Orchestration, automatisation et réponse dans le domaine de la sécurité (SOAR, Security Orchestration, Automation, and Response) dans Microsoft Sentinel
Cet article décrit les fonctionnalités d’orchestration, d’automatisation et de réponse aux incidents de sécurité (SOAR) Microsoft Sentinel, et montre comment l’utilisation de règles d’automatisation et de playbooks en réponse aux menaces de sécurité augmente l’efficacité de votre SOC et vous fait gagner du temps et des ressources.
Microsoft Sentinel comme solution SOAR
La problématique
Les équipes SIEM/SOC sont généralement submergées d’alertes de sécurité et d’incidents régulièrement, avec des volumes si conséquents que le personnel disponible est surchargé. Il en résulte trop souvent des situations où de nombreuses alertes sont ignorées et où les incidents ne peuvent pas être examinés. L’organisation reste donc vulnérable aux attaques qui passent inaperçues.
La solution
Microsoft Sentinel, en plus d’être un système d’informations de sécurité et gestion d’événements (SIEM), est également une plateforme pour l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR). Un de ses objectifs principaux est d’automatiser les tâches de mise à jour, de réponse et d’enrichissement récurrentes et prévisibles qui sont la responsabilité du centre d’opérations de sécurité et du personnel (SOC/SecOP), en libérant du temps et des ressources en vue d’une investigation plus approfondie et de la recherche de menaces avancées. L’automatisation prend plusieurs formes différentes dans Microsoft Sentinel, avec notamment des règles d’automatisation qui gèrent de manière centralisée l’automatisation de la gestion et de la réponse aux incidents, et des playbooks qui exécutent des séquences d’actions prédéterminées pour fournir une automatisation avancée, puissante et flexible à vos tâches de réponse aux menaces.
Règles d’automatisation
Les règles d’automatisation permettent aux utilisateurs de gérer de manière centralisée l’automatisation du traitement des incidents. En plus de vous permettre d’attribuer des playbooks à des incidents et des alertes, les règles d’automatisation vous permettent aussi d’automatiser des réponses pour plusieurs règles d’analyse en même temps, d’étiqueter, attribuer ou fermer automatiquement des incidents sans avoir besoin de playbooks, de créer des listes de tâches que vos analystes doivent effectuer lors du triage, de l’investigation et de la correction des incidents, et de contrôler l’ordre des actions exécutées. Les règles d’automatisation vous permettent également d’appliquer des automatisations lorsqu’un incident est mis à jour (maintenant en préversion), ainsi que lors de sa création. Cette nouvelle capacité simplifient davantage l’utilisation de l’automatisation dans Microsoft Sentinel, et vous permet de simplifier des flux de travail complexes pour vos processus d’orchestration d’incident.
Pour en savoir plus, consultez cette explication complète sur les règles d’automatisation.
Playbooks
Un playbook est un ensemble logique d’actions de réponse et de correction qui peuvent être exécutées à partir de Microsoft Sentinel en tant que routine. Un playbook peut vous aider à automatiser et orchestrer votre réponse aux menaces. Il peut s’intégrer à d’autres systèmes, aussi bien internes qu’externes, et être configuré pour s’exécuter automatiquement en réponse à des alertes ou des incidents spécifiques, lorsqu’il est déclenché par une règle d’analyse ou une règle d’automatisation, respectivement. Il peut également être exécuté manuellement à la demande, en réponse aux alertes, à partir de la page Incidents.
Les playbooks dans Microsoft Sentinel sont basés sur des workflows intégrés à Azure Logic Apps, service cloud qui vous permet de planifier, d’automatiser et d’orchestrer des tâches et des workflows à travers l’entreprise. Cela signifie que les playbooks peuvent tirer parti de toute la puissance et de la personnalisation des fonctionnalités d’intégration et d’orchestration de Logic Apps, ainsi que d’outils de conception faciles à utiliser, tout en bénéficiant de l’évolutivité, de la fiabilité et du niveau de service d’un service Azure de niveau 1.
Pour en savoir plus, consultez cette explication complète sur les playbooks.
Étapes suivantes
Dans ce document, vous avez appris comment Microsoft Sentinel utilisait l’automatisation pour aider votre SOC à fonctionner de façon plus efficace et efficiente.
- Pour en savoir plus sur l’automatisation de la gestion des incidents, consultez Automatiser la gestion des incidents dans Microsoft Sentinel.
- Pour en savoir plus sur les options d’automatisation avancées, consultez Automatiser la réponse aux menaces à l’aide de playbooks dans Microsoft Sentinel.
- Pour commencer à créer des règles d’automatisation, consultez Créer et utiliser des règles d’automatisation Microsoft Sentinel pour gérer les incidents
- Pour obtenir de l’aide sur l’implémentation de l’automatisation avancée avec des playbooks, consultez Tutoriel : Utiliser des playbooks pour automatiser les réponses aux menaces dans Microsoft Sentinel.