Formation avancée à Microsoft Sentinel
Cet article vous guide à travers une formation de niveau 400 pour vous aider à vous perfectionner sur Microsoft Sentinel. La formation comprend 21 modules auto-rythmés qui présentent la documentation sur le produit, des billets de blog et d’autres ressources pertinents.
Les modules répertoriés ici sont divisés en cinq parties suivant le cycle de vie d’un Centre des opérations de sécurité (SOC) :
- Module 0 : Autres options d’apprentissage et de support
- Module 1: Bien démarrer avec Microsoft Sentinel
- Module 2 : Comment Microsoft Sentinel est-il utilisé ?
Partie 2 : Architecture et déploiement
- Module 3 : Architecture de l’espace de travail et du locataire
- Module 4 : Collecte de données
- Module 5 : Gestion des journaux
- Module 6 : Enrichissement : Renseignement sur les menaces, listes de surveillance, etc.
- Module 7 : Transformation du journal
- Module 8 : Migration
- Module 9 : Normalisation et modèle ASIM (Advanced SIEM Information Model)
Partie 3 : Création de contenu
- Module 10 : Langage de requête Kusto
- Module 11 : Analyse
- Module 12 : Implémentation de SOAR
- Module 13 : Classeurs, rapports et visualisation
- Module 14 : Notebooks
- Module 15 : Cas d’usage et solutions
- Module 16 : Un jour dans le quotidien, la gestion des incidents et les investigation d’un analyste SOC
- Module 17 : Repérage
- Module 18 : Analyse du comportement des utilisateurs et des entités (UEBA)
- Module 19 : Supervision de l’intégrité de Microsoft Sentinel
- Module 20 : Extension et intégration à l’aide des API Microsoft Sentinel
- Module 21 : Créer votre propre apprentissage automatique
Partie 1 : Vue d’ensemble
Module 0 : Autres options d’apprentissage et de support
Cette formation de compétence de niveau 400 est basée sur la formation Microsoft Sentinel Ninja. Si vous ne souhaitez pas aller aussi loin ou si vous avez un problème spécifique à résoudre, d’autres ressources peuvent être plus adaptées :
- Bien qu’elle soit étendue, la formation de compétence doit suivre un script et ne peut pas s’étendre à chaque thème. Consultez la documentation référencée pour plus d’informations sur chaque article.
- Vous pouvez maintenant passer la nouvelle certification SC-200 Analyste des opérations de sécurité de Microsoft, qui couvre Microsoft Sentinel. Pour une vue plus large et de plus approfondie de la suite de sécurité Microsoft, vous pouvez également envisager de passer l’Examen SC-900 : Principes de base de Microsoft en matière de sécurité, de conformité et d’identité ou l’Examen AZ-500: Technologies de sécurité Microsoft Azure.
- Si vous êtes déjà qualifié sur Microsoft Sentinel, suivez les nouveautés ou rejoignez le programme Microsoft Cloud Security Private Community pour une vue anticipée des prochaines versions.
- Avez-vous une idée de fonctionnalité à partager avec nous ? Faites-nous le savoir sur la page vocale de l’utilisateur Microsoft Sentinel.
- Êtes-vous un client Premier ? Vous souhaiterez peut-être suivre l’atelier de base de Microsoft Sentinel de quatre jours sur site ou en ligne. Pour plus de détails, contactez votre responsable de compte Réussite clients.
- Avez-vous un problème spécifique ? Posez vos questions (ou répondez à des utilisateurs) sur Microsoft Sentinel Tech Community. Vous pouvez également nous envoyer votre question ou votre problème à l’adresse MicrosoftSentinel@microsoft.com.
Module 1: Bien démarrer avec Microsoft Sentinel
Microsoft Sentinel est une solution native Cloud et évolutive de type SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response). Microsoft Sentinel fournit une analytique de sécurité et des renseignements sur les menaces à l’échelle de l’entreprise. Il s’agit d’une solution unique pour la détection des alertes, la visibilité des menaces, la chasse proactive et la réponse aux menaces. Pour plus d’informations, consultez Qu’est-ce que Microsoft Sentinel ?.
Si vous souhaitez obtenir une vue d’ensemble initiale des fonctionnalités techniques de Microsoft Sentinel, la dernière présentation Ignite est un bon point de départ. Vous pouvez également trouver le guide de démarrage rapide de Microsoft Sentinel utile (nécessite une inscription).
Vous trouverez une vue d’ensemble plus détaillée dans ce webinaire Microsoft Sentinel : YouTube, MP4 ou présentation.
Enfin, voulez-vous essayer vous-même ? L’accélérateur Microsoft Sentinel All-In-One (blog, YouTube, MP4, Présentation) vous permet de commencer facilement. Pour savoir comment démarrer, passez en revue la documentation d’intégration ou regardez la vidéo de configuration Microsoft Sentinel d’Insight.
Apprendre d’autres utilisateurs
Des milliers d’organisations et de fournisseurs de services utilisent Microsoft Sentinel. Comme d’habitude avec les produits de sécurité, la plupart des organisations ne les rendent pas publics. Cependant, en voici quelques-uns :
- Recherchez les cas d’utilisation du client public.
- Stuart Gregg, Security Operations Manager chez ASOS, a publié un billet de blog beaucoup plus détaillé sur l’expérience de Microsoft Sentinel dans le domaine de la chasse aux menaces.
Apprendre auprès d’analystes
- Azure Sentinel obtient un placement leader dans Forrester Wave, avec un classement dans les premiers dans la stratégie
- Microsoft nommé visionnaire dans le Magic Quadrant de Gartner 2021 pour SIEM pour Microsoft Sentinel
Module 2 : Comment Microsoft Sentinel est-il utilisé ?
De nombreux utilisateurs utilisent Microsoft Sentinel comme principal SIEM. La plupart des modules de ce cours traitent de ce cas d’usage. Dans ce module, nous présentons quelques façons supplémentaires d’utiliser Microsoft Sentinel.
Dans le cadre de la pile de sécurité Microsoft
Utilisez Microsoft Sentinel, Microsoft Defender pour le cloud, Microsoft Defender XDR ensemble pour protéger vos charges de travail Microsoft, notamment Windows, Azure et Office :
- En savoir plus sur notre solution SIEM+XDR complète combinant Microsoft Sentinel et Microsoft Defender XDR.
- Lisez la boussole de sécurité Azure (désormais les meilleures pratiques de sécurité Microsoft) pour comprendre le blueprint Microsoft pour vos opérations de sécurité.
- Lisez et regardez comment une telle configuration permet de détecter une attaque WebShell et d’y répondre : Blog, Démonstration vidéo.
- Regardez le webinaire Better Together : « Détection des attaques OT et IOT, investigation et réponse. »
Pour superviser vos charges de travail multiclouds
Le cloud est (encore) nouveau et souvent pas surveillé aussi largement que les charges de travail locales. Lisez cette présentation pour découvrir comment Microsoft Sentinel peut vous aider à combler l’écart de supervision cloud entre vos clouds.
Côte à côte avec votre SIEM existant
Pour une période de transition ou une période plus longue, si vous utilisez Microsoft Sentinel pour vos charges de travail cloud, vous pouvez utiliser Microsoft Sentinel en plus de votre SIEM existant. Vous pouvez également utiliser les deux avec un système de ticketing tel que Service Now.
Pour plus d’informations sur la migration d’un autre SIEM vers Microsoft Sentinel, regardez le webinaire de migration : YouTube, MP4, ou présentation.
Il existe trois scénarios courants pour le déploiement côte à côte :
Si vous disposez d’un système de génération de tickets dans votre centre des opérations de sécurité, une bonne pratique consiste à envoyer des alertes ou des incidents des deux systèmes SIEM à un système de génération de tickets tel que Service Now. Par exemple, l’utilisation de la synchronisation bidirectionnelle d’incidents Microsoft Sentinel avec ServiceNow ou l’envoi d’alertes enrichies avec des événements de prise en charge de Microsoft Sentinel vers des SIEM tiers.
Au moins au départ, de nombreux utilisateurs envoient des alertes de Microsoft Sentinel à leur SIEM local. Découvrez comment procéder dans Envoi d’alertes enrichies avec des événements de prise en charge de Microsoft Sentinel vers des SIEM tiers.
Au fil du temps, lorsque Microsoft Sentinel couvre davantage de charges de travail, il est courant d'inverser la tendance et d’envoyer les alertes de votre SIEM local à Microsoft Sentinel. Pour ce faire :
- Pour Splunk, voir Envoyer des données et des événements notables de Splunk vers Microsoft Sentinel.
- Pour QRadar, consultez Envoyer des infractions QRadar à Microsoft Sentinel.
- Pour ArcSight, consultez Transfert CEF (Common Event Format).
Vous pouvez également envoyer les alertes de Microsoft Sentinel à votre système SIEM ou de génération de tickets tiers à l’aide de l’API de sécurité Graph. Cette approche est plus simple, mais elle n’active pas l’envoi d’autres données.
Pour les MSSP
Étant donné qu’il élimine le coût d’installation et qu’il s’agit d’un emplacement agnostique, Microsoft Sentinel est un choix populaire pour fournir SIEM-as-a-service. Vous trouverez la liste des fournisseurs de services de sécurité managés (MSSP) membres de MISA (Microsoft Intelligent Security Association) utilisant Microsoft Sentinel. Beaucoup d’autres MSSP, en particulier régionaux et plus petits, utilisent Microsoft Sentinel, mais ne sont pas membres MISA.
Pour commencer votre parcours en tant que MSSP, lisez les playbooks techniques Microsoft Sentinel pour les fournisseurs de services MSSP. Plus d’informations sur la prise en charge de MSSP sont disponibles dans le module suivant qui couvre l’architecture cloud et la prise en charge multilocataire.
Partie 2 : Architecture et déploiement
Bien que la « Partie 1 : Vue d’ensemble » offre des moyens de commencer à utiliser Microsoft Sentinel en quelques minutes, avant de commencer un déploiement de production, il est important de créer un plan.
Cette section vous guide à travers les domaines à prendre en compte lors de la conception de l’architecture de votre solution, et fournit des directives sur la façon d’implémenter votre conception :
- Architecture de l’espace de travail et du locataire
- Collecte de données
- Gestion du journal
- Acquisition de renseignement sur les menaces
Module 3 : Architecture de l’espace de travail et du locataire
Une instance Microsoft Sentinel est appelée espace de travail. L’espace de travail est identique à un espace de travail Log Analytics et prend en charge toutes les fonctionnalités Log Analytics. Vous pouvez considérer Microsoft Sentinel comme une solution qui ajoute des fonctionnalités SIEM au-dessus d’un espace de travail Log Analytics.
Plusieurs espaces de travail sont souvent nécessaires et peuvent agir ensemble en tant que système Microsoft Sentinel unique. Un cas d’usage spécial fournit un service à l’aide de Microsoft Sentinel, par exemple, par un MSSP (fournisseur de services de sécurité managé) ou par un SOC global dans une grande organisation.
Pour en savoir plus sur l’utilisation de plusieurs espaces de travail en tant que système Microsoft Sentinel, consultez Étendre Microsoft Sentinel dans les espaces de travail et les locataires ou regardez le webinaire : YouTube, MP4, ou présentation.
Lorsque vous utilisez plusieurs espaces de travail, tenez compte des éléments suivants :
- L’utilisation de plusieurs espaces de travail est motivée par la résidence des données. Pour plus d’informations, consultez Résidence des données Microsoft Sentinel.
- Pour déployer Microsoft Sentinel et gérer le contenu efficacement sur plusieurs espaces de travail, vous souhaitez gérer Microsoft Sentinel en tant que code à l’aide de la technologie CI/CD (intégration continue et livraison continue). Une bonne pratique recommandée pour Microsoft Sentinel consiste à activer le déploiement continu. Pour plus d’informations, consultez Activer le déploiement continu en mode natif avec les référentiels Microsoft Sentinel.
- Lors de la gestion de plusieurs espaces de travail en tant que MSSP, vous pouvez protéger la propriété intellectuelle de MSSP dans Microsoft Sentinel.
Le Playbook technique Microsoft Sentinel pour MSSP fournit des instructions détaillées pour la plupart de ces rubriques, et est utile pour les grandes organisations, pas seulement pour les MSSP.
Module 4 : Collecte de données
La base d’un SIEM collecte des données de télémétrie : événements, alertes et informations d’enrichissement contextuelles telles que le renseignement sur les menaces, les données de vulnérabilité et les informations sur les ressources. Voici une liste de sources auxquelles faire référence :
- Lisez Connecteurs de données Microsoft Sentinel.
- Allez à Recherchez votre connecteur de données Microsoft Sentinel pour voir tous les connecteurs de données pris en charge et prêts à l’emploi. Vous trouverez des liens vers des procédures de déploiement génériques et des étapes supplémentaires requises pour des connecteurs spécifiques.
- Scénarios de collecte de données : Découvrez les méthodes de collecte telles que Logstash/CEF/WEF. D’autres scénarios courants sont la restriction des autorisations sur les tables, le filtrage des journaux, la collecte des journaux à partir d’Amazon Web Services (AWS) ou Google Cloud Platform (GCP), les journaux bruts Microsoft 365, et ainsi de suite. Vous trouverez tout cela dans le webinaire « Scénarios de collecte de données » : YouTube, MP4 ou présentation.
La première information que vous verrez pour chaque connecteur est sa méthode d’ingestion des données. La méthode qui s’affiche est un lien vers l’une des procédures de déploiement génériques suivantes, qui contiennent la plupart des informations dont vous avez besoin pour connecter vos sources de données à Microsoft Sentinel :
| Méthode d’ingestion des données | Article associé |
|---|---|
| Intégration de service à service Azure | Connecter aux services Azure, Windows, Microsoft et Amazon |
| Common Event format (CEF) sur Syslog | Transférer les journaux au format CEF de votre appareil ou appliance dans Microsoft Sentinel |
| API du collecteur de données Microsoft Sentinel | Connecter votre source de données à l’API de collecte de données Microsoft Sentinel pour l’ingestion des données |
| Azure Functions et l’API REST | Utiliser Azure Functions pour connecter Microsoft Sentinel à votre source de données |
| syslog | Collecter des données de sources Linux à l’aide de Syslog |
| Journaux d’activité personnalisés | Collecter des données dans des formats de journaux personnalisés vers Microsoft Sentinel avec l’agent Log Analytics |
Si votre source n’est pas disponible, vous pouvez créer un connecteur personnalisé. Les connecteurs personnalisés utilisent l’API d’ingestion et sont donc similaires aux sources directes. Vous implémentez le plus souvent des connecteurs personnalisés à l’aide d’Azure Logic Apps, qui offre une option sans code ou Azure Functions.
Module 5 : Gestion des journaux
La première décision d’architecture à prendre en compte lorsque vous configurez Microsoft Sentinel est le nombre d’espaces de travail et ceux à utiliser. Voici d’autres décisions architecturales de gestion des journaux clés à prendre en compte :
- Où et combien de temps pour conserver les données.
- Comment gérer le mieux l’accès aux données et le sécuriser.
Ingérer, archiver, rechercher et restaurer des données dans Microsoft Sentinel
Pour démarrer, regardez le webinaire : « Gérer votre cycle de vie des journaux avec de nouvelles méthodes d’ingestion, d’archivage, de recherche et de restauration ».
Cette suite de fonctionnalités contient :
- Niveau d’ingestion de base : nouveau niveau tarifaire pour les journaux Azure Monitor qui vous permet d’ingérer des journaux à moindre coût. Ces données sont conservées dans l’espace de travail pendant seulement huit jours.
- Niveau Archive : Azure Monitor Logs a étendu sa capacité de rétention de deux ans à sept ans. Avec ce nouveau niveau, vous pouvez conserver des données jusqu’à sept ans dans un état archivé à faible coût.
- Travaux de recherche : tâches de recherche qui exécutent un KQL limité pour rechercher et retourner tous les journaux pertinents. Ces travaux recherchent des données sur le niveau analytique, le niveau de base et les données archivées.
- Restauration des données : nouvelle fonctionnalité qui vous permet de choisir une table de données et un intervalle de temps afin de pouvoir restaurer des données dans l’espace de travail via une table de restauration.
Pour plus d’informations sur ces nouvelles fonctionnalités, consultez Ingérer, archiver, rechercher et restaurer des données dans Microsoft Sentinel.
Autres options de rétention en dehors de la plateforme Microsoft Sentinel
Si vous souhaitez conserver des données pendant plus de deux ans ou réduire le coût de rétention, vous pouvez envisager d’utiliser Azure Data Explorer pour la conservation à long terme des journaux Microsoft Sentinel. Consultez les diapositives du webinaire, l’enregistrement de webinaires ou le blog.
Vous souhaitez obtenir des informations plus détaillées ? Regardez le webinaire « Amélioration de l’étendue et de la couverture de la chasse aux menaces grâce à la prise en charge d’ADX, à l’augmentation du nombre de types d'entités et à la mise à jour de l’intégration MITRE ».
Si vous préférez une autre solution de rétention à long terme, consultez Effectuer une exportation de l’espace de travail Microsoft Sentinel /Log Analytics vers Stockage Azure et Event Hubs ou Déplacer les journaux vers le Stockage à long terme à l’aide de Logic Apps. L’avantage de l’utilisation de Logic Apps est qu’il peut exporter des données historiques.
Enfin, vous pouvez définir des périodes de rétention précise à l’aide des paramètres de rétention au niveau table. Pour plus d’informations, consultez Configuration des stratégies de conservation des données et d’archivage dans les journaux Azure Monitor (préversion).
Sécurité des journaux
Utilisez le contrôle d’accès en fonction du rôle (RBAC) pour les ressources ou le RBAC au niveau table pour permettre à plusieurs équipes d’utiliser un seul espace de travail.
Si nécessaire, supprimez le contenu client de vos espaces de travail.
Découvrez comment auditer les requêtes d’espace de travail et l’utilisation de Microsoft Sentinel à l’aide de classeurs et de requêtes d’alertes.
Utilisez des liens privés pour vous assurer que les journaux ne quittent jamais votre réseau privé.
Cluster dédié
Utilisez un cluster d’espace de travail dédié si l’ingestion de données projetée est d’environ 500 Go par jour ou supérieure. Un cluster dédié vous permet de sécuriser les ressources de vos données Microsoft Sentinel, ce qui permet d’améliorer les performances des requêtes pour les jeux de données volumineux.
Module 6 : Enrichissement : Renseignement sur les menaces, listes de surveillance, etc.
L’une des fonctions importantes d’un SIEM consiste à appliquer des informations contextuelles au flux d’événement, en permettant la détection, la hiérarchisation des alertes et l’investigation des incidents. Les informations contextuelles incluent, par exemple, le renseignement sur les menaces, l’intelligence IP, les informations sur l’hôte et l’utilisateur et les watchlists.
Microsoft Sentinel fournit des outils complets pour importer, gérer et utiliser des renseignements sur les menaces. Pour d’autres types d’informations contextuelles, Microsoft Sentinel fournit des listes de surveillance et d’autres solutions alternatives.
Informations sur les menaces
Threat Intelligence est un bloc de construction important d’un SIEM. Regardez le webinaire « Explorer la puissance du renseignement sur les menaces dans Microsoft Sentinel ».
Dans Microsoft Sentinel, vous pouvez intégrer le renseignement sur les menaces à l’aide des connecteurs intégrés à partir de serveurs TAXII (Trusted Automated eXchange of Indicator Information) ou via le API de sécurité Microsoft Graph. Pour plus d’informations, consultez Intégration du renseignement sur les menaces dans Microsoft Sentinel. Pour plus d’informations sur l’importation du renseignement sur les menaces, consultez le Module 4 : collecte de données.
Une fois importé, Threat Intelligence est largement utilisé dans Microsoft Sentinel. Les fonctionnalités suivantes se concentrent sur l’utilisation du renseignement sur les menaces :
Affichez et gérez le renseignement sur les menaces importé dans des Journaux dans la nouvelle zone Threat Intelligence de Microsoft Sentinel.
Utilisez les modèles de règle d’analytique Threat Intelligence intégrés pour générer des alertes et des incidents de sécurité à l’aide de votre renseignement sur les menaces importé.
Visualisez les informations essentielles concernant votre renseignement sur les menaces dans Azure Sentinel à l’aide du classeur Threat Intelligence.
Regardez le webinaire « Automatiser vos efforts de triage Microsoft Sentinel avec RiskIQ Threat Intelligence » : YouTube ou présentation.
Peu de temps ? Regardez la session Ignite (28 minutes).
Vous souhaitez obtenir des informations plus détaillées ? Consultez le webinaire « Présentation approfondie du renseignement sur les menaces » : YouTube, MP4 ou présentation.
Watchlists et autres mécanismes de recherche
Pour importer et gérer n’importe quel type d’informations contextuelles, Microsoft Sentinel fournit des watchlists. Les watchlists vous permettent de charger des tables de données au format CSV et de les utiliser dans vos requêtes KQL. Pour plus d’informations, voir Utiliser les watchlists dans Microsoft Sentinel, ou regarder le webinaire « Utilisez des watchlists pour gérer les alertes, réduire la fatigue des alertes et améliorer l'efficacité du SOC » : YouTube ou présentation.
Utilisez les watchlists pour vous aider dans les scénarios suivants :
Investiguer les menaces et répondre aux incidents rapidement : importation rapide d’adresses IP, de hachages de fichiers et d’autres données à partir de fichiers CSV. Après l’importation des données, vous utilisez les paires nom-valeur de la watchlist pour les jointures et les filtres dans les règles d’alerte, la chasse des menaces, les classeurs, les notebook et les requêtes générales.
Importez des données d’entreprise en tant que watchlist : par exemple, importez des listes d’utilisateurs disposant d’un accès système privilégié ou les employés dont le contrat est terminé. Ensuite, utilisez la watchlist pour créer des listes d’autorisation et des listes de refus afin de détecter les utilisateurs qui se connectent au réseau ou les en empêcher.
Réduire la fatigue des alertes : créer des listes d’autorisation pour supprimer les alertes d’un groupe d’utilisateurs, par exemple, les utilisateurs d’adresses IP autorisées qui effectuent des tâches qui déclenchent normalement l’alerte. Empêchez les événements bénins de devenir des alertes.
Enrichir les données d’événement : utilisez les Watchlists pour enrichir vos données d’événement avec des combinaisons nom-valeur dérivées de sources de données externes.
En plus des watchlists, vous pouvez également utiliser l’opérateur de données externes KQL, les journaux personnalisés et les fonctions KQL pour gérer et interroger les informations de contexte. Chacune des quatre méthodes a ses avantages et inconvénients, et vous pouvez en savoir plus sur les comparaisons entre elles dans le billet de blog « Implémentation de recherches dans Microsoft Sentinel ». Bien que chaque méthode soit différente, l’utilisation des informations résultantes dans vos requêtes est similaire et permet un basculement facile entre eux.
Lisez « Utiliser des watchlists pour favoriser l’efficacité pendant les enquêtes Microsoft Sentinel » pour obtenir des idées sur l’utilisation des watchlists en dehors des règles analytiques.
Regardez le webinaire « Utilisez des watchlists pour gérer les alertes, réduire la fatigue des alertes et améliorer l'efficacité du SOC » : YouTube ou présentation.
Module 7 : Transformation du journal
Microsoft Sentinel prend en charge deux nouvelles fonctionnalités pour l’ingestion et la transformation des données. Ces fonctionnalités, fournies par Log Analytics, agissent sur vos données avant même qu’elles soient stockées dans votre espace de travail. Les fonctionnalités sont les suivantes :
API des journaux personnalisés : utilisez-la pour envoyer des journaux de format personnalisé à partir de n’importe quelle source de données vers votre espace de travail Log Analytics et de stocker ces journaux dans certaines tables standard ou dans des tables de format personnalisé créées par vos soins. Vous pouvez effectuer l’ingestion réelle de ces journaux à l’aide d’appels d’API directs. Vous pouvez utiliser des règles de collecte de données Azure Monitor pour définir et configurer ces workflows.
Transformations de données de l'espace de travail pour les journaux standard : cela utilise les règles de collecte de données pour filtrer les données non pertinentes, pour enrichir ou baliser vos données, ou pour masquer des informations sensibles ou personnelles. La transformation de données peut être configurée au moment de l’ingestion pour les types de connecteurs de données intégrés suivants :
- Connecteurs de données basés sur l’agent Azure Monitor (AMA) (basés sur le nouvel agent Azure Monitor)
- Connecteurs de données basés sur l’agent Microsoft Monitoring Agent (MMA) (basés sur l’agent de journaux Azure Monitor hérité)
- Connecteurs de données qui utilisent les paramètres de diagnostic
- Connecteurs de données de service à service
Pour plus d'informations, consultez les pages suivantes :
- Transformer ou personnaliser les données au moment de l’ingestion dans Microsoft Sentinel
- Rechercher votre connecteur de données Microsoft Sentinel
Module 8 : Migration
Dans de nombreux cas (sinon la plupart), vous disposez déjà d’un SIEM et devez migrer vers Microsoft Sentinel. Bien qu’il soit judicieux de recommencer et de repenser votre implémentation SIEM, il est judicieux d’utiliser certaines des ressources que vous avez déjà créées dans votre implémentation actuelle. Regardez le webinaire « Meilleures pratiques pour convertir des règles de détection » (de Splunk, QRadar et ArcSight à Azure Microsoft Sentinel) : YouTube, MP4, Présentation, blog.
Les ressources suivantes peuvent également vous intéresser :
- Splunk Search Processing Language (SPL) vers les mappages KQL
- Exemples de mappage de règles ArcSight et QRadar
Module 9 : Normalisation et modèle ASIM (Advanced SIEM Information Model)
L’utilisation conjointe de différents types de données et de tables peut représenter un défi. Vous devez vous familiariser avec différents types de données et de schémas, pour écrire et utiliser un ensemble unique de règles d’analyse, de classeurs et de requêtes de chasse. La corrélation entre les types de données, nécessaire à l’investigation et la chasse, peut également être difficile.
Le modèle Advanced SIEM Information Model (ASIM) offre une expérience transparente pour le traitement de diverses sources dans des affichages uniformes et normalisés. ASIM s’aligne sur le modèle d’information commun OSSEM (Open-Source Security Events Metadata), en favorisant la normalisation indépendante du fournisseur à l’échelle du secteur. Regardez le webinaire « ASIM (Advanced SIEM Information Model) : désormais intégré à Microsoft Sentinel » : YouTube ou présentation.
L’implémentation actuelle est basée sur la normalisation du temps de requête à l’aide des fonctions KQL :
Les schémas normalisés couvrent les ensembles communs de types d’événements prévisibles, faciles à utiliser et pour créer des fonctionnalités unifiées. Le schéma détermine quels champs doivent représenter un événement, une convention d’affectation de noms de colonne normalisée et un format standard pour les valeurs de champ.
- Regardez le webinaire « Compréhension de la normalisation dans Microsoft Sentinel » : YouTube ou présentation.
- Regardez le webinaire « Présentation approfondie des analyseurs de normalisation de Microsoft Sentinel et du contenu normalisé » : YouTube, MP3, ou présentation.
Analyseurs Mappez les données existantes aux schémas normalisés. Vous implémentez des analyseurs à l’aide de fonctions KQL. Regardez le webinaire « Étendre et gérer ASIM : Développement, test et déploiement d’analyseurs » : YouTube ou présentation.
Le contenu de chaque de schéma normalisé comprend des règles d’analyse, des classeurs, et des requêtes de chasse. Ce contenu fonctionne sur toutes les données normalisées sans qu’il soit nécessaire de créer du contenu propre à la source.
L'utilisation d’ASIM offre les avantages suivants :
Détection inter-sources : les règles analytiques normalisées fonctionnent entre les sources locales et dans le cloud. Les règles détectent les attaques, telles que la force brute, ou les déplacements impossibles à travers les systèmes, notamment Okta, AWS et Azure.
Autorise le contenu indépendant de la source : la couverture du contenu intégré et personnalisé à l’aide d’ASIM s’étend automatiquement à toute source qui prend en charge ASIM, même si la source a été ajoutée après la création du contenu. Par exemple, l’analytique des événements de processus prend en charge toute source qu’un client peut utiliser pour apporter les données, notamment Microsoft Defender for Endpoint, Windows Events et Sysmon. Nous sommes prêts à ajouter Sysmon pour Linux et WEF lors de sa publication.
Prise en charge de vos sources personnalisées dans l’analyse intégrée
Facilité d’utilisation : les analystes qui apprennent ASIM trouvent qu’il est beaucoup plus simple d’écrire des requêtes, car les noms de champs sont toujours les mêmes.
En savoir plus sur ASIM
Tirez parti de ces ressources :
Regardez le webinaire de vue d’ensemble « Compréhension de la normalisation dans Azure Sentinel » : YouTube ou présentation.
Regardez le webinaire « Présentation approfondie des analyseurs de normalisation de Microsoft Sentinel et du contenu normalisé » : YouTube, MP3, ou présentation.
Regardez le webinaire « ASIM turbocharging : S’assurer que la normalisation dynamise les performances au lieu d’avoir une incidence sur elles » : YouTube, MP4, ou présentation.
Lisez la documentation ASIM.
Déployer ASIM
Déployez les analyseurs à partir des dossiers en commençant par « ASIM* » dans le dossier analyseurs sur GitHub.
Activez des règles analytiques qui utilisent ASIM. Recherchez normal dans la galerie de modèles pour trouver certains d’entre eux. Pour obtenir la liste complète, utilisez cette recherche GitHub.
Utiliser ASIM
Utiliser les requêtes de chasse ASIM à partir de GitHub.
Utilisez des requêtes ASIM lors de l’utilisation de KQL dans l’écran de journal.
Écrivez vos propres règles d’analyse à l’aide d’ASIM ou convertissez des règles existantes.
Écrire des analyseurs pour vos sources personnalisées afin de les rendre compatibles avec ASIM et de participer à l’analyse intégrée.
Partie 3 : Création de contenu
Qu’est-ce que le contenu de Microsoft Sentinel ?
La valeur de la sécurité de Microsoft Sentinel est une combinaison de ses fonctionnalités intégrées et de votre capacité à créer des fonctionnalités personnalisées et à personnaliser celles qui sont intégrées. Parmi les fonctionnalités intégrées, il existe des règles d’analyse de comportement utilisateur et d’entité (UEBA), d’apprentissage automatique ou des règles d’analyse prêtes à l’emploi. Les fonctionnalités personnalisées sont souvent appelées « contenu » et incluent des règles analytiques, des requêtes de chasse, des classeurs, des playbooks, etc.
Dans cette section, nous avons regroupé les modules qui vous aident à apprendre à créer ce contenu ou à modifier le contenu intégré à vos besoins. Nous commençons par KQL, Lingua Franca d’Azure Microsoft Sentinel. Les modules suivants traitent de l’un des blocs de construction de contenu tels que les règles, les playbooks et les classeurs. Ils ont conclu en discutant des cas d’usage, qui englobent des éléments de différents types pour répondre à des objectifs de sécurité spécifiques tels que la détection des menaces, la chasse ou la gouvernance.
Module 10 : Langage de requête Kusto
La plupart des fonctionnalités de Microsoft Sentinel utilisent KQL (Kusto Query Language). Lorsque vous effectuez une recherche dans vos journaux, écrivez des règles, créez des requêtes de chasse ou créez des classeurs, vous utilisez le langage de requête Kusto.
La section suivante sur l’écriture de règles explique comment utiliser KQL dans le contexte spécifique des règles SIEM.
Voici le parcours recommandé pour apprendre le KQL Microsoft Sentinel
Cours Pluralsight sur KQL : vous donne les bases
Doit apprendre KQL : une série KQL en 20 parties qui vous guide tout au long des principes fondamentaux de la création de votre première règle d’analyse (inclut une évaluation et un certificat)
Le laboratoire KQL Microsoft Sentinel : laboratoire interactif qui apprend à KQL à mettre l’accent sur ce dont vous avez besoin pour Microsoft Sentinel :
- Module d’apprentissage (SC-200 partie 4)
- Présentation ou URL du labo
- Une version de notebooks Jupyter, qui vous permet de tester les requêtes dans le notebook
- Webinaire d’apprentissage : YouTube ou MP4
- Examen du webinaire sur les solutions de labo : YouTube ou MP4
Webinaire « Optimisation des performances des requêtes KQL Azure Microsoft Sentinel » : YouTube, MP4 ou présentation
« Utilisation d’ASIM dans vos requêtes KQL » : YouTube ou présentation
Webinaire « KQL Framework pour Microsoft Sentinel : Vous permettre de vous familiariser avec KQL » :YouTube ou présentation
Vous pouvez également trouver les références suivantes utiles à mesure que vous apprenez KQL :
Module 11 : Analyse
Écriture de règles d’analytique planifiée
Avec Microsoft Sentinel, vous pouvez utiliser des modèles de règles intégrés, de personnaliser les modèles pour votre environnement ou de créer des règles personnalisées. Une requête KQL se trouve au cœur des règles ; toutefois, il y a beaucoup plus que cela à configurer dans une règle.
Pour découvrir la procédure de création de règles, consultez Créer des règles d’analyse personnalisées pour détecter les menaces. Pour savoir comment écrire des règles (autrement dit, ce qui doit entrer dans une règle, se concentrer sur KQL pour les règles), regardez le webinaire : YouTube, MP4, ou présentation.
Les règles d’analyse SIEM ont des modèles spécifiques. Découvrez comment implémenter des règles et écrire KQL pour ces modèles :
Règles de corrélation : voir Utilisation des listes et de l’opérateur « in » ou Utilisation de l’opérateur « join »
Agrégation : consultez Utilisation des listes et de l’opérateur « in » ou une fenêtres glissantes de gestion de modèle plus avancées
Recherches : régulières ou approximatives, combinées ou partielles
Gestion des faux positifs
Événements retardés : courants dans n’importe quel SIEM et difficiles à résoudre. Microsoft Sentinel peut vous aider à atténuer les retards dans vos règles.
Utilisation de fonctions KQL en tant que blocs de construction : enrichissement d’événements de sécurité Windows avec fonction paramétrable.
Le billet de blog « Blob and File Storage Investigations » fournit un exemple pas à pas d’écriture d’une règle d’analyse utile.
Utilisation de l’analyse intégrée
Avant de commencer à écrire vos propres règles, vous devez tirer parti des fonctionnalités d’analyse intégrées. Elles ne nécessitent pas beaucoup d’efforts de votre part, mais cela vaut la peine d’en savoir plus à leur sujet :
Utilisez les modèles de règle planifiée intégrés. Vous pouvez régler ces modèles en les modifiant de la même façon pour modifier n’importe quelle règle planifiée. Veillez à déployer les modèles pour les connecteurs de données que vous connectez, listés dans l’onglet Étapes suivantes du connecteur de données.
En savoir plus sur les fonctionnalités d’apprentissage automatique de Microsoft Sentinel : YouTube, MP4, ou présentation.
Obtenez la liste des détections d’attaques multi-étapes avancées (« Fusion ») de Microsoft Sentinel, activées par défaut.
Regardez le webinaire « Détections d’apprentissage automatique Fusion avec les règles d’analyse planifiée » : YouTube, MP4 ou présentation.
En savoir plus sur les anomalies intégrées apprentissage automatique-SOC de Microsoft Sentinel.
Consultez le webinaire « Anomalies apprentissage automatique-SOC personnalisées et comment les utiliser » : YouTube, MP4 ou présentation.
Consultez le webinaire « Détections d’apprentissage automatique Fusion pour les menaces émergentes et l’interface utilisateur de configuration » : YouTube ou présentation.
Module 12 : Implémentation de SOAR
Dans les SIEM modernes tels que Microsoft Sentinel, SOAR comprend l’intégralité du processus à partir du moment où un incident est déclenché et jusqu’à sa résolution. Ce processus commence par une enquête sur les incidents et continue avec une réponse automatisée. Le billet de blog « Comment utiliser Microsoft Sentinel pour la réponse aux incidents, l’orchestration et l’automatisation » fournit une vue d’ensemble des cas d’usage courants pour SOAR.
Les règles d’automatisation constituent le point de départ de l’automatisation de Microsoft Sentinel. Elles fournissent une méthode légère pour la gestion automatisée centralisée des incidents, notamment la suppression, la gestion des faux positifs et l’affectation automatique.
Pour fournir des fonctionnalités d’automatisation basées sur des flux de travail robustes, les règles d’automatisation utilisent des playbooks Logic Apps. Pour en savoir plus :
Regardez le webinaire « Libérer l’automatisation des astuces Jedi pour créer des playbooks Logic Apps comme un pro » : YouTube, MP4, ou présentation.
En savoir plus sur Logic Apps, qui est la technologie principale des playbooks Microsoft Sentinel.
Consultez le connecteur Microsoft Sentinel Logic Apps, le lien entre Logic Apps et Microsoft Sentinel.
Vous trouverez des dizaines de playbooks utiles dans le dossier Playbooks sur le site Microsoft Sentinel GitHub ou pouvez lire Un playbook utilisant une watchlist pour informer un propriétaire d’abonnement sur une alerte pour parcourir une procédure pas à pas de playbook.
Module 13 : Classeurs, rapports et visualisation
Workbooks
En tant que centre névralgique de votre centre des opérations de sécurité, vous avez besoin de Microsoft Sentinel pour visualiser les informations qu’il collecte et produit. Utilisez des classeurs pour visualiser les données dans Microsoft Sentinel.
Pour savoir comment créer des classeurs, lisez la documentation Azure Workbooks ou regardez la formation Workbooks de Billy York (et le texte associé).
Les ressources mentionnées ne sont pas spécifiques à Microsoft Sentinel. Elles s’appliquent généralement aux classeurs. Pour en savoir plus sur les classeurs dans Microsoft Sentinel, consultez le webinaire : YouTube, MP4 ou présentation. Lisez la documentation.
Les classeurs peuvent être interactifs et permettre bien plus que de simples graphiques. Avec les classeurs, vous pouvez créer des applications ou des modules d’extension pour Microsoft Sentinel afin de compléter les fonctionnalités intégrées. Vous pouvez également utiliser des classeurs pour étendre les fonctionnalités de Microsoft Sentinel. Voici quelques exemples d’applications :
Le classeur Investigation Insights offre une autre approche pour l’examen des incidents.
La visualisation graphique des collaborations Teams externes permet de repérer une utilisation risquée de Teams.
Le classeur de carte de voyage des utilisateurs vous permet d’examiner les alertes de géolocalisation.
Le classeur de protocoles non sécurisés Microsoft Sentinel (Guide d’implémentation, améliorations récentes et vidéo de présentation) vous permet d’identifier l’utilisation de protocoles non sécurisés dans votre réseau.
