Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Les solutions essentielles microsoft sont des solutions de domaine publiées par Microsoft pour Microsoft Sentinel. Ces solutions ont du contenu prête à l’emploi qui peut fonctionner sur plusieurs produits pour des catégories spécifiques telles que la mise en réseau. Certaines de ces solutions essentielles utilisent la technique de normalisation Advanced Security Information Model (ASIM) pour normaliser les données au moment de la requête ou au moment de l’ingestion.
Important
Les solutions essentielles Microsoft et la solution Network Session Essentials sont actuellement en version préliminaire. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Pourquoi utiliser des solutions Microsoft essentielles basées sur ASIM ?
Lorsque plusieurs solutions d’une catégorie de domaine partagent des modèles de détection similaires, il est judicieux d’avoir les données capturées sous un schéma normalisé comme ASIM. Les solutions essentielles utilisent ce schéma ASIM pour détecter les menaces à grande échelle.
Dans le hub de contenu, il existe plusieurs solutions de produit pour différentes catégories de domaine telles que « Sécurité - Réseau ». Par exemple, pare-feu Azure, Palo Alto Firewall et Corelight ont des solutions de produit pour la catégorie de domaine « Sécurité - Réseau ».
- Ces solutions ont des composants d’ingestion de données différents par conception. Toutefois, il existe un certain modèle pour l’analytique, la chasse, les classeurs et d’autres contenus dans la même catégorie de domaine.
- La plupart des principaux produits réseau ont un ensemble commun d’alertes de pare-feu qui incluent des menaces malveillantes provenant d’adresses IP inhabituelles. Le modèle de règle analytique est, en général, dupliqué pour chacune de la catégorie « Sécurité - Réseau » des solutions de produit. Si vous exécutez plusieurs produits réseau, vous devez vérifier et configurer plusieurs règles analytiques individuellement, ce qui est inefficace. Vous obtiendriez également des alertes pour chaque règle configurée et vous pourriez vous retrouver avec une surcharge d'alertes.
- Si vous avez des requêtes de chasse en double, vous pouvez avoir des expériences de chasse moins performantes avec le mode de chasse intégral. Ces requêtes de chasse en double introduisent également des inefficacités pour les chasseurs de menaces pour sélectionner et exécuter des requêtes similaires.
Vous pouvez envisager des solutions essentielles Microsoft pour les raisons suivantes :
- Un schéma normalisé vous permet d’interroger plus facilement les détails de l’incident. Vous n’avez pas besoin de mémoriser une syntaxe de fournisseur différente pour les attributs de journal similaires.
- Si vous n’avez pas besoin de gérer le contenu pour plusieurs solutions, le déploiement de cas d’usage et la gestion des incidents sont plus faciles.
- Une vue de classeur consolidée vous offre une meilleure visibilité de l'environnement et permet l'analyse du temps de requête possible grâce à des analyseurs ASIM hautes performances.
Schémas ASIM pris en charge
Les solutions essentielles sont actuellement réparties sur les différents schémas ASIM suivants pris en charge par Sentinel :
- Événement d’audit
- Événement d’authentification
- Activité DNS
- Activité de fichier
- Session réseau
- Événement de processus
- Session web
Pour plus d’informations, consultez les schémas ASIM (Advanced Security Information Model).
Normalisation du temps d’ingestion
Les résultats de normalisation du temps d’ingestion peuvent être ingérés dans le tableau normalisé suivant :
- ASimDnsActivityLogs pour le schéma DNS.
- ASimNetworkSessionLogs pour le schéma de session réseau
Pour plus d’informations, consultez Normalisation du temps d’ingestion.
Contenu disponible avec les solutions Essentials de domaine basées sur ASIM
Le tableau suivant décrit le type de contenu disponible avec chaque solution essentielle. Pour certains cas d’usage spécifiques, vous pouvez également utiliser le contenu disponible avec la solution de produit Microsoft Sentinel.
| Type de contenu | descriptif |
|---|---|
| Règle analytique | Les règles analytiques disponibles dans les solutions essentielles basées sur ASIM sont génériques et adaptées à l’une des solutions de produit Microsoft Sentinel dépendantes pour ce domaine. La solution de produit Microsoft Sentinel peut avoir un cas d’usage spécifique source couvert dans le cadre de la règle analytique. Activez les règles de solution de produit Microsoft Sentinel en fonction des besoins de votre environnement. |
| Requête de chasse | Les requêtes de chasse disponibles dans les solutions essentielles basées sur ASIM sont génériques et adaptées à la recherche de menaces à partir de l’une des solutions de produit Microsoft Sentinel dépendantes pour ce domaine. La solution de produit Microsoft Sentinel peut avoir une requête de chasse spécifique à la source disponible prête à l’emploi. Utilisez les requêtes de repérage à partir de la solution de produit Microsoft Sentinel en fonction des besoins de votre environnement. |
| Manuel | Les solutions essentielles basées sur ASIM sont censées gérer les données avec des événements élevés par seconde. Lorsque vous avez du contenu qui utilise ce volume de données, vous pouvez rencontrer un impact sur les performances qui peut entraîner un chargement lent des classeurs ou des résultats de requête. Pour résoudre ce problème, le guide opérationnel de synthèse résume les journaux sources et stocke les informations dans une table prédéfinie. Activez le guide opérationnel de résumé pour permettre aux solutions Essentials d’interroger cette table. Étant donné que les playbooks de Microsoft Sentinel sont basés sur des flux de travail créés dans Azure Logic Apps qui créent des ressources distinctes, d’autres frais peuvent s’appliquer. Pour plus d’informations, consultez la page de tarification d’Azure Logic Apps. D’autres frais peuvent également s’appliquer pour le stockage des données résumées. |
| Liste de surveillance | Les solutions essentielles basées sur ASIM utilisent une liste de surveillance qui inclut plusieurs ensembles de conditions pour la détection de règles analytiques et les requêtes de repérage. La liste de surveillance vous permet d’effectuer les tâches suivantes : - Effectuez une surveillance axée sur la filtrage des données. - Basculer entre la chasse et la détection pour chaque élément de liste. - Conservez le type de seuil défini sur Statique pour tirer parti des alertes basées sur un seuil, tandis que les alertes basées sur des anomalies seraient apprises au cours des derniers jours de données (14 jours maximum). - Modifiez le nom, la description, la tactique et la gravité de l’alerte à l’aide de cette liste de surveillance pour les éléments de liste individuels. - Désactiver la détection en définissant Sévérité à Désactivé. |
| Classeur | Le classeur disponible avec les solutions essentielles basées sur ASIM offre une vue consolidée des différents événements et activités qui se produisent dans le domaine dépendant. Étant donné que ce classeur extrait les résultats d’un volume très élevé de données, il peut y avoir un décalage des performances. Si vous rencontrez des problèmes de performances, utilisez le playbook de synthèse. |
Ces solutions essentielles comme d’autres solutions de domaine Microsoft Sentinel n’ont pas de connecteur propre. Elles dépendent des connecteurs spécifiques à la source dans les solutions de produits Microsoft Sentinel pour extraire les journaux. Pour comprendre les produits pris en charge par la solution de domaine, reportez-vous à la liste des solutions de produit requises que chacune des solutions essentielles du domaine ASIM énumère. Installez une ou plusieurs des solutions de produit. Configurez les connecteurs de données pour répondre aux besoins de dépendance de produit sous-jacents et permettre une meilleure utilisation de ce contenu de solution de domaine.
Articles connexes
- Rechercher des solutions essentielles de domaine basées sur ASIM, telles que Network Session Essentials et Solution DNS Essentials pour Microsoft Sentinel.
- Utilisation du modèle Advanced Security Information Model (ASIM)