Entrainement
Certification
Microsoft Certified: Security Operations Analyst Associate - Certifications
Investiguez, recherchez et atténuez les menaces avec Microsoft Sentinel, Microsoft Defender pour le cloud et Microsoft 365 Defender.
Ce navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
Les équipes SIEM (Security Information and Event Management) et SOC (Security Operations Center) sont généralement inondées d’alertes et d’incidents de sécurité régulièrement, à des volumes si volumineux que le personnel disponible est submergé. Il en résulte trop souvent des situations où de nombreuses alertes sont ignorées et où les incidents ne peuvent pas être examinés. L’organisation reste donc vulnérable aux attaques qui passent inaperçues.
Microsoft Sentinel, en plus d’être un système SIEM, est également une plateforme pour l’orchestration, l’automatisation et la réponse dans le domaine de la sécurité (SOAR). Un de ses objectifs principaux est d’automatiser les tâches d’enrichissement, de réponse et de correction récurrentes et prévisibles qui sont la responsabilité du centre d’opérations de sécurité et du personnel (SOC/SecOps), en libérant du temps et des ressources en vue d’une investigation plus approfondie et de la chasse aux menaces avancées.
Cet article décrit les fonctionnalités SOAR de Microsoft Sentinel et montre comment utiliser des règles d’automatisation et des playbooks en réponse aux menaces de sécurité augmente l’efficacité de votre SOC et vous permet de gagner du temps et des ressources.
Important
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Microsoft Sentinel utilise des règles d’automatisation pour permettre aux utilisateurs de gérer l’automatisation du traitement des incidents à partir d’un emplacement central. Utilisez des règles d’automatisation pour :
Nous vous recommandons d’appliquer des règles d’automatisation lorsque des incidents sont créés ou mis à jour pour simplifier davantage l’automatisation et les flux de travail complexes pour vos processus d’orchestration des incidents.
Pour plus d’informations, consultez Automatisation de la réponse dans Microsoft Sentinel via l’automatisation des règles.
Un playbook est un ensemble logique d’actions de réponse et de correction qui peuvent être exécutées à partir de Microsoft Sentinel en tant que routine. Un playbook peut :
Dans Microsoft Sentinel, les playbooks sont basés sur des workflows intégrés à Azure Logic Apps, un service cloud qui vous permet de planifier, d’automatiser et d’orchestrer des tâches et des flux de travail à travers l’entreprise. Cela signifie que les playbooks peuvent tirer parti de toute la puissance et de la personnalisation des fonctionnalités d’intégration et d’orchestration de Logic Apps, ainsi que d’outils de conception faciles à utiliser, tout en bénéficiant de l’évolutivité, de la fiabilité et du niveau de service d’un service Azure de niveau 1.
Pour plus d’informations, consultez Automatisation de la réponse aux menaces avec des playbooks dans Microsoft Sentinel.
Après avoir intégré votre espace de travail Microsoft Sentinel au portail Defender, notez les différences suivantes en ce qui concerne le fonctionnement de l’automatisation dans votre espace de travail :
Fonctionnalités | Description |
---|---|
Règles d’automatisation avec déclencheurs d’alerte | Dans le portail Defender, les règles d’automatisation basées sur des déclencheurs d’alerte agissent uniquement sur les alertes Microsoft Sentinel. Pour plus d’informations, consultez la rubrique Création de déclencheurs d’alerte. |
Règles d’automatisation déclenchées par un incident | Dans le portail Azure et le portail Defender, la propriété de condition Fournisseur d’incident est supprimée, car tous les incidents ont pour fournisseur d’incidents Microsoft Defender XDR (la valeur dans le champ ProviderName). À ce stade, toutes les règles d’automatisation existantes s’exécutent à la fois sur les incidents Microsoft Sentinel et Microsoft Defender XDR, y compris celles où la condition du fournisseur d’incident est définie uniquement sur Microsoft Sentinel ou Microsoft 365 Defender. Toutefois, les règles d’automatisation qui spécifient un nom de règle d’analyse spécifique s’exécutent uniquement sur les incidents contenant des alertes créées par la règle d’analyse spécifiée. Cela signifie que vous pouvez définir la propriété de condition du nom de la règle analytique sur une règle analytique qui existe uniquement dans Microsoft Sentinel pour que votre règle ne s’exécute que sur des incidents dans Microsoft Sentinel. Pour plus d’informations, consultez la rubrique Conditions de déclenchement d’incidents. |
Changements apportés aux noms d’incidents existants | Le portail Defender utilise un moteur unique pour corréler les incidents et les alertes. Lors de l’intégration de votre espace de travail au portail Defender, les noms d’incidents existants peuvent être modifiés si la corrélation est appliquée. Pour vous assurer que vos règles d’automatisation s’exécutent toujours correctement, nous vous recommandons d’éviter d’utiliser les titres des incidents comme critères de condition dans vos règles d’automatisation. Nous vous suggérons plutôt d’utiliser le nom de la règle d’analyse ayant créé les alertes incluses dans l’incident, ainsi que des balises si vous devez être plus spécifique. |
Mise à jour par champ | Pour plus d’informations, consultez la rubrique Déclenchement de mise à jour de l’incident. |
Règles d’automatisation qui ajoutent des tâches d’incident | Si une règle d’automatisation ajoute une tâche d’incident, la tâche s’affiche uniquement sur le Portail Azure. |
Règle de création d’incident Microsoft | Les règles de création d’incidents Microsoft ne sont pas prises en charge dans le portail Defender. Pour plus d’informations, consultez Incidents Microsoft Defender XDR et règles de création d’incidents Microsoft. |
Exécution de règles d’automatisation à partir du portail Defender | Il peut s’écouler jusqu’à 10 minutes entre le moment où une alerte est déclenchée et où un incident est créé ou mis à jour dans le portail Defender et le moment où une règle d’automatisation est exécutée. Ce décalage est dû au fait que l’incident est créé dans le portail Defender, puis transmis à Microsoft Sentinel pour la règle d’automatisation. |
Onglet Playbooks actifs | Après l’intégration au portail Defender, l’onglet Playbooks actifs affiche par défaut un filtre prédéfini avec l’abonnement de l’espace de travail intégré. Sur le Portail Azure, ajoutez des données pour d’autres abonnements à l’aide du filtre d’abonnement. Pour plus d’informations, consultez la rubrique Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles de contenu. |
Exécution manuelle de playbooks à la demande | Les procédures suivantes ne sont actuellement pas prises en charge dans le portail Defender : |
Exécution de playbooks sur les incidents nécessite la synchronisation de Microsoft Sentinel | Si vous essayez d’exécuter un guide opérationnel sur un incident à partir du portail Defender et que vous voyez le message « Impossible d’accéder aux données associées à cette action. Actualisez l’écran en quelques minutes. », cela signifie que l’incident n’est pas encore synchronisé avec Microsoft Sentinel. Actualisez la page d’incident après la synchronisation de l’incident pour exécuter le guide opérationnel avec succès. |
Incidents : ajout d’alertes à des incidents / Suppression des alertes des incidents |
Étant donné que l’ajout ou la suppression d’alertes dans des incidents n’est pas pris en charge après l’intégration de votre espace de travail au portail Defender, ces actions ne sont pas non plus prises en charge dans les playbooks. Pour plus d’informations, voir Différences de capacités entre les portails. |
Entrainement
Certification
Microsoft Certified: Security Operations Analyst Associate - Certifications
Investiguez, recherchez et atténuez les menaces avec Microsoft Sentinel, Microsoft Defender pour le cloud et Microsoft 365 Defender.