Configurer le contenu Microsoft Sentinel
À l’étape précédente du déploiement, vous avez activé Microsoft Sentinel, le monitoring de l’intégrité et les solutions requises. Dans cet article, vous allez apprendre à configurer les différents types de contenu de sécurité Microsoft Sentinel, qui vous permettent de déceler et de surveiller les menaces de sécurité sur vos systèmes, et d’y répondre. Cet article fait partie du Guide de déploiement de Microsoft Sentinel.
Configurer vos stratégies de sécurité
| Étape | Description |
|---|---|
| Configuration des connecteurs de données | En fonction des sources de données sélectionnées lors de la planification de votre déploiement et après activation des solutions appropriées, vous pouvez installer ou configurer vos connecteurs de données. - Si vous utilisez un connecteur existant, recherchez votre connecteur dans la liste complète des connecteurs de données. - Si vous créez un connecteur personnalisé, utilisez ces ressources. - Si vous configurez un connecteur pour ingérer les journaux CEF ou Syslog, passez en revue ces options. |
| Configurer des règles d’analyse | Une fois que vous avez configuré Microsoft Sentinel pour collecter des données dans l’ensemble de votre organisation, vous pouvez commencer à utiliser des règles de détection des menaces ou des règles d’analyse. Sélectionnez les étapes à suivre pour mettre en place et configurer vos règles d’analyse : - Créer une règle de requête planifiée : créez des règles d’analyse personnalisées pour déceler les menaces et les comportements anormaux dans votre environnement. - Mapper des champs de données à des entités : ajoutez ou modifiez des mappages d’entités dans une règle d’analyse existante. - Fournir des détails personnalisés dans les alertes : ajoutez ou modifiez des détails personnalisés dans une règle d’analyse existante. - Personnaliser les détails des alertes : remplacez les propriétés par défaut des alertes par le contenu des résultats de la requête sous-jacente. - Exporter et importer des règles d’analyse : exportez vos règles d’analyse vers des fichiers de modèle Azure Resource Manager (ARM) et importez des règles à partir de ces fichiers. L’action d’exportation entraîne la création d’un fichier JSON dans l’emplacement de téléchargement de votre navigateur. Vous pouvez ensuite le renommer, le déplacer et le gérer comme tout autre fichier. - Créer des règles d’analyse de détection en quasi-temps réel (NRT) : créez des règles d’analyse à temps proche pour la détection des menaces à la minute prête à l’emploi. Ce type de règle a été conçu pour être très réactif en exécutant sa requête à des intervalles d’une minute seulement. - Utiliser des règles d’analyse de détection d’anomalie : utilisez des modèles d’anomalies intégrés qui utilisent des milliers de sources de données et des millions d’événements, ou modifiez les seuils et les paramètres des anomalies au sein de l’interface utilisateur. - Gérer les versions de modèle pour vos règles d’analyse planifiées : suivez les versions de vos modèles de règles d’analyse et rétablissez les règles actives sur les versions de modèle existantes ou mettez-les à jour vers de nouvelles versions. - Gérer le délai d’ingestion dans les règles d’analyse planifiées : découvrez comment le retard d’ingestion peut impacter vos règles d’analyse planifiées et comment vous pouvez les corriger pour combler ces lacunes. |
| Configurer des règles d’automatisation | Créez des règles d’automatisation. Définissez les déclencheurs et les conditions qui déterminent à quel moment votre règle d’automatisation s’exécute, les différentes actions que la règle déclenche, ainsi que les fonctionnalités et fonctionnalités restantes. |
| Configurer des playbooks | Un playbook est un ensemble d’actions de correction exécutable à partir de Microsoft Sentinel en tant que routine, afin d’automatiser et d’orchestrer votre réponse aux menaces. Pour configurer des playbooks, procédez comme suit : - Passez en revue les étapes de création d’un playbook. - Créez des playbooks à partir de modèles : un modèle de playbook est un workflow prédéfini, testé et prêt à l’emploi qui peut être personnalisé pour répondre à vos besoins. Les modèles peuvent également servir de référence dans les bonnes pratiques pour le développement de règles à partir de zéro ou d’inspiration pour les nouveaux scénarios d’automatisation. |
| Configurer des classeurs | Les classeurs fournissent un canevas flexible pour l’analyse des données et la création de rapports visuels enrichis au sein de Microsoft Sentinel. Ces modèles de classeurs vous permettent d’obtenir rapidement des insights sur vos données dès que vous connectez une source de données. Pour configurer des classeurs, procédez comme suit : - Créez des classeurs personnalisés sur vos données. - Utilisez des modèles de classeurs existants disponibles avec des solutions empaquetées. |
| Configurer des watchlists | Les watchlists vous permettent de mettre en corrélation les données d’une source de données que vous fournissez avec les événements de votre environnement Microsoft Sentinel. Pour configurer des watchlists, procédez comme suit : - Créez des watchlists. - Générez des requêtes ou des règles de détection avec des watchlists : comparez les données de n’importe quelle table avec celles d’une watchlist en traitant cette dernière comme une table de jointure et de recherche. Quand vous créez une watchlist, vous définissez le SearchKey. La clé de recherche est le nom d’une colonne dans votre watchlist que vous voulez utiliser comme jointure avec d’autres données ou comme objet fréquent des recherches. |
Étapes suivantes
Dans cet article, vous avez appris à configurer les différents types de contenu de sécurité Microsoft Sentinel.