Enfin, découvrez comment intégrer des informations à partir de n’importe quelle source à l’aide d’appels d’API dans un classeur.
Vous trouverez des dizaines de classeurs dans le dossier Classeurs de Microsoft Sentinel GitHub. Certains d’entre eux sont également disponibles dans la galerie de classeurs Microsoft Sentinel.
Options de création de rapports et d’autres visualisations
Les classeurs peuvent servir pour la création de rapports. Pour des fonctionnalités de création de rapports plus avancées telles que la planification et la distribution des rapports ou les tableaux croisés dynamiques, vous pouvez utiliser :
Power BI, qui s’intègre en mode natif aux journaux Azure Monitor et à Microsoft Sentinel.
Excel, qui peut utiliser les journaux Azure Monitor et Microsoft Sentinel comme source de données, et afficher la vidéo « Intégrer les journaux Azure Monitor et Excel à Azure Monitor ».
Les notebooks Jupyter, sujet abordé plus loin dans le module de chasse, sont également un excellent outil de visualisation.
Module 14 : Notebooks
Les notebooks Jupyter sont entièrement intégrés à Microsoft Sentinel. Bien qu’ils soient considérés comme un outil important dans la boîte à outils du chasseur et que les webinaires soient abordés dans la section sur la chasse ci-dessous, leur valeur est beaucoup plus large. Les notebooks peuvent servir à des visualisations avancées, à un guide d’investigation et à une automatisation sophistiquée.
Pour mieux les comprendre, regardez la vidéo Introduction aux notebooks. Commencez à utiliser le webinaire Notebooks (YouTube, MP4 ou présentation) ou lisez la documentation. La série Ninja de Microsoft Sentinel Notebooks est une série de formation continue pour vous améliorer dans les notebooks.
Une partie importante de l’intégration est implémentée par MSTICPy, qui est une bibliothèque Python développée par notre équipe de recherche pour être utilisée avec des notebooks Jupyter. Il ajoute des interfaces Microsoft Sentinel et des fonctionnalités de sécurité sophistiquées à vos notebooks.
Module 15 : Cas d’usage et solutions
Les connecteurs, règles, playbooks et classeurs vous permettent d’implémenter des cas d’usage, terme SIEM d’un pack de contenu destiné à détecter une menace et y répondre. Vous pouvez déployer des cas d’usage intégrés Microsoft Sentinel en activant les règles suggérées lors de la connexion de chaque connecteur. Une solution est un groupe de cas d’usage ciblant un domaine de menace spécifique.
Le webinaire « S’attaquer à l’identité » (YouTube, MP4 ou présentation) explique ce qu’est un cas d’usage, comment aborder sa conception et présente plusieurs cas d’usage qui traitent collectivement les menaces d’identité.
Une autre zone de solution pertinente consiste à protéger le travail à distance. Regardez notre session Ignite sur le travail à distance de protection et lisez-en davantage sur les cas d’usage spécifiques :
Cas d’utilisation de chasse Microsoft Teams et Visualisation Graph des collaborations Microsoft Teams externes
Surveillance du zoom avec Microsoft Sentinel : connecteurs personnalisés, règles analytiques et requêtes de chasse.
Supervision Azure Virtual Desktop avec Microsoft Sentinel : utilisez les événements Sécurité Windows, les journaux de connexion Microsoft Entra, Microsoft Defender XDR pour les points de terminaison et les journaux de diagnostic Azure Virtual Desktop pour détecter et repérer les menaces Azure Virtual Desktop.
Surveillez Microsoft Intune à l’aide de requêtes et de classeurs.
Enfin, en se concentrant sur les attaques récentes, découvrez comment surveiller la chaîne d’approvisionnement logicielle avec Microsoft Sentinel.
Les solutions Microsoft Sentinel assurent la détectabilité des produits, le déploiement en une seule étape et l’activation de scénarios de bout en bout de produits, de domaines ou de secteurs dans Microsoft Sentinel. Pour plus d’informations, consultez À propos du contenu et des solutions Microsoft Sentinel, et consultez le webinaire « Créer vos propres solutions Microsoft Sentinel » : YouTube ou présentation.
Partie 4 : Fonctionnement
Module 16 : Gestion des incidents
Après avoir créé votre SOC, vous devez commencer à l’utiliser. Le webinaire « Un jour dans la vie d’un analyste SOC » (YouTube, MP4 ou Présentation) vous guide tout au long de l’utilisation de Microsoft Sentinel dans le SOC pour trier, examiner les incidents et y répondre.
L’Intégration à Microsoft Teams directement à partir de Microsoft Sentinel permet à vos équipes de collaborer en toute transparence au sein de l’organisation et avec des parties prenantes externes. Regardez le webinaire consacré à la « Réduction du MTTR (temps moyen de réponse) par l’intégration de Microsoft Sentinel à Microsoft Teams ».
Vous pouvez également lire l’article de documentation sur l’examen des incidents. Dans le cadre de l’enquête, vous allez également utiliser les pages d’entité pour obtenir plus d’informations sur les entités liées à votre incident ou identifiées dans le cadre de votre enquête.
L’investigation des incidents dans Microsoft Sentinel s’étend au-delà de la fonctionnalité principale d’investigation des incidents. Vous pouvez créer des outils d’investigation supplémentaires à l’aide de classeurs et de notebooks, les notebooks sont abordés dans la section suivante, Module 17 : Chasse. Vous pouvez également créer d’autres outils d’investigation ou en modifier un existant en fonction de vos besoins spécifiques. Voici quelques exemples :
Le classeur Investigation Insights offre une autre approche pour l’examen des incidents.
Les notebooks améliorent l’expérience d’investigation. Lisez Pourquoi utiliser Jupyter pour les investigations de sécurité ? et découvrez comment mener des investigations avec Microsoft Sentinel et les notebooks Jupyter :
Module 17 : Repérage
Bien que la discussion se concentre jusqu’à présent essentiellement sur la détection et la gestion des incidents, la chasse constitue un autre cas d’usage important pour Microsoft Sentinel. La chasse est une recherche proactive des menaces plutôt qu’une réponse réactive aux alertes.
Le tableau de bord de la chasse est constamment mis à jour. Il affiche toutes les requêtes écrites par l’équipe d’analystes de sécurité de Microsoft et toutes les requêtes supplémentaires que vous avez créées ou modifiées. Chaque requête décrit l’objet de la chasse, ainsi que le type de données sur lequel ce processus s’exécute. Ces modèles sont regroupés par leurs différentes tactiques. Les icônes de droite catégorisent le type de menace, telles que l’accès initial, la persistance et l’exfiltration. Pour plus d’informations, consultez Repérer les menaces avec Microsoft Sentinel.
Pour en savoir plus sur la chasse et la façon dont Microsoft Sentinel la prend en charge, regardez le webinaire de présentation de la « Chasse aux menaces » : YouTube, MP4, ou présentation. Le webinaire commence par une mise à jour sur les nouvelles fonctionnalités. Pour en savoir plus sur la chasse aux menaces, commencez à la diapositive 12. La vidéo YouTube est déjà défini pour commencer l’étude à partir de cette diapositive.
Bien que le webinaire d’introduction se concentre sur les outils, la chasse est avant tout une activité de sécurité. Élaboré par l’équipe d’investigation et de sécurité, notre webinaire (YouTube, MP4, ou présentation) se concentre sur les manières de chasser.
Le webinaire de suivi « AWS Threat Hunting à l’aide de Microsoft Sentinel » (YouTube, MP4, ou présentation) fait vraiment passer le message en montrant un scénario de chasse aux menaces de bout en bout sur un environnement cible à valeur élevée.
Enfin, vous pouvez apprendre à effectuer la chasse post-compromission SolarWinds avec Microsoft Sentinel et la chasse aux menaces WebShell motivées par les dernières vulnérabilités récentes dans les serveurs Microsoft Exchange locaux.
Module 18 : Analyse du comportement des utilisateurs et des entités (UEBA)
Le module UEBA (User and Entity Behavior Analytics) récemment introduit par Microsoft Sentinel vous permet d’identifier et d’examiner les menaces au sein de votre organisation et leur impact potentiel, qu’il s’agisse d’une entité compromise ou d’un insider malveillant.
Au fur et à mesure que Microsoft Sentinel collecte les journaux et les alertes de toutes ses sources de données connectées, il les analyse et établit des profils comportementaux de base des entités de votre organisation (telles que les utilisateurs, hôtes, adresses IP et applications), ainsi qu’un horizon des groupes de nœuds homologues. Grâce à diverses techniques et de capacités de Machine Learning, Microsoft Sentinel peut ensuite identifier l’activité anormale et vous aider à déterminer si une ressource a été compromise. Outre cela, il peut déterminer la sensibilité relative de ressources particulières, identifier des groupes homologues de ressources et évaluer l’impact potentiel (« rayon d’impact ») de la compromission de toute ressource. Ces informations vous permettent de hiérarchiser efficacement l’investigation et la gestion de l’incident.
En savoir plus sur UEBA en regardant le webinaire (YouTube, MP4, ou présentation), et en lisant des informations sur l’utilisation UEBA pour les investigations dans votre centre des opérations de sécurité.
Pour en savoir plus sur les dernières mises à jour, consultez le webinaire « L'avenir de l'analyse comportementale des entités d'utilisateurs dans Microsoft Sentinel ».
Module 19 : Supervision de l’intégrité de Microsoft Sentinel
Une partie de l’exploitation d’un SIEM permet de s’assurer que celui-ci fonctionne correctement et évolue dans Azure Microsoft Sentinel. Utilisez ce qui suit pour superviser l’intégrité de Microsoft Sentinel :
Mesurer l’efficacité de vos opérations de sécurité (vidéo).
La table de données Microsoft Sentinel Health fournit des Insights sur les dérives d’intégrité, tels que les derniers événements d’échec par connecteur, ou les connecteurs avec les modifications apportées aux états de réussite et d’échec, que vous pouvez utiliser pour créer des alertes et d’autres actions automatisées. Pour plus d’informations, consultez Superviser l’intégrité de vos connecteurs de données. Regardez la vidéo « Classeur de surveillance de l’intégrité des connecteurs de données ». Et recevez des notifications sur les anomalies.
Supervisez les agents à l’aide de la solution d’intégrité des agents (Windows uniquement) et de la table Pulsations (Linux et Windows).
Surveillez votre espace de travail Log Analytics : YouTube, MP4 ou présentation, y compris l’exécution des requêtes et l’intégrité de l’ingestion.
La gestion des coûts est également une procédure opérationnelle importante dans le centre des opérations de sécurité. Utilisez le playbook d’alerte de coût d’ingestion pour vous assurer que vous êtes informé à temps en cas d’augmentation des coûts.
Partie 5 : Concepts avancés
Module 20 : Extension et intégration à l’aide des API Microsoft Sentinel
En tant que SIEM natif cloud, Microsoft Sentinel est un premier système qui privilégie les API. Chaque fonctionnalité peut être configurée et utilisée via une API, ce qui facilite l’intégration à d’autres systèmes et l’extension de Microsoft Sentinel avec votre propre code. Si l’API vous intimide, ne vous inquiétez pas. Tout ce qui est disponible à l’aide de l’API est également disponible à l’aide de PowerShell.
Pour en savoir plus sur les API Microsoft Sentinel, regardez la courte vidéo d’introduction et lisez le billet de blog. Pour plus d’informations, consultez le webinaire « Extension et intégration de Sentinel (API) » (YouTube, MP4 ou présentation) et lisez le billet de blog Extension de Microsoft Sentinel : API, intégration et automatisation de la gestion.
Module 21 : Créer votre propre apprentissage automatique
Microsoft Sentinel fournit une plateforme performante pour implémenter vos propres algorithmes d’apprentissage automatique. Nous l’appelons le Créer votre propre modèle Machine Learning, ou BYO ML. BYO ML est destinée aux utilisateurs avancés. Si vous recherchez des analyses comportementales intégrées, utilisez nos règles d’analyses d’apprentissage automatique ou le module UEBA, ou écrivez vos propres règles d’analyse comportementale basées sur KQL.
Pour commencer à apporter votre propre apprentissage automatique à Microsoft Sentinel, affichez la vidéo « Créer votre propre modèle Machine Learning » et lisez le billet de blog Créer vos propres modèles de détection par apprentissage automatique dans le SIEM Azure Sentinel immergé dans l'IA. Vous pouvez également vous référer à la documentation BYO ML.
Étapes suivantes
- Activités de prédéploiement et prérequis pour le déploiement de Microsoft Sentinel
- Démarrage rapide : Intégration de Microsoft Sentinel
- Nouveautés de Microsoft Sentinel
Contenu recommandé
- Meilleures pratiques pour Microsoft Sentinel
- Exemples de conceptions d’espace de travail Microsoft Sentinel
- Planifier les coûts et comprendre la tarification et la facturation de Microsoft Sentinel
- Rôles et autorisations dans Microsoft Sentinel
- Déployer Microsoft Sentinel côte à côte sur un SIEM existant