Automatisation de la réponse aux menaces avec des règles dans Microsoft Sentinel
Les analystes SOC traitent de nombreuses alertes et incidents de sécurité, et le volume de sécurité peut submerger les équipes, ce qui entraîne des alertes ignorées et des incidents non investigués. De nombreuses alertes et incidents peuvent être traités par les mêmes ensembles d’actions de correction prédéfinies, qui peuvent être automatisées pour rendre le SOC plus efficace et libérer des analystes pour des enquêtes plus approfondies.
Utilisez des playbooks Microsoft Sentinel pour exécuter des ensembles préconfigurés d’actions de correction pour faciliter l’automatisation et l’orchestration de votre réponse aux menaces. Exécutez automatiquement des playbooks en réponse à des alertes et incidents spécifiques qui déclenchent une règle d’automatisation configurée, ou manuellement et à la demande pour une entité ou une alerte particulière.
Par exemple, si un compte et une machine sont compromis, un playbook peut isoler automatiquement la machine du réseau et bloquer le compte avant que l’équipe SOC soit informée de l’incident.
Remarque
Étant donné que les règles utilisent des Azure Logic Apps, des frais supplémentaires peuvent s’appliquer. Consultez la page sur la tarification d’Azure Logic Apps pour en savoir plus.
Important
Microsoft Sentinel est disponible dans le cadre de la plateforme d’opérations de sécurité unifiée du portail Microsoft Defender. Microsoft Sentinel est désormais pris en charge dans le portail Defender pour une utilisation en production. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Cas d’usage recommandés
Le tableau suivant répertorie les cas d’usage généraux dans lesquels nous vous recommandons d’utiliser des playbooks Microsoft Sentinel pour automatiser votre réponse aux menaces :
| Cas d’usage | Description |
|---|---|
| Enrichissement | Collectez des données et attachez-les à l’incident pour permettre à votre équipe de prendre des décisions plus intelligentes. |
| Synchronisation bidirectionnelle | Synchronisez les incidents Microsoft Sentinel avec d’autres systèmes de tickets. Par exemple, créez une règle d’automatisation pour tous les cas de création d’incident, et joignez un playbook qui ouvre un ticket dans ServiceNow. |
| Orchestration | Utilisez la plateforme de conversation de l’équipe SOC pour mieux contrôler la file d’attente d’incidents. Par exemple, envoyez un message à votre canal d’opérations de sécurité dans Microsoft Teams ou Slack pour vous assurer que vos analystes de sécurité sont conscients de l’incident. |
| Response | Répondez immédiatement aux menaces, avec des dépendances humaines minimales, par exemple lorsqu’un utilisateur ou une machine compromis est indiqué. Vous pouvez également déclencher manuellement une série d’étapes automatisées pendant une investigation ou lors de la chasse. |
Pour plus d’informations, consultez Cas d’utilisation, modèles et exemples de playbook recommandés.
Prérequis
Les rôles suivants sont nécessaires pour utiliser Azure Logic Apps en vue de créer et d’exécuter des playbooks dans Microsoft Sentinel.
| Rôle | Description |
|---|---|
| Propriétaire | Vous permet d’accorder l’accès aux playbooks dans le groupe de ressources. |
| Contributeur d’application logique | Vous permet de gérer des applications logiques et d’exécuter des playbooks. Ne vous permet pas d’accorder l’accès à des playbooks. |
| Opérateur d’application logique | Vous permet de lire, d’activer et de désactiver des applications logiques. Ne vous permet pas de modifier ni de mettre à jour des applications logiques. |
| Contributeur Microsoft Sentinel | Vous permet de joindre un playbook à une règle d’analyse ou d’automatisation. |
| Répondeur Microsoft Sentinel | Vous permet d’accéder à un incident afin d’exécuter un playbook manuellement, mais ne vous permet pas d’exécuter le playbook. |
| Opérateur de playbook Microsoft Sentinel | Vous permet d’exécuter un playbook manuellement. |
| Contributeur Microsoft Sentinel Automation | Permet aux règles d’automatisation d’exécuter des playbooks. Ce rôle n’est pas utilisé à d’autres fins. |
L’onglet Playbooks actifs de la page Automatisation affiche tous les playbooks actifs disponibles pour les abonnements sélectionnés. Par défaut, vous ne pouvez utiliser un playbook que dans l’abonnement auquel il appartient, sauf si vous accordez spécifiquement à Microsoft Sentinel des autorisations sur le groupe de ressources du playbook.
Autorisations supplémentaires requises pour que Microsoft Sentinel puisse exécuter des playbooks
Microsoft Sentinel utilise un compte de service pour exécuter des playbooks sur des incidents, renforcer la sécurité et activer l’API de règles d’automatisation afin de prendre en charge les cas CI/CD. Ce compte de service est utilisé pour les playbooks déclenchés par un incident ou lorsque vous exécutez manuellement un playbook sur un incident spécifique.
En plus de vos propres rôles et autorisations, ce compte de service Microsoft Sentinel doit avoir son propre ensemble d’autorisations sur le groupe de ressources où réside le playbook, sous la forme du rôle Contributeur Automatisation Microsoft Sentinel. Une fois titulaire de ce rôle, Microsoft Sentinel peut exécuter n’importe quel playbook dans le groupe de ressources approprié, manuellement ou à partir d’une règle d’automatisation.
Pour accorder à Microsoft Sentinel les autorisations requises, vous devez disposer d’un rôle Propriétaire ou Administrateur de l’accès utilisateur. Pour exécuter les playbooks, vous avez également besoin du rôle Contributeur d’application logique sur le groupe de ressources contenant les playbooks que vous souhaitez exécuter.
Modèles de playbook (préversion)
Important
Les modèles de playbook sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Les modèles de playbooks sont des flux de travail prédéfinis, testés et prêts à l’emploi qui ne sont pas utilisables en tant que playbooks eux-mêmes, mais qui sont prêts à être personnalisés pour répondre à vos besoins. Nous vous recommandons également d’utiliser les modèles de playbook comme référence pour les meilleures pratiques lors du développement de playbooks à partir de zéro, ou comme source d’inspiration pour de nouveaux scénarios d’automatisation.
Accédez aux modèles de playbook à partir des sources suivantes :
| Emplacement | Description |
|---|---|
| Page d’automatisation de Microsoft Sentinel | L’onglet Modèles de playbook répertorie tous les playbooks installés. Créez un ou plusieurs playbooks actifs à l’aide du même modèle. Quand une nouvelle version du modèle est publiée, les playbooks actifs créés à partir de ce modèle apparaissent dans l’onglet Playbooks actifs avec une étiquette supplémentaire indiquant qu’une mise à jour est disponible. |
| Page du hub de contenu Microsoft Sentinel | Les modèles de playbooks sont disponibles dans le cadre de solutions de produits ou de contenu autonome que vous installez à partir du hub de contenu. Pour plus d'informations, consultez les pages suivantes : À propos du contenu et des solutions Microsoft Sentinel Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi |
| GitHub | Le référentiel GitHub Microsoft Sentinel contient de nombreux autres modèles de playbook. Sélectionnez Déployer sur Azure pour déployer un modèle sur votre abonnement Azure. |
Techniquement, un modèle de playbook est un modèle Azure Resource Manager (ARM) composé de plusieurs ressources : un flux de travail Azure Logic Apps et des connexions d’API pour chaque connexion impliquée.
Pour plus d’informations, consultez l’article suivant :
- Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles de contenu
- Recommander des modèles de playbook
- Azure Logic Apps pour les playbooks Microsoft Sentinel
Flux de travail de création et d’utilisation de playbooks
Utilisez le flux de travail suivant pour créer et exécuter des playbooks Microsoft Sentinel :
Définissez votre scénario d’automatisation. Nous vous recommandons de consulter les cas d’usage recommandés des playbooks et les modèles de playbook pour commencer.
Si vous n’utilisez pas de modèle, créez votre playbook et générez votre application logique. Pour plus d’informations, consultez Créer et gérer des playbooks Microsoft Sentinel.
Testez votre application logique en l’exécutant manuellement. Pour plus d’informations, consultez Exécuter un playbook manuellement ou à la demande.
Configurez votre playbook pour qu’il s’exécute automatiquement sur une nouvelle création d’alerte ou d’incident, ou exécutez-le manuellement en fonction des besoins de vos processus. Pour plus d’informations, consultez Répondre aux menaces avec les playbooks Microsoft Sentinel.
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour