Introduction
Le contenu Microsoft Sentinel est du contenu SIEM (Informations de sécurité et gestion d’événements) qui permet aux clients d’effectuer des opérations d’ingestion de données, de surveillance, de génération d’alertes, de chasse, d’investigation, de réponse et de connexion avec différents produits, plateformes et services dans Microsoft Sentinel.
Le contenu dans Microsoft Sentinel comprend les types suivants :
- Les connecteurs de données permettent l’ingestion de journaux provenant de différentes sources dans Microsoft Sentinel.
- Les analyseurs assurent la mise en forme ou la transformation des journaux dans les formats ASIM, en prenant en charge l’utilisation dans différents scénarios et types de contenu Microsoft Sentinel.
- Les classeurs assurent la supervision des données, leur visualisation et l’interactivité avec celles-ci dans Microsoft Sentinel, en mettant en évidence les insights pertinents pour les utilisateurs.
- Les règles d’analytique fournissent des alertes qui renvoient aux actions pertinentes du SOC via les incidents
- Les requêtes de chasse sont utilisées par les équipes SOC pour repérer de manière proactive les menaces dans Microsoft Sentinel.
- Les notebooks aident les équipes SOC à utiliser des fonctionnalités de chasse avancées dans Jupyter et Azure Notebooks.
- Les watchlists prennent en charge l’ingestion de données spécifiques en vue d’améliorer la détection des menaces et de réduire la fatigue des alertes.
- Les playbooks et les connecteurs personnalisés Azure Logic Apps fournissent des fonctionnalités pour les investigations automatisées, les corrections et les scénarios de réponse dans Microsoft Sentinel.
Pour tenir à jour le contenu dans microsoft Sentinel, utilisez :
- Hub de contenu : Les solutions Microsoft Sentinel sont des packages de contenu Microsoft Sentinel ou des intégrations de l’API Microsoft Sentinel qui prennent en charge un scénario de bout en bout de produits, de domaines ou de secteurs dans Microsoft Sentinel.
- Référentiels : Les référentiels Microsoft Sentinel vous aident à automatiser le déploiement et la gestion de votre contenu Microsoft Sentinel via des référentiels centraux.
- Communauté : Intégrez le contenu de la communauté à la demande pour activer vos scénarios. Le dépôt GitHub à https://github.com/Azure/Azure-Sentinel propose du contenu de Microsoft et de la communauté qui est testé et mis à votre disposition en vue d’une implémentation dans votre espace de travail Sentinel.
Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous devez installer des connecteurs et des règles analytiques à partir d’un fournisseur. Vous avez également créé une bibliothèque de requêtes de chasse qui doit être tenue à jour dans plusieurs environnements.
À la fin de ce module, vous serez en mesure de gérer du contenu dans Microsoft Sentinel.
À l’issue de ce module, vous pourrez :
- Installer une solution de hub de contenu dans Microsoft Sentinel
- Connecter un dépôt GitHub à Microsoft Sentinel