Automatisation dans Microsoft Sentinel : Orchestration, automatisation et réponse de sécurité (SOAR)

Les équipes SIEM (Security Information and Event Management) et soc (Security Operations Center) sont généralement inondées d’alertes et d’incidents de sécurité sur une base régulière, à des volumes si importants que le personnel disponible est saturé. Cela se produit trop souvent dans les situations où de nombreuses alertes sont ignorées et de nombreux incidents ne sont pas examinés, ce qui rend les organization vulnérables aux attaques qui passent inaperçues.

Microsoft Sentinel, en plus d’être un système SIEM, est également une plateforme d’orchestration, d’automatisation et de réponse de sécurité (SOAR). L’un de ses principaux objectifs est d’automatiser toutes les tâches récurrentes et prévisibles d’enrichissement, de réponse et de correction qui sont sous la responsabilité de votre centre des opérations de sécurité et du personnel (SOC/SecOps), en libérant du temps et des ressources pour une investigation plus approfondie des menaces avancées et la chasse à celles-ci.

Cet article décrit les fonctionnalités SOAR de Microsoft Sentinel et montre comment l’utilisation de règles d’automatisation et de playbooks en réponse aux menaces de sécurité augmente l’efficacité de votre SOC et vous fait gagner du temps et des ressources.

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Règles d’automatisation

Microsoft Sentinel utilise des règles d’automatisation pour permettre aux utilisateurs de gérer l’automatisation de la gestion des incidents à partir d’un emplacement central. Utilisez des règles d’automatisation pour :

• Attribuer une automatisation plus avancée aux incidents et aux alertes à l’aide de playbooks
• Étiqueter, attribuer ou fermer automatiquement les incidents sans playbook
• Automatiser les réponses pour plusieurs règles d’analyse à la fois
• Créer des listes de tâches que vos analystes peuvent effectuer lors du triage, de l’examen et de la correction des incidents
• Contrôler l’ordre des actions exécutées

Nous vous recommandons d’appliquer des règles d’automatisation lors de la création ou de la mise à jour d’incidents afin de simplifier davantage l’automatisation et de simplifier les workflows complexes pour vos processus d’orchestration des incidents.

Pour plus d’informations, consultez Automatiser la réponse aux menaces dans Microsoft Sentinel avec des règles d’automatisation.

Playbooks

Un playbook est une collection d’actions et de logiques de réponse et de correction qui peuvent être exécutées à partir de Microsoft Sentinel en tant que routine. Un playbook peut :

• Aidez à automatiser et orchestrer votre réponse aux menaces
• Intégrer à d’autres systèmes, internes et externes
• Être configuré pour s’exécuter automatiquement en réponse à des alertes ou des incidents spécifiques, ou s’exécuter manuellement à la demande, par exemple en réponse à de nouvelles alertes

Dans Microsoft Sentinel, les playbooks sont basés sur des flux de travail intégrés à Azure Logic Apps, un service cloud qui vous permet de planifier, d’automatiser et d’orchestrer des tâches et des workflows entre les systèmes de l’entreprise. Cela signifie que les playbooks peuvent tirer parti de toute la puissance et de la personnalisation des fonctionnalités d’intégration et d’orchestration de Logic Apps, des outils de conception faciles à utiliser, ainsi que de la scalabilité, de la fiabilité et du niveau de service d’un service de niveau 1 Azure.

Pour plus d’informations, consultez Automatiser la réponse aux menaces avec des playbooks dans Microsoft Sentinel.

Automatisation dans le portail Microsoft Defender

Notez les détails suivants sur le fonctionnement de l’automatisation pour Microsoft Sentinel dans le portail Defender. Si vous êtes un client existant qui passe du Portail Azure au portail Defender, vous pouvez noter des différences dans la façon dont l’automatisation fonctionne dans votre espace de travail après l’intégration au portail Defender.

Les fonctionnalités	Description
Règles d’automatisation avec déclencheurs d’alerte	Dans le portail Defender, les règles d’automatisation avec déclencheurs d’alerte agissent uniquement sur Microsoft Sentinel alertes. Pour plus d’informations, consultez Déclencheur de création d’alerte.
Règles d’automatisation avec déclencheurs d’incident	Dans le Portail Azure et le portail Defender, la propriété condition du fournisseur d’incidents est supprimée, car tous les incidents ont Microsoft XDR comme fournisseur d’incidents (la valeur dans le champ ProviderName). À ce stade, toutes les règles d’automatisation existantes s’exécutent sur les incidents Microsoft Sentinel et Microsoft Defender XDR, y compris ceux où la condition du fournisseur d’incidents est définie sur uniquement Microsoft Sentinel ou Microsoft 365 Defender. Toutefois, les règles d’automatisation qui spécifient un nom de règle d’analytique spécifique s’exécutent uniquement sur les incidents qui contiennent des alertes créées par la règle d’analyse spécifiée. Cela signifie que vous pouvez définir la propriété de condition de nom de règle analytique sur une règle d’analyse qui existe uniquement dans Microsoft Sentinel pour limiter l’exécution de votre règle sur les incidents uniquement dans Microsoft Sentinel. En outre, après l’intégration au portail Defender, la table SecurityIncident n’inclut plus de champ Description . Donc: - Si vous utilisez ce champ Description comme condition pour une règle d’automatisation avec un déclencheur de création d’incident, cette règle d’automatisation ne fonctionnera pas après l’intégration au portail Defender. Dans ce cas, veillez à mettre à jour la configuration de manière appropriée. Pour plus d’informations, consultez Conditions du déclencheur d’incident. - Si vous avez une intégration configurée avec un système de ticket externe, comme ServiceNow, la description de l’incident est manquante.
Latence dans les déclencheurs de playbook	Jusqu’à 5 minutes peuvent être nécessaires pour que les incidents Microsoft Defender apparaissent dans Microsoft Sentinel. Si ce délai est présent, le déclenchement du playbook est également retardé.
Modifications apportées aux noms d’incident existants	Le portail Defender utilise un moteur unique pour mettre en corrélation les incidents et les alertes. Lors de l’intégration de votre espace de travail au portail Defender, les noms d’incidents existants peuvent être modifiés si la corrélation est appliquée. Pour vous assurer que vos règles d’automatisation s’exécutent toujours correctement, nous vous recommandons donc d’éviter d’utiliser des titres d’incident comme critères de condition dans vos règles d’automatisation, et de suggérer à la place d’utiliser le nom de toute règle d’analyse qui a créé des alertes incluses dans l’incident, et des balises si davantage de spécificité est nécessaire.
Mise à jour par champ	Après l’intégration de votre espace de travail, le champ Mis à jour par contient un nouvel ensemble de valeurs prises en charge, qui n’incluent plus Microsoft 365 Defender. Dans les règles d’automatisation existantes, Microsoft 365 Defender est remplacé par une valeur autre après l’intégration de votre espace de travail. Si plusieurs modifications sont apportées au même incident au cours d’une période de 5 à 10 minutes, une seule mise à jour est envoyée à Microsoft Sentinel, avec uniquement la modification la plus récente. Pour plus d’informations, consultez Déclencheur de mise à jour d’incident.
Création de règles d’automatisation directement à partir d’un incident	La création de règles d’automatisation directement à partir d’un incident n’est prise en charge que dans le Portail Azure. Si vous travaillez dans le portail Defender, créez vos règles d’automatisation à partir de zéro à partir de la page Automation .
Règles de création d’incident Microsoft	Les règles de création d’incidents Microsoft ne sont pas prises en charge dans le portail Defender. Pour plus d’informations, consultez Microsoft Defender XDR incidents et Règles de création d’incidents Microsoft.
Exécution de règles d’automatisation à partir du portail Defender	Jusqu’à 10 minutes peuvent être nécessaires entre le moment où une alerte est déclenchée et qu’un incident est créé ou mis à jour dans le portail Defender et le moment où une règle d’automatisation est exécutée. Ce décalage est dû au fait que l’incident est créé dans le portail Defender, puis transféré à Microsoft Sentinel pour la règle d’automatisation.
Onglet Playbooks actifs	Après l’intégration au portail Defender, par défaut, l’onglet Playbooks actifs affiche un filtre prédéfini avec l’abonnement de l’espace de travail intégré. Dans le Portail Azure, ajoutez des données pour d’autres abonnements à l’aide du filtre d’abonnement. Pour plus d’informations, consultez Créer et personnaliser Microsoft Sentinel playbooks à partir de modèles.
Exécution manuelle de playbooks à la demande	Les procédures suivantes ne sont actuellement pas prises en charge dans le portail Defender : Exécuter un playbook manuellement sur une alerte Exécuter un playbook manuellement sur une entité
L’exécution de playbooks sur les incidents nécessite Microsoft Sentinel synchronisation	Si vous essayez d’exécuter un playbook sur un incident à partir du portail Defender et que vous voyez le message « Impossible d’accéder aux données liées à cette action. Actualisez l’écran en quelques minutes ». cela signifie que l’incident n’est pas encore synchronisé avec Microsoft Sentinel. Actualisez la page d’incident une fois l’incident synchronisé pour exécuter correctement le playbook.
Incidents : ajout d’alertes aux incidents / Suppression des alertes des incidents	Étant donné que l’ajout ou la suppression d’alertes à des incidents n’est pas pris en charge après l’intégration de votre espace de travail au portail Defender, ces actions ne sont pas non plus prises en charge dans les playbooks. Pour plus d’informations, consultez Comprendre comment les alertes sont corrélées et les incidents fusionnés dans le portail Defender.
intégration Microsoft Defender XDR dans plusieurs espaces de travail	Si vous avez intégré des données XDR à plusieurs espaces de travail dans un seul locataire, les données sont désormais ingérées uniquement dans l’espace de travail principal du portail Defender. Transférez les règles d’automatisation vers l’espace de travail approprié pour les maintenir en cours d’exécution.
Automatisation et moteur de corrélation	Le moteur de corrélation peut combiner des alertes provenant de plusieurs signaux en un seul incident, ce qui peut entraîner la réception automatique de données que vous n’aviez pas anticipées. Nous vous recommandons de passer en revue vos règles d’automatisation pour vous assurer que vous voyez les résultats attendus.

Contenu connexe

• Automatiser la réponse aux menaces dans Microsoft Sentinel avec des règles d’automatisation
• Automatiser la réponse aux menaces avec des playbooks dans Microsoft Sentinel
• Créer et utiliser des règles d’automatisation Microsoft Sentinel pour gérer la réponse