Partager via

Suivre votre migration Microsoft Sentinel avec un classeur

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

À mesure que le centre des opérations de sécurité (SOC) de votre organisation gère de plus en plus de quantités de données, il est essentiel de planifier et de surveiller l’état de votre déploiement. Bien que vous puissiez suivre votre processus de migration à l’aide d’outils génériques comme Microsoft Project, Microsoft Excel, Microsoft Teams ou Azure DevOps, ces outils ne sont pas spécifiques au suivi de la migration de la gestion des informations et des événements de sécurité (SIEM). Pour vous aider à suivre, nous fournissons un classeur dédié dans Microsoft Sentinel nommé Déploiement et migration de Microsoft Sentinel.

Le classeur vous aide à :

  • Visualiser la progression de la migration
  • Déployer et suivre les sources de données
  • Déployer et surveiller les règles d’analyse et les incidents
  • Déployer et utiliser des classeurs
  • Déployer et effectuer une automatisation
  • Déployer et personnaliser l’analytique comportementale des utilisateurs et des entités (UEBA)

Cet article explique comment suivre votre migration avec le classeur Déploiement et migration Microsoft Sentinel, comment personnaliser et gérer le classeur, et comment utiliser les onglets de classeur pour déployer et surveiller les connecteurs de données, l’analytique, les incidents, les playbooks, les règles d’automatisation, UEBA et la gestion des données. En savoir plus sur l’utilisation de classeurs Azure Monitor dans Microsoft Sentinel.

Déployer le contenu du classeur et afficher le classeur

Pour obtenir le classeur, commencez par installer l’élément autonome à partir du hub de contenu dans Microsoft Sentinel.

  1. Dans le hub de contenu Microsoft Sentinel, filtrez le contenu listé par Type de contenu = Workbooks, puis entrez migration dans la barre de recherche.

  2. Dans les résultats de la recherche, sélectionnez le workbook Déploiement et migration Microsoft Sentinel, puis sélectionnez Installer. Microsoft Sentinel déploie le classeur et enregistre le classeur dans votre environnement.

  3. Dans Microsoft Sentinel, sous Gestion des menaces, sélectionnez Classeurs>Modèles.

  4. Sélectionnez le classeur Déploiement et migration Microsoft Sentinel, puis Afficher le modèle.

Déployer la Watchlist

L’étape suivante consiste à déployer la liste de suivi associée à partir du référentiel GitHub Microsoft Sentinel.

  1. Dans le référentiel GitHub Microsoft Sentinel, sélectionnez le dossier DeploymentandMigration, puis Déployer sur Azure pour commencer le déploiement du modèle dans Azure.
  2. Indiquez le groupe de ressources Microsoft Sentinel et le nom de l’espace de travail. Capture d’écran du déploiement de la watchlist vers Azure.
  3. Sélectionnez Examiner et créer.
  4. Une fois les informations validées, sélectionnez Créer.

Mettre à jour la Watchlist avec des actions de déploiement et de migration

Cette étape est cruciale pour le processus de configuration du suivi. Si vous ignorez cette étape, le classeur ne reflète pas les éléments pour le suivi.

Pour mettre à jour la Watchlist avec des actions de déploiement et de migration :

  1. Dans le Portail Azure ou le portail Microsoft Defender, sélectionnez Microsoft Sentinel, puis Liste de suivi.
  2. Sélectionnez la liste de suivi avec l’alias Déploiement.
  3. Sélectionnez ensuite Mettre à jour la liste de suivi > modifier les éléments de la liste de suivi.
  4. Fournissez les informations sur les actions nécessaires au déploiement et la migration. Capture d’écran de la mise à jour des objets de la watchlist avec les actions de déploiement et de migration.
  5. Cliquez sur Enregistrer.

Vous pouvez maintenant afficher la Watchlist dans le classeur de suivi de migration. Découvrez comment Gérer les Watchlists.

En outre, votre équipe peut mettre à jour ou effectuer des tâches pendant le processus de déploiement. Pour répondre à ces modifications, mettez à jour les actions existantes ou ajoutez de nouvelles actions lorsque vous identifiez de nouveaux cas d’usage ou définissez de nouvelles exigences. Pour mettre à jour ou ajouter des actions, modifiez la liste de suivi Déploiement que vous avez déployée. Pour simplifier le processus, dans le classeur, sélectionnez Modifier la liste de suivi du déploiement pour ouvrir la liste de suivi directement à partir du classeur.

Affichage de l’état du déploiement

Pour afficher rapidement la progression du déploiement, dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Déploiement et faites défiler vers le bas pour rechercher le Résumé de la progression. Cette zone affiche l’état du déploiement, y compris les informations suivantes :

  • Données sur les tables de rapport
  • Nombre de tables de rapport
  • Nombre de journaux signalés et de tables de rapport des données du journal
  • Nombre de règles activées par rapport aux règles non redéployées
  • Classeurs recommandés déployés
  • Nombre total de classeurs déployés
  • Nombre total de playbooks déployés

Déployer et surveiller des connecteurs de données

Pour surveiller les ressources déployées et déployer de nouveaux connecteurs, dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Connecteurs de données > Surveiller. La vue Surveiller indique les données suivantes :

  • Tendances actuelles d’ingestion
  • Tables ingérant des données
  • Quantité de données que chaque table signale
  • Rapports de points de terminaison avec Microsoft Monitoring Agent (MMA)
  • Rapports de points de terminaison avec Azure Monitoring Agent (AMA)
  • Rapports de points de terminaison avec les agents MMA et AMA
  • Règles de collecte de données dans le groupe de ressources et les appareils liés aux règles
  • Intégrité du connecteur de données (modifications et échecs)
  • Journaux d’intégrité dans l’intervalle de temps spécifié

Capture d’écran de la vue Moniteur de l’onglet Connecteurs de données du classeur.

Pour configurer un connecteur de données :

  1. Sélectionnez la vue Configurer.
  2. Sélectionnez le bouton portant le nom du connecteur que vous souhaitez configurer.
  3. Configurez le connecteur dans l’écran d’état du connecteur qui s’ouvre. Si vous ne trouvez pas de connecteur dont vous avez besoin, sélectionnez le nom du connecteur pour ouvrir la galerie de connecteurs ou la galerie de solutions. Capture d’écran de la vue Configurer du classeur.

Déployer et surveiller les analyses et les incidents

Lorsque les données sont signalées dans l’espace de travail, configurer et surveiller les règles d’analyse. Dans le classeur Déploiement et migration de Microsoft Sentinel, sélectionnez l’onglet Analytique pour afficher tous les modèles et toutes les listes de règles déployés. Cette vue indique les règles actuellement utilisées et la fréquence à laquelle les règles génèrent des incidents.

Capture d’écran de l’onglet Analyses du classeur.

Si vous avez besoin d’une couverture supplémentaire, sélectionnez Vérifier la couverture MITRE sous le tableau de gauche. Utilisez cette option pour définir les zones qui reçoivent plus de couverture et quelles règles sont déployées, à n’importe quel stade du projet de migration.

Capture d’écran de la vue Couverture MITRE du classeur.

Lorsque vous déployez des règles d’analyse et le connecteur de produit Defender est configuré pour envoyer des alertes, surveillez la création et la fréquence des incidents sous Déploiement > Résumé de la progression. Cette zone affiche les métriques relatives à la génération d’alertes par produit, titre et classification, pour indiquer l’intégrité du SOC et les alertes qui nécessitent le plus d’attention. Si des alertes génèrent trop de volume, revenez à l’onglet Analytique pour modifier la logique.

Capture d’écran du résumé de la progression sous l’onglet Analyses du classeur.

Déployer et utiliser des classeurs

Pour visualiser des informations sur l’ingestion et les détections de données effectuées par Microsoft Sentinel, dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Classeurs. Comme dans l’onglet Connecteurs de données, utilisez les vues Surveiller et Configurer pour afficher les informations de supervision et de configuration.

Voici quelques tâches utiles à effectuer sous l’onglet Classeurs :

  • Pour afficher la liste de tous les classeurs dans l’environnement et le nombre de classeurs déployés, sélectionnez Surveiller.

  • Pour afficher un classeur spécifique dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez un classeur, puis Ouvrir le classeur sélectionné.

    Capture d’écran de la sélection d’un classeur dans l’onglet Classeur.

  • Si vous n’avez pas encore déployé de classeurs, sélectionnez Configurer pour afficher la liste des classeurs couramment utilisés et recommandés. Si un classeur n’est pas répertorié, sélectionnez Accéder à la galerie de classeurs ou Accéder au hub de contenu pour déployer le classeur approprié.

    Capture d’écran de l’affichage d’un classeur à partir de l’onglet Classeur.

Déployer et surveiller des playbooks et des règles d’automatisation

Une fois l’ingestion des données configurée, les détections et les visualisations, vous pouvez examiner l’automatisation. Dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Automatisation pour afficher les playbooks déployés et pour voir quels playbooks sont actuellement connectés à une règle d’automatisation. Si des règles d’automatisation existent, le classeur met en surbrillance les informations suivantes concernant chaque règle :

  • Nom
  • Statut
  • Action ou actions de la règle
  • Dernière date de modification de la règle et utilisateur qui a modifié la règle
  • Date de création de la règle

Pour afficher, déployer et tester l’automatisation dans la section actuelle du classeur, sélectionnez Déployer des ressources d’automatisation en bas à gauche.

Découvrez les fonctionnalités de Microsoft Sentinel SOAR pour les playbooks et les règles d’automatisation.

Capture d’écran de l’onglet Automatisation du classeur.

Déployer et surveiller UEBA

Étant donné que les rapports et les détections de données se produisent au niveau de l’entité, il est essentiel de surveiller le comportement et les tendances des entités. Pour activer la fonctionnalité UEBA dans Microsoft Sentinel, dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez UEBA. Ici, vous pouvez personnaliser les chronologies d’entité pour les pages d’entité et afficher les tables associées aux entités qui sont remplies avec des données.

Capture d’écran de l’onglet UEBA du classeur.

Pour activer UEBA :

  1. Sélectionnez Activer UEBA au-dessus de la liste des tables.
  2. Pour activer UEBA, sélectionnez Activé.
  3. Sélectionnez les sources de données que vous souhaitez utiliser pour générer des insights.
  4. Sélectionnez Appliquer.

Après avoir activé UEBA, surveillez et vérifiez que Microsoft Sentinel génère des données UEBA.

Pour personnaliser la chronologie :

  1. Sélectionnez Personnaliser la chronologie des entités au-dessus de la liste des tables.
  2. Créez un élément personnalisé ou sélectionnez l’un des modèles prêts à l’emploi.
  3. Pour déployer le modèle et terminer l’Assistant, sélectionnez Créer.

Apprenez-en davantage sur UEBA ou découvrez comment personnaliser la chronologie.

Configurer et gérer le cycle de vie des données

Lorsque vous déployez ou migrez vers Microsoft Sentinel, il est essentiel de gérer l’utilisation et le cycle de vie des journaux entrants. Dans le classeur Déploiement et migration de Microsoft Sentinel, sélectionnez Gestion des données pour afficher et configurer la rétention et l’archivage des tables.

Capture d’écran de l’onglet Gestion des données du classeur.

Affichez des informations concernant les éléments suivants :

  • Tables configurées pour l’ingestion de journaux de base
  • Tables configurées pour l’ingestion de couche analyse
  • Tables configurées pour être archivées
  • Tables sur la conservation des données de l’espace de travail par défaut

Pour modifier la stratégie de rétention existante pour les tables :

  1. Sélectionnez la vue Tables de rétention par défaut.
  2. Sélectionnez la table à modifier, puis Mettre à jour la rétention. Modifiez les informations suivantes au besoin :
    • Rétention actuelle dans l’espace de travail
    • Rétention actuelle dans l’archive
    • Nombre total de jours pendant lequel les données sont actives dans l’environnement
  3. Modifiez la valeur TotalRetention pour définir un nouveau nombre total de jours pendant lesquels les données doivent exister dans l’environnement.

La valeur ArchiveRetention est calculée en soustrayant la valeur TotalRetention de la valeur InteractiveRetention. Si vous devez ajuster la rétention de l’espace de travail, la modification n’a pas d’impact sur les tables qui incluent les archives configurées, et les données ne sont pas perdues. Si vous modifiez la valeur InteractiveRetention et que la valeur TotalRetention ne change pas, Azure Log Analytics ajuste la rétention de l’archive pour compenser la modification.

Si vous préférez modifier dans l’interface utilisateur, sélectionnez Mettre à jour la rétention dans l’interface utilisateur pour ouvrir la page appropriée.

Découvrez la gestion du cycle de vie des données.

Activer les conseils et instructions de migration

Pour faciliter le processus de déploiement et de migration, le classeur inclut des conseils expliquant comment utiliser les différents onglets et des liens vers des ressources pertinentes. Les conseils sont basés sur la documentation de migration de Microsoft Sentinel et sont pertinents pour votre SIEM actuel. Pour activer les conseils et instructions, dans le classeur Déploiement et migration de Microsoft Sentinel, en haut à droite, définissez MigrationTips et Instruction sur Oui.

Capture d’écran des conseils et instructions de migration du classeur.

Étapes suivantes

Dans cet article, vous avez appris à suivre votre migration avec le classeur Déploiement et migration de Microsoft Sentinel.