Partager via

Suivre votre migration Microsoft Sentinel avec un classeur

  • Article

À mesure que le centre des opérations de sécurité (SOC) de votre organisation gère de plus en plus de quantités de données, il est essentiel de planifier et de surveiller l’état de votre déploiement. Bien que vous puissiez suivre votre processus de migration à l’aide d’outils génériques comme Microsoft Project, Microsoft Excel, Teams ou Azure DevOps, ces outils ne sont pas spécifiques au suivi de la migration SIEM. Pour vous aider avec le suivi, nous fournissons un classeur dédié dans Microsoft Sentinel nommé Déploiement et migration Microsoft Sentinel.

Le classeur vous aide à :

  • Visualiser la progression de la migration
  • Déployer et suivre les sources de données
  • Déployer et surveiller les règles d’analyse et les incidents
  • Déployer et utiliser des classeurs
  • Déployer et effectuer une automatisation
  • Déployer et personnaliser l’analytique comportementale des utilisateurs et des entités (UEBA)

Cet article explique comment suivre votre migration avec le classeur Déploiement et migration Microsoft Sentinel, comment personnaliser et gérer le classeur, et comment utiliser les onglets de classeur pour déployer et surveiller les connecteurs de données, l’analytique, les incidents, les playbooks, les règles d’automatisation, UEBA et la gestion des données. En savoir plus sur l’utilisation de classeurs Azure Monitor dans Microsoft Sentinel.

Déployer le contenu du classeur et afficher le classeur

  1. Dans le hub de contenu Microsoft Sentinel, filtrez le contenu listé par Type de contenu = Workbooks, puis entrez migration dans la barre de recherche.

  2. Dans les résultats de la recherche, sélectionnez le workbook Déploiement et migration Microsoft Sentinel, puis sélectionnez Installer. Microsoft Sentinel déploie le classeur et enregistre le classeur dans votre environnement.

  3. Pour afficher le classeur, sélectionnez Ouvrir le classeur enregistré.

Déployer la Watchlist

  1. Dans le référentiel GitHub Microsoft Sentinel, sélectionnez le dossier DeploymentandMigration, puis Déployer sur Azure pour commencer le déploiement du modèle dans Azure.
  2. Indiquez le groupe de ressources Microsoft Sentinel et le nom de l’espace de travail. Capture d’écran du déploiement de la watchlist vers Azure.
  3. Sélectionnez Examiner et créer.
  4. Une fois les informations validées, sélectionnez Créer.

Mettre à jour la Watchlist avec des actions de déploiement et de migration

Cette étape est cruciale pour le processus de configuration du suivi. Si vous ignorez cette étape, le classeur ne reflète pas les éléments pour le suivi.

Pour mettre à jour la Watchlist avec des actions de déploiement et de migration :

  1. Dans le portail Azure, sélectionnez Microsoft Sentinel, puis Watchlist.
  2. Recherchez la Watchlist avec l’alias Déploiement.
  3. Sélectionnez la Watchlist, puis Mettre à jour la Watchlist et modifier des éléments de Watchlist en bas à droite. Capture d’écran de la mise à jour des objets de la watchlist avec les actions de déploiement et de migration.
  4. Fournissez les informations nécessaires pour le déploiement et la migration, puis sélectionnez Enregistrer.

Vous pouvez maintenant afficher la Watchlist dans le classeur de suivi de migration. Découvrez comment Gérer les Watchlists.

En outre, votre équipe peut mettre à jour ou effectuer des tâches pendant le processus de déploiement. Pour répondre à ces modifications, vous pouvez mettre à jour les actions existantes ou ajouter de nouvelles actions lorsque vous identifiez de nouveaux cas d’usage ou définissez de nouvelles exigences. Pour mettre à jour ou ajouter des actions, modifiez la Watchlist Déploiement que vous avez déployée précédemment. Pour simplifier le processus, sélectionnez Modifier la Watchlist de déploiement en bas à gauche pour ouvrir la Watchlist directement à partir du classeur.

Affichage de l’état du déploiement

Pour afficher rapidement la progression du déploiement, dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Déploiement et faites défiler vers le bas pour rechercher le Résumé de la progression. Cette zone affiche l’état du déploiement, y compris les informations suivantes :

  • Données sur les tables de rapport
  • Nombre de tables de rapport
  • Nombre de journaux signalés et de tables de rapport des données du journal
  • Nombre de règles activées par rapport aux règles non redéployées
  • Classeurs recommandés déployés
  • Nombre total de classeurs déployés
  • Nombre total de playbooks déployés

Déployer et surveiller des connecteurs de données

Pour surveiller les ressources déployées et déployer de nouveaux connecteurs, dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Connecteurs de données > Surveiller. La vue Surveiller indique les données suivantes :

  • Tendances actuelles d’ingestion
  • Tables ingérant des données
  • Quantité de données que chaque table signale
  • Rapports de points de terminaison avec Microsoft Monitoring Agent (MMA)
  • Rapports de points de terminaison avec Azure Monitoring Agent (AMA)
  • Rapports de points de terminaison avec les agents MMA et AMA
  • Règles de collecte de données dans le groupe de ressources et les appareils liés aux règles
  • Intégrité du connecteur de données (modifications et échecs)
  • Journaux d’intégrité dans l’intervalle de temps spécifié

Capture d’écran de la vue Moniteur de l’onglet Connecteurs de données du classeur.

Pour configurer un connecteur de données :

  1. Sélectionnez la vue Configurer.
  2. Sélectionnez le bouton portant le nom du connecteur que vous souhaitez configurer.
  3. Configurez le connecteur dans l’écran d’état du connecteur qui s’ouvre. Si vous ne trouvez pas de connecteur dont vous avez besoin, sélectionnez le nom du connecteur pour ouvrir la galerie de connecteurs ou la galerie de solutions. Capture d’écran de la vue Configurer du classeur.

Déployer et surveiller les analyses et les incidents

Une fois les données signalées dans l’espace de travail, vous pouvez configurer et surveiller les règles d’analyse. Dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Analytique pour afficher tous les modèles et listes de règles déployés. Cette vue indique les règles actuellement utilisées et la fréquence à laquelle les règles génèrent des incidents.

Capture d’écran de l’onglet Analyses du classeur.

Si vous avez besoin d’une couverture supplémentaire, sélectionnez Vérifier la couverture MITRE sous le tableau de gauche. Utilisez cette option pour définir les zones qui reçoivent plus de couverture et quelles règles sont déployées, à n’importe quel stade du projet de migration.

Capture d’écran de la vue Couverture MITRE du classeur.

Une fois que les règles d’analyse souhaitées sont déployées et que le connecteur de produit Defender est configuré pour envoyer des alertes, vous pouvez surveiller la création et la fréquence des incidents sous Déploiement > Résumé de la progression. Cette zone affiche les métriques relatives à la génération d’alertes par produit, titre et classification, pour indiquer l’intégrité du SOC et les alertes qui nécessitent le plus d’attention. Si des alertes génèrent trop de volume, revenez à l’onglet Analytique pour modifier la logique.

Capture d’écran du résumé de la progression sous l’onglet Analyses du classeur.

Déployer et utiliser des classeurs

Pour visualiser des informations sur l’ingestion et les détections de données effectuées par Microsoft Sentinel, dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Classeurs. Comme dans l’onglet Connecteurs de données, vous pouvez utiliser les vues Surveiller et Configurer pour afficher les informations de supervision et de configuration.

Voici quelques tâches utiles que vous pouvez effectuer sous l’onglet Classeurs :

  • Pour afficher la liste de tous les classeurs dans l’environnement et le nombre de classeurs déployés, sélectionnez Surveiller.

  • Pour afficher un classeur spécifique dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez un classeur, puis Ouvrir le classeur sélectionné.

    Capture d’écran de la sélection d’un classeur dans l’onglet Classeur.

  • Si vous n’avez pas encore déployé de classeurs, sélectionnez Configurer pour afficher la liste des classeurs couramment utilisés et recommandés. Si un classeur n’est pas répertorié, sélectionnez Accéder à la galerie de classeurs ou Accéder au hub de contenu pour déployer le classeur approprié.

    Capture d’écran de l’affichage d’un classeur à partir de l’onglet Classeur.

Déployer et surveiller des playbooks et des règles d’automatisation

Une fois que vous avez configuré l’ingestion des données, les détections et les visualisations, vous pouvez examiner l’automatisation. Dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Automatisation pour afficher les playbooks déployés et pour voir quels playbooks sont actuellement connectés à une règle d’automatisation. Si des règles d’automatisation existent, le classeur met en surbrillance les informations suivantes concernant chaque règle :

  • Nom
  • Statut
  • Action ou actions de la règle
  • Dernière date de modification de la règle et utilisateur qui a modifié la règle
  • Date de création de la règle

Pour afficher, déployer et tester l’automatisation dans la section actuelle du classeur, sélectionnez Déployer des ressources d’automatisation en bas à gauche.

Découvrez les fonctionnalités de Microsoft Sentinel SOAR pour les playbooks et les règles d’automatisation.

Capture d’écran de l’onglet Automatisation du classeur.

Déployer et surveiller UEBA

Étant donné que les rapports et les détections de données se produisent au niveau de l’entité, il est essentiel de surveiller le comportement et les tendances des entités. Pour activer la fonctionnalité UEBA dans Microsoft Sentinel, dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez UEBA. Ici, vous pouvez personnaliser les chronologies d’entité pour les pages d’entité et afficher les tables associées aux entités qui sont remplies avec des données.

Capture d’écran de l’onglet UEBA du classeur.

Pour activer UEBA :

  1. Sélectionnez Activer UEBA au-dessus de la liste des tables.
  2. Pour activer UEBA, sélectionnez Activé.
  3. Sélectionnez les sources de données que vous souhaitez utiliser pour générer des insights.
  4. Sélectionnez Appliquer.

Après avoir activé UEBA, vous pouvez surveiller et vérifier que Microsoft Sentinel génère des données UEBA.

Pour personnaliser la chronologie :

  1. Sélectionnez Personnaliser la chronologie des entités au-dessus de la liste des tables.
  2. Créez un élément personnalisé ou sélectionnez l’un des modèles prêts à l’emploi.
  3. Pour déployer le modèle et terminer l’Assistant, sélectionnez Créer.

Apprenez-en davantage sur UEBA ou découvrez comment personnaliser la chronologie.

Configurer et gérer le cycle de vie des données

Lorsque vous déployez ou migrez vers Microsoft Sentinel, il est essentiel de gérer l’utilisation et le cycle de vie des journaux entrants. Pour faciliter cette opération, dans le classeur Déploiement et migration de Microsoft Sentinel, sélectionnez Gestion des données pour afficher et configurer la rétention et l’archivage des tables.

Capture d’écran de l’onglet Gestion des données du classeur.

Vous pouvez afficher des informations concernant les éléments suivants :

  • Tables configurées pour l’ingestion de journaux de base
  • Tables configurées pour l’ingestion de couche analyse
  • Tables configurées pour être archivées
  • Tables sur la conservation des données de l’espace de travail par défaut

Pour modifier la stratégie de rétention existante pour les tables :

  1. Sélectionnez la vue Tables de rétention par défaut.
  2. Sélectionnez la table à modifier, puis Mettre à jour la rétention. Vous pouvez modifier les informations suivantes :
    • Rétention actuelle dans l’espace de travail
    • Rétention actuelle dans l’archive
    • Nombre total de jours pendant lesquels les données seront actives dans l’environnement
  3. Modifiez la valeur TotalRetention pour définir un nouveau nombre total de jours pendant lesquels les données doivent exister dans l’environnement.

La valeur ArchiveRetention est calculée en soustrayant la valeur TotalRetention de la valeur InteractiveRetention. Si vous devez ajuster la rétention de l’espace de travail, la modification n’a pas d’impact sur les tables qui incluent les archives configurées, et les données ne sont pas perdues. Si vous modifiez la valeur InteractiveRetention et que la valeur TotalRetention ne change pas, Azure Log Analytics ajuste la rétention de l’archive pour compenser la modification.

Si vous préférez apporter des modifications dans l’interface utilisateur, sélectionnez Mettre à jour la rétention dans l’interface utilisateur pour ouvrir le panneau approprié.

Découvrez la gestion du cycle de vie des données.

Activer les conseils et instructions de migration

Pour faciliter le processus de déploiement et de migration, le classeur inclut des conseils expliquant comment utiliser les différents onglets et des liens vers des ressources pertinentes. Les conseils sont basés sur la documentation de migration de Microsoft Sentinel et sont pertinents pour votre SIEM actuel. Pour activer les conseils et instructions, dans le classeur Déploiement et migration de Microsoft Sentinel, en haut à droite, définissez MigrationTips et Instruction sur Oui.

Capture d’écran des conseils et instructions de migration du classeur.

Étapes suivantes

Dans cet article, vous avez appris à suivre votre migration avec le classeur Déploiement et migration de Microsoft Sentinel.