution.

Vous pouvez utiliser Microsoft Sentinel pour consulter des informations détaillées sur les incidents, désigner un propriétaire d’incident, définir et gérer la gravité des incidents, et gérer l’état des incidents. Microsoft Sentinel propose un environnement de gestion des incidents complet pour gérer ces étapes.

Concepts clés

Il est important de comprendre les concepts clés suivants de gestion des incidents dans Microsoft Sentinel :

• Connecteurs de données. Vous pouvez utiliser des connecteurs de données Microsoft Sentinel pour ingérer et collecter des données auprès de services liés à la sécurité. Les connecteurs de données peuvent collecter des événements auprès d’ordinateurs Linux ou Windows exécutant l’agent Log Analytics, à partir d’un serveur syslog Linux pour les appareils comme des pare-feu ou proxys ou directement auprès de services Microsoft Azure. Ces événements sont transférés à un espace de travail Log Analytics associé à Microsoft Sentinel.
• Événements. Microsoft Sentinel stocke les événements dans un espace de travail Log Analytics. Ces événements contiennent les détails de l’activité liée à la sécurité que Microsoft Sentinel doit superviser.
• Règles analytiques. Les règles analytiques détectent les événements de sécurité importants et génèrent des alertes. Vous pouvez des règles analytiques à l’aide des modèles intégrés ou à l’aide de requêtes KQL (Kusto Query Language) personnalisées que vous exécutez sur des espaces de travail Log Analytics dans Microsoft Sentinel.
• Alertes. Les règles analytiques génèrent des alertes quand elles détectent des événements de sécurité importants. Vous pouvez configurer des alertes pour générer des incidents.
• Incidents. Microsoft Sentinel crée des incidents à partir des alertes de règle analytique. Les incidents peuvent contenir plusieurs alertes associées. Vous utilisez chaque incident comme point de départ et mécanisme de suivi pour investiguer les problèmes de sécurité dans votre environnement.

Page Vue d’ensemble de Microsoft Sentinel

La gestion des incidents dans Microsoft Sentinel commence dans la page Vue d’ensemble, où vous pouvez passer en revue l’environnement Microsoft Sentinel actuel. La page Vue d’ensemble montre la liste des incidents les plus récents ainsi que d’autres informations Microsoft Sentinel importantes. Vous pouvez utiliser cette page pour comprendre la situation générale de la sécurité avant d’investiguer les incidents.

Vérifiez vos connaissances

1.

Quel est le composant de Microsoft Sentinel qui génère des alertes ?

Incidents.

Règles analytiques.

Connecteurs de données.

Événements :

2.

Quel est le principal objectif de la gestion des incidents dans Microsoft Sentinel ?

Comprendre l’état de l’intégrité de la sécurité dans Azure.

Suivre et gérer tous les problèmes Azure.

Suivre et résoudre les problèmes de sécurité dans tout l’environnement de votre organisation.

Gérer les rôles de sécurité dans votre environnement.

Vous devez répondre à toutes les questions avant de vérifier votre travail.