Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’intégration entre Microsoft Defender pour IoT et Microsoft Sentinel permet aux équipes SOC de détecter et de répondre efficacement aux menaces de sécurité sur votre réseau. Améliorez vos fonctionnalités de sécurité avec la solution Microsoft Defender pour IoT, un ensemble de contenu groupé configuré spécifiquement pour les données Defender pour IoT qui incluent des règles d’analyse, des classeurs et des playbooks.
Dans ce tutoriel, vous allez :
- Installer la solution Microsoft Defender pour IoT dans votre espace de travail Microsoft Sentinel
- Découvrez comment analyser les alertes de Defender pour l'IoT dans les incidents de Microsoft Sentinel.
- En savoir plus sur les règles d’analyse, les classeurs et les playbooks déployés sur votre espace de travail Microsoft Sentinel avec la solution Microsoft Defender pour IoT
Important
L’expérience du hub de contenu Microsoft Sentinel est actuellement en version préliminaire, tout comme la solution Microsoft Defender pour IoT. Consultez les conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour obtenir des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Conditions préalables
Avant de commencer, vérifiez que vous disposez des éléments suivants :
Autorisations de Lecture et Écriture dans l’espace de travail Microsoft Sentinel. Pour plus d’informations, consultez Autorisations dans Microsoft Sentinel.
Vous avez terminé le Tutoriel : Connecter Microsoft Defender pour IoT avec Microsoft Sentinel.
Installer la solution Defender pour IoT
Les solutions Microsoft Sentinel peuvent vous aider à intégrer le contenu de sécurité Microsoft Sentinel pour un connecteur de données spécifique à l’aide d’un processus unique.
La solution Microsoft Defender pour IoT intègre les données Defender pour IoT aux fonctionnalités d’orchestration de sécurité, d’automatisation et de réponse (SOAR) de Microsoft Sentinel en fournissant des playbooks prêtes à l’emploi et optimisées pour les fonctionnalités de réponse et de prévention automatisées.
Pour installer la solution :
Dans Microsoft Sentinel, sous Gestion du contenu, sélectionnez Hub de contenu , puis recherchez la solution Microsoft Defender pour IoT .
En bas à droite, sélectionnez Afficher les détails, puis Créer. Sélectionnez l’abonnement, le groupe de ressources et l’espace de travail dans lesquels vous souhaitez installer la solution, puis passez en revue le contenu de sécurité associé qui sera déployé.
Lorsque vous avez terminé, sélectionnez Vérifier + créer pour installer la solution.
Pour plus d’informations, consultez À propos du contenu et des solutions Microsoft Sentinel et Découvrir et déployer de manière centralisée du contenu et des solutions prêts à l’emploi.
Détecter les menaces prêtes à l’emploi avec les données Defender pour IoT
Le connecteur de données Microsoft Defender pour IoT inclut une règle de sécurité Microsoft par défaut nommée Créer des incidents basés sur les alertes Microsoft Defender pour IoT, ce qui crée automatiquement de nouveaux incidents pour les nouvelles alertes Defender pour IoT détectées.
La solution Microsoft Defender pour IoT comprend un ensemble plus détaillé de règles d’analytique prêtes à l’emploi, qui sont conçues spécifiquement pour les données Defender pour IoT et ajustent les incidents créés dans Microsoft Sentinel pour les alertes pertinentes.
Pour utiliser des alertes Defender pour IoT prêtes à l’emploi :
Dans la page Microsoft Sentinel Analytics, recherchez et désactivez la règle Créer des incidents en fonction des alertes Microsoft Defender pour IoT. Cette étape empêche la création d’incidents en double dans Microsoft Sentinel pour les mêmes alertes.
Recherchez et activez l’une des règles d’analytique prêtes à l’emploi suivantes, installée avec la solution Microsoft Defender pour IoT :
Nom de la règle Descriptif Codes de fonction non valides pour le trafic ICS/SCADA Les codes de fonction illicites dans le contrôle de surveillance et l’acquisition de données (SCADA) peuvent indiquer l’un des éléments suivants :
- Configuration incorrecte de l’application, par exemple en raison d’une mise à jour ou d’une réinstallation du microprogramme.
- Activité malveillante. Par exemple, une cybermenace qui tente d’utiliser des valeurs illégales au sein d’un protocole pour exploiter une vulnérabilité dans le contrôleur logique programmable (PLC), telle qu’un dépassement de mémoire tampon.Mise à jour du microprogramme Les mises à jour de microprogramme non autorisées peuvent indiquer une activité malveillante sur le réseau, telle qu’une cybermenace qui tente de manipuler le microprogramme PLC pour compromettre la fonction PLC. Modifications de PLC non autorisées Les modifications non autorisées apportées au code logique d’échelle PLC peuvent être l’une des suivantes :
- Indication de nouvelles fonctionnalités dans le PLC.
- Configuration incorrecte d’une application, par exemple en raison d’une mise à jour ou d’une réinstallation du microprogramme.
- Activité malveillante sur le réseau, telle qu’une cybermenace qui tente de manipuler la programmation PLC pour compromettre la fonction PLC.État de clé non sécurisée PLC Le nouveau mode peut indiquer que le PLC n’est pas sécurisé. Laisser le PLC en mode d’exploitation non sécurisé peut permettre aux adversaires d’effectuer des activités malveillantes sur celui-ci, comme un téléchargement de programme.
Si le PLC est compromis, les appareils et les processus qui interagissent avec celui-ci peuvent être affectés. qui peut affecter la sécurité et la sûreté globales du système.Arrêt PLC La commande d’arrêt PLC peut indiquer une configuration incorrecte d’une application qui a provoqué l’arrêt du PLC ou une activité malveillante sur le réseau. Par exemple, une cybermenace qui tente de manipuler la programmation PLC pour affecter les fonctionnalités du réseau. Programmes malveillants suspects trouvés dans le réseau Les programmes malveillants suspects trouvés sur le réseau indiquent que les programmes malveillants suspects tentent de compromettre la production. Plusieurs scans dans le réseau Des analyses multiples sur le réseau peuvent indiquer l’une des situations suivantes :
- Un nouvel appareil sur le réseau
- Nouvelles fonctionnalités d’un appareil existant
- Configuration incorrecte d’une application, par exemple en raison d’une mise à jour ou d’une réinstallation du microprogramme
- Activité malveillante sur le réseau pour la reconnaissanceConnectivité Internet Un appareil OT communiquant avec des adresses Internet peut indiquer une configuration d’application incorrecte, telle que des logiciels antivirus tentant de télécharger des mises à jour à partir d’un serveur externe ou d’une activité malveillante sur le réseau. Appareil non autorisé dans le réseau SCADA Un appareil non autorisé sur le réseau peut être un appareil légitime, nouveau récemment installé sur le réseau, ou une indication d’une activité non autorisée ou même malveillante sur le réseau, telle qu’une cyber-menace qui tente de manipuler le réseau SCADA. Configuration DHCP non autorisée dans le réseau SCADA Une configuration DHCP non autorisée sur le réseau peut indiquer un nouvel appareil non autorisé fonctionnant sur le réseau.
Il peut s’agir d’un nouvel appareil légitime déployé récemment sur le réseau, ou d’une indication d’activités non autorisées ou même malveillantes sur le réseau, comme une cyber-menace qui tente de manipuler le réseau SCADA.Tentatives de connexion excessives Des tentatives de connexion excessives peuvent indiquer une configuration de service incorrecte, une erreur humaine ou une activité malveillante sur le réseau, par exemple une tentative de cyber-menace pour manipuler le réseau SCADA. Bande passante élevée dans le réseau Une bande passante inhabituellement élevée peut être une indication d’un nouveau service/processus sur le réseau, comme la sauvegarde ou une indication d’activité malveillante sur le réseau, telle qu’une cyber-menace qui tente de manipuler le réseau SCADA. Déni de service Cette alerte détecte les attaques qui empêchent l’utilisation ou le bon fonctionnement du système DCS. Accès à distance non autorisé au réseau L’accès à distance non autorisé au réseau peut compromettre l’appareil cible.
Cela signifie que si un autre appareil sur le réseau est compromis, les appareils cibles sont accessibles à distance, ce qui augmente la surface d’attaque.Aucun trafic sur le capteur détecté Un capteur qui ne détecte plus le trafic réseau indique que le système peut être non sécurisé.
Examiner les incidents Defender pour IoT
Une fois que vous avez configuré vos données Defender pour IoT pour déclencher de nouveaux incidents dans Microsoft Sentinel, commencez à examiner ces incidents dans Microsoft Sentinel comme vous le feriez pour d’autres incidents.
Pour examiner les incidents Microsoft Defender pour IoT :
Dans Microsoft Sentinel, accédez à la page Incidents .
Au-dessus de la grille des incidents, sélectionnez le filtre Nom du produit et désactivez l’option Sélectionner tout . Sélectionnez ensuite Microsoft Defender pour IoT pour afficher uniquement les incidents déclenchés par les alertes Defender pour IoT. Par exemple:
Sélectionnez un incident spécifique pour commencer votre investigation.
Dans le volet détails de l’incident à droite, affichez les détails tels que la gravité de l’incident, un résumé des entités impliquées, toutes les tactiques ou techniques MITRE ATT&CK mappées, etc. Par exemple:
Sélectionnez Afficher les détails complets pour ouvrir la page détails de l’incident, où vous pouvez explorer encore plus. Par exemple:
Comprendre l’impact métier et l’emplacement physique de l’incident à l’aide de détails, tels que le site, la zone, le nom du capteur et l'importance d'un appareil IoT.
Découvrez les étapes de correction recommandées en sélectionnant une alerte dans la chronologie des incidents et en consultant la zone Étapes de correction .
Sélectionnez une entité d’appareil IoT dans la liste Entités pour ouvrir sa page d’entité d’appareil. Pour plus d’informations, consultez Approfondir les recherches avec les entités d’appareil IoT.
Pour plus d’informations, consultez Examiner les incidents avec Microsoft Sentinel.
Conseil / Astuce
Pour examiner l’incident dans Defender pour IoT, sélectionnez le lien Examiner dans Microsoft Defender pour IoT en haut du volet détails de l’incident dans la page Incidents .
Approfondir les recherches avec des entités d’appareil IoT
Lorsque vous examinez un incident dans Microsoft Sentinel et que le volet détails de l’incident s’ouvre à droite, sélectionnez une entité d’appareil IoT dans la liste Entités pour afficher plus de détails sur l’entité sélectionnée. Identifiez un appareil IoT par l’icône d’appareil IoT : 
Si vous ne voyez pas immédiatement votre entité d’appareil IoT, sélectionnez Afficher les détails complets pour ouvrir la page complète des incidents, puis cochez l’onglet Entités . Sélectionnez une entité d’appareil IoT pour afficher d’autres données d’entité, telles que les détails de base de l’appareil, les informations de contact du propriétaire et une chronologie des événements qui se sont produits sur l’appareil.
Pour explorer encore plus loin, sélectionnez le lien d’entité d’appareil IoT et ouvrez la page des détails de l’entité d’appareil, ou recherchez les appareils vulnérables sur la page comportement de l’entité Microsoft Sentinel. Par exemple, examinez les cinq premiers appareils IoT avec le plus grand nombre d’alertes, ou recherchez un appareil par son adresse IP ou son nom d’appareil :
Pour plus d’informations, consultez Examiner les entités avec des pages d’entités dans Microsoft Sentinel et Examiner les incidents avec Microsoft Sentinel.
Examiner l’alerte dans Defender pour IoT
Pour ouvrir une alerte dans Defender pour IoT pour une investigation plus approfondie, notamment la possibilité d’accéder aux données PCAP d’alerte, accédez à la page de détails de votre incident et sélectionnez Examiner dans Microsoft Defender pour IoT. Par exemple:
La page des détails de l’alerte Defender pour IoT s’ouvre pour l’alerte associée. Pour plus d’informations, consultez Examiner et répondre à une alerte réseau OT.
Visualiser et surveiller les données Defender pour IoT
Pour visualiser et surveiller vos données Defender pour IoT, utilisez les classeurs déployés sur votre espace de travail Microsoft Sentinel dans le cadre de la solution Microsoft Defender pour IoT .
Les classeurs Defender pour IoT fournissent des investigations guidées pour les entités OT sur la base d’incidents ouverts, de notifications d’alertes et d’activités pour les ressources OT. Ils offrent également une expérience de chasse dans l’ensemble de l’infrastructure MITRE ATT&CK® pour ICS. Ils sont conçus pour permettre aux analystes, ingénieurs de la sécurité et MSSP d’acquérir une conscience situationnelle de l’état de la sécurité OT.
Affichez les classeurs dans Microsoft Sentinel sous l'onglet Gestion des menaces > Classeurs > Mes classeurs. Pour plus d'informations, consultez Visualiser les données collectées.
Le tableau suivant décrit les classeurs inclus dans la solution Microsoft Defender pour IoT :
| Classeur | Descriptif | Journaux |
|---|---|---|
| Aperçu | Tableau de bord affichant un résumé des métriques clés pour l’inventaire des appareils, la détection des menaces et les vulnérabilités. | Utilise des données d’Azure Resource Graph (ARG) |
| Inventaire des appareils | Affiche des données telles que : nom de l’appareil OT, type, adresse IP, adresse Mac, modèle, système d’exploitation, numéro de série, fournisseur, protocoles, alertes ouvertes et recommandations par appareil. Peut être filtré par site, zone et capteur. | Utilise des données d’Azure Resource Graph (ARG) |
| Incidents | Affiche des données telles que : - Métriques d’incident, incident le plus élevé, incident au fil du temps, incident par protocole, incident par type d’appareil, incident par fournisseur et incident par adresse IP. - Incident par gravité, temps moyen de réponse de l’incident, temps moyen de résolution de l’incident et raisons de fermeture de l’incident. |
Utilise les données du journal suivant : SecurityAlert |
| Alertes | Affiche des données telles que : Métriques d’alerte, Alertes principales, Alerte au fil du temps, Alerte par gravité, Alerte par moteur, Alerte par type d’appareil, Alerte par fournisseur et alerte par adresse IP. | Utilise des données d’Azure Resource Graph (ARG) |
| MITRE ATT&CK® pour ICS | Affiche des données telles que : Nombre de tactiques, Détails de tactique, Tactique au fil du temps, Nombre de techniques. | Utilise les données du journal suivant : SecurityAlert |
| Vulnérabilités | Affiche les vulnérabilités et les CVE pour les appareils vulnérables. Peut être filtré par site d’appareil et par gravité CVE. | Utilise des données d’Azure Resource Graph (ARG) |
Automatiser la réponse aux alertes Defender pour IoT
Les playbooks sont des collections d’actions de correction automatisées qui peuvent être exécutées à partir de Microsoft Sentinel en tant que routine. Un playbook peut vous aider à automatiser et orchestrer votre réponse aux menaces ; il peut être exécuté manuellement ou défini pour s’exécuter automatiquement en réponse à des alertes ou incidents spécifiques, lorsqu’il est déclenché par une règle d’analyse ou une règle d’automatisation, respectivement.
La solution Microsoft Defender pour IoT comprend des playbooks prêtes à l’emploi qui fournissent les fonctionnalités suivantes :
- Fermer automatiquement les incidents
- Envoyer des notifications par e-mail par ligne de production
- Créer un ticket ServiceNow
- Mettre à jour les états des alertes dans Defender pour IoT
- Automatiser les flux de travail pour les incidents avec des CVEs actives
- Envoyer un e-mail au propriétaire de l’appareil IoT/OT
- Triage des incidents impliquant des appareils très importants
Avant d’utiliser les playbooks prêts à l’emploi, veillez à effectuer les étapes préalables comme indiqué ci-dessous.
Pour plus d’informations, consultez :
- Didacticiel : utiliser des règles d’automatisation dans Microsoft Sentinel
- Automatisation de la réponse aux menaces avec des playbooks dans Microsoft Sentinel
Conditions préalables du playbook
Avant d’utiliser les playbooks prêts à l’emploi, assurez-vous d’effectuer les prérequis suivants, selon les besoins de chaque playbook :
- S’assurer que les connexions de playbook sont valides
- Ajouter un rôle requis à votre abonnement
- Connecter vos incidents, règles d’analyse pertinentes et le playbook
Vérifier les connexions de playbook valides
Cette procédure permet de s’assurer que chaque étape de connexion de votre playbook dispose de connexions valides et est requise pour tous les playbooks de solution.
Pour garantir vos connexions valides :
Dans Microsoft Sentinel, sélectionnez Automatisation>Playbooks actifs pour ouvrir le playbook.
Sélectionnez un playbook pour l’ouvrir en tant qu’application logique.
Une fois le playbook ouvert en tant qu’application logique, sélectionnez Concepteur d’application logique. Développez chaque étape de l’application logique pour vérifier les connexions non valides, qui sont indiquées par un triangle d’avertissement orange. Par exemple:
Important
Veillez à développer chaque étape de l’application logique. Les connexions non valides peuvent se masquer dans d’autres étapes.
Cliquez sur Enregistrer.
Ajouter un rôle requis à votre abonnement
Cette procédure décrit comment ajouter un rôle requis à l’abonnement Azure où le playbook est installé et n’est nécessaire que pour les playbooks suivants :
- AD4IoT-AutoAlertStatusSync
- AD4IoT-CVEAutoWorkflow
- AD4IoT-SendEmailtoIoTOwner
- AD4IoT-AutoTriageIncident
Les rôles requis diffèrent selon le playbook, mais les étapes à suivre restent les mêmes.
Pour ajouter un rôle requis à votre abonnement :
Dans Microsoft Sentinel, sélectionnez Automatisation>Playbooks actifs pour ouvrir le playbook.
Sélectionnez un playbook pour l’ouvrir en tant qu’application logique.
Avec le playbook ouvert en tant qu'application Logic, sélectionnez Identity > System assigned, puis, dans la zone Autorisations, sélectionnez le bouton Attributions de rôles Azure.
Dans la page Attributions de rôles Azure , sélectionnez Ajouter une attribution de rôle.
Dans le volet Ajouter une attribution de rôle :
Définir l’Étendue sur Abonnement.
Dans la liste déroulante, sélectionnez l’Abonnement dans lequel votre playbook est installé.
Dans la liste déroulante Rôle , sélectionnez l’un des rôles suivants, en fonction du playbook avec lequel vous travaillez :
Nom du playbook Rôle AD4IoT-AutoAlertStatusSync Administrateur de sécurité AD4IoT-CVEAutoWorkflow Lecteur AD4IoT-SendEmailtoIoTOwner Lecteur AD4IoT-AutoTriageIncident Lecteur
Lorsque vous avez terminé, sélectionnez Enregistrer.
Connectez vos incidents, les règles d'analyse pertinentes et le guide d'actions
Cette procédure explique comment configurer une règle d’analytique Microsoft Sentinel pour exécuter automatiquement vos playbooks en fonction d’un déclencheur d’incident et est nécessaire pour tous les playbooks de solution.
Pour ajouter votre règle d’analytique :
Dans Microsoft Sentinel, accédez à l'Automatisation>les règles d'automatisation.
Pour créer une règle Automation, sélectionnez Créer> unerègle Automation.
Dans le champ Déclencheur , sélectionnez l’un des déclencheurs suivants, en fonction du playbook avec lequel vous travaillez :
- Playbook AD4IoT-AutoAlertStatusSync : sélectionnez le déclencheur Quand un incident est mis à jour
- Tous les autres playbooks de solution : sélectionnez le déclencheur Quand un incident est créé
Dans la zone Conditions, sélectionnez Si > le nom > de règle analytique contient, puis sélectionnez les règles d’analyse spécifiques pertinentes pour Defender pour l'IoT dans votre organisation.
Par exemple:
Vous utilisez peut-être des règles d’analyse prêtes à l’emploi, ou vous avez peut-être modifié le contenu prête à l’emploi ou créé votre propre contenu. Pour plus d’informations, consultez Détecter les menaces prêtes à l’emploi avec les données Defender pour IoT.
Dans la zone Actions, sélectionnez Exécuter un playbook>nom du playbook.
Sélectionnez Exécuter.
Conseil / Astuce
Vous pouvez également exécuter manuellement un livre de procédures à la demande. Cela peut être utile dans les situations où vous souhaitez plus de contrôle sur l’orchestration et les processus de réponse. Pour plus d’informations, consultez Exécuter un playbook à la requête.
Fermer automatiquement les incidents
Nom du playbook : AD4IoT-AutoCloseIncidents
Dans certains cas, les activités de maintenance génèrent des alertes dans Microsoft Sentinel qui peuvent distraire une équipe SOC de la gestion des problèmes réels. Ce playbook ferme automatiquement les incidents créés à partir de ces alertes pendant une période de maintenance spécifiée, en analysant explicitement les champs d’entité d’appareil IoT.
Pour utiliser ce guide :
- Entrez la période appropriée pendant laquelle la maintenance est censée se produire et les adresses IP de toutes les ressources pertinentes, telles que répertoriées dans un fichier Excel.
- Créez une liste de surveillance qui inclut toutes les adresses IP des ressources sur lesquelles les alertes doivent être gérées automatiquement.
Envoyer des notifications par e-mail par ligne de production
Nom du playbook : AD4IoT-MailByProductionLine
Ce playbook envoie des messages pour informer les parties prenantes spécifiques des alertes et des événements qui se produisent dans votre environnement.
Par exemple, lorsque vous avez des équipes de sécurité spécifiques affectées à des lignes de produits ou à des emplacements géographiques spécifiques, vous souhaiterez que cette équipe soit avertie des alertes pertinentes pour leurs responsabilités.
Pour utiliser ce playbook, créez une liste de surveillance qui mappe entre les noms des capteurs et les adresses de publipostage de chacune des parties prenantes que vous souhaitez alerter.
Créer un ticket ServiceNow
Nom du playbook : AD4IoT-NewAssetServiceNowTicket
En règle générale, l’entité autorisée à programmer un PLC est la station de travail d’ingénierie. Par conséquent, les attaquants peuvent créer de nouvelles stations de travail d’ingénierie pour créer une programmation PLC malveillante.
Ce playbook ouvre un ticket dans ServiceNow chaque fois qu’une nouvelle station de travail d’ingénierie est détectée, en analysant explicitement les champs d’entité de l’appareil IoT.
Mettre à jour les états des alertes dans Defender pour IoT
Nom du playbook : AD4IoT-AutoAlertStatusSync
Ce playbook met à jour les statuts d’alerte dans Defender pour IoT chaque fois qu’une alerte associée dans Microsoft Sentinel a une mise à jour de statut.
Cette synchronisation remplace tout état défini dans Defender pour IoT, dans le Portail Azure ou la console du capteur, afin que les états d’alerte correspondent à celui de l’incident associé.
Automatiser les processus de travail pour gérer les incidents avec des CVE actives
Nom du playbook : AD4IoT-CVEAutoWorkflow
Ce playbook ajoute des CVE actifs aux commentaires d’incident des appareils affectés. Un tri automatisé est effectué si la CVE est critique et qu’une notification par e-mail est envoyée au propriétaire de l’appareil, comme défini au niveau du site dans Defender pour IoT.
Pour ajouter un propriétaire d’appareil, modifiez le propriétaire du site sur la page Sites et capteurs dans Defender pour IoT. Pour plus d’informations, consultez Options de gestion du site à partir du portail Azure.
Envoyer un e-mail au propriétaire de l’appareil IoT/OT
Nom du playbook : AD4IoT-SendEmailtoIoTOwner
Ce playbook envoie un e-mail avec les détails de l’incident au propriétaire de l’appareil tel que défini au niveau du site dans Defender pour IoT, afin qu’il puisse commencer à examiner, même en répondant directement à partir de l’e-mail automatisé. Les options de réponse sont les suivantes :
Oui, c’est attendu. Sélectionnez cette option pour fermer l’incident.
Non, ce n’est pas prévu. Sélectionnez cette option pour conserver l’incident actif, augmenter la gravité et ajouter une balise de confirmation à l’incident.
L’incident est automatiquement mis à jour en fonction de la réponse sélectionnée par le propriétaire de l’appareil.
Pour ajouter un propriétaire d’appareil, modifiez le propriétaire du site sur la page Sites et capteurs dans Defender pour IoT. Pour plus d’informations, consultez Options de gestion du site à partir du portail Azure.
Triage des incidents impliquant des appareils très importants
Nom du playbook : AD4IoT-AutoTriageIncident
Ce playbook met à jour la gravité des incidents en fonction du niveau d’importance des appareils impliqués.
Étapes suivantes
Pour plus d'informations, consultez notre blog :Défense de l’infrastructure critique avec la solution Microsoft Sentinel : Solution de monitoring des menaces IT/OT