Guide de déploiement de Microsoft Sentinel
Cet article présente les activités qui vous aident à planifier, à déployer, puis à affiner votre déploiement Microsoft Sentinel.
Vue d’ensemble de la planification et de la préparation
Cette section présente les activités et les prérequis qui vous aident à planifier et à vous préparer avant le déploiement de Microsoft Sentinel.
La phase de planification et de préparation est généralement supervisée par un architecte SOC ou des rôles associés.
Étape | Détails |
---|---|
1. Vue d’ensemble et prérequis de la planification et de la préparation | Passez en revue les prérequis du locataire Azure. |
2. Planifier l’architecture de l’espace de travail | Concevez votre espace de travail Log Analytics activé pour Microsoft Sentinel. Tenez compte de paramètres tels que les suivants : – Savoir si vous allez utiliser un seul ou plusieurs locataires – Connaître toutes exigences de conformité que vous avez pour la collecte et le stockage des données – Connaître le mode de contrôle de l’accès aux données Microsoft Sentinel Consultez ces articles : 1. Concevoir l’architecture de l’espace de travail 3. Examiner des exemples de conceptions de l’espace de travail 4. Préparation pour plusieurs espaces de travail |
3. Classer par ordre de priorité les connecteurs de données | Déterminez les sources de données dont vous avez besoin et les critères de taille des données pour vous aider à projeter avec précision le budget et la chronologie de votre déploiement. Vous pouvez déterminer ces informations lors de la révision de vos cas d’usage métier ou en évaluant une solution SIEM que vous avez déjà en place. Si vous disposez déjà d’une solution SIEM, analysez vos données pour comprendre quelles sources de données ont le plus de valeur et doivent être ingérées dans Microsoft Sentinel. |
4. Planifier les rôles et les autorisations | Utilisez le contrôle d’accès en fonction du rôle (RBAC) Azure pour créer et attribuer des rôles au sein de votre équipe en charge des opérations de sécurité afin d’accorder l’accès approprié à Microsoft Sentinel. Les différents rôles vous donnent un contrôle précis sur ce que les utilisateurs de Microsoft Sentinel peuvent voir et faire. Des rôles Azure peuvent être attribués directement dans l’espace de travail, ou dans un abonnement ou un groupe de ressources auquel appartient l’espace de travail, dont Microsoft Sentinel hérite. |
5. Planifier les coûts | Commencez à planifier votre budget, en tenant compte des implications sur les coûts pour chaque scénario planifié. Assurez-vous que votre budget couvre le coût de l’ingestion des données pour Microsoft Sentinel et Azure Log Analytics, tous les playbooks à déployer, etc. |
Vue d’ensemble du déploiement
La phase de déploiement est généralement effectuée par un analyste SOC ou des rôles associés.
Étape | Détails |
---|---|
1. Activer Microsoft Sentinel, l’intégrité et l’audit, et le contenu | Activez Microsoft Sentinel, activez la fonctionnalité d’intégrité et d’audit, et activez les solutions et le contenu que vous avez identifiés en fonction des besoins de votre organisation. Pour intégrer Microsoft Sentinel à l’aide de l’API, consultez la dernière version prise en charge de Sentinel Onboarding States. |
2. Configurer le contenu | Configurez les différents types de contenu de sécurité Microsoft Sentinel, qui vous permettent de détecter, de superviser et de répondre aux menaces de sécurité sur vos systèmes : connecteurs de données, règles d’analytique, règles d’automatisation, playbooks, classeurs et watchlists. |
3. Configurer une architecture inter-espaces de travail | Si votre environnement nécessite plusieurs espaces de travail, vous pouvez maintenant les configurer dans le cadre de votre déploiement. Dans cet article, vous allez apprendre à configurer Microsoft Sentinel pour l’étendre à plusieurs espaces de travail et locataires. |
4. Activer l’analyse du comportement des utilisateurs et des entités (UEBA) | Activez et utilisez la fonctionnalité UEBA pour simplifier le processus d’analyse. |
5. Configurer la conservation des données interactive et à long terme | Configurez la conservation des données interactive et à long terme pour vous assurer que votre organisation conserve les données importantes à long terme. |
Ajuster et réviser : liste de contrôle pour le post-déploiement
Passez en revue la liste de contrôle post-déploiement qui vous permet de vérifier que votre processus de déploiement fonctionne comme prévu et que le contenu de sécurité que vous avez déployé fonctionne et protège votre organisation en fonction de vos besoins et de vos cas d’usage.
La phase d’ajustement et de révision est généralement effectuée par un ingénieur SOC ou des rôles associés.
Étape | Actions |
---|---|
✅Passer en revue les incidents et le processus d’incident | - Vérifiez si les incidents et le nombre d’incidents que vous voyez reflètent ce qui se passe réellement dans votre environnement. - Vérifiez si le processus d’incident de votre SOC fonctionne pour gérer efficacement les incidents : avez-vous attribué différents types d’incidents à différents niveaux/couches du SOC ? En savoir plus sur la navigation et l’examen des incidents et sur l’utilisation des tâches d’incident. |
✅Passer en revue et ajuster les règles d’analyse | - En fonction de votre révision des incidents, vérifiez si vos règles d’analyse sont déclenchées comme prévu et si elles reflètent les types d’incidents qui vous intéressent. - Gérez les faux positifs à l’aide de l’automatisation ou en modifiant les règles analytiques planifiées. - Microsoft Sentinel fournit des fonctionnalités d’ajustement intégrées pour vous aider à analyser vos règles d’analyse. Passez en revue ces insights intégrés et implémentez les recommandations pertinentes. |
✅Passer en revue les règles d’automatisation et les playbooks | - Comme pour les règles d’analyse, vérifiez que vos règles d’automatisation fonctionnent comme prévu et reflètent les incidents qui vous inquiètent et vous intéressent. - Vérifiez si vos playbooks répondent aux alertes et aux incidents comme prévu. |
✅Ajouter des données à des watchlists | Vérifiez que vos watchlists sont à jour. Si des modifications se sont produites dans votre environnement, telles que de nouveaux utilisateurs ou des cas d’usage, mettez à jour vos watchlists en conséquence. |
✅Passer en revue les niveaux d’engagement | Passez en revue les niveaux d’engagement que vous avez initialement configurés et vérifiez que ces niveaux reflètent votre configuration actuelle. |
✅Effectuer le suivi des coûts d’ingestion | Pour suivre les coûts d’ingestion, utilisez l’un des classeurs suivants : - Le classeur Rapport sur l’utilisation de l’espace de travail fournit des statistiques sur la consommation, le coût et l’utilisation des données de votre espace de travail. Le classeur indique l’état d’ingestion des données de l’espace de travail et la quantité de données gratuites et facturables. Vous pouvez utiliser la logique du classeur pour surveiller l’ingestion de données et les coûts et pour créer des vues personnalisées et des alertes basées sur des règles. - Le classeur Coût Microsoft Sentinel offre une vue plus ciblée des coûts Microsoft Sentinel, notamment les données d’ingestion et de rétention, les données d’ingestion pour les sources de données éligibles, les informations de facturation Logic Apps, etc. |
✅Ajuster les règles de collecte de données (DCR) | - Vérifiez que vos DCR reflètent vos besoins d’ingestion de données et vos cas d’usage. - Si nécessaire, implémentez une transformation au moment de l’ingestion pour filtrer les données non pertinentes avant même qu’elles ne soient stockées dans votre espace de travail. |
✅Vérifier les règles d’analyse par rapport à l’infrastructure MITRE | Vérifiez votre couverture MITRE dans la page Microsoft Sentinel MITRE : Affichez les détections déjà actives dans votre espace de travail, et celles que vous pouvez configurer, pour comprendre la couverture de sécurité de votre organisation, basée sur les tactiques et techniques de l’infrastructure MITRE ATT&CK®. |
✅Rechercher les activités suspectes | Assurez-vous que votre SOC dispose d’un processus pour la chasse proactive aux menaces. La chasse est un processus où les analystes de sécurité recherchent des menaces non détectées et des comportements malveillants. Ils déterminent sur quoi cibler leurs actions en créant une hypothèse, en recherchant des données et en validant cette hypothèse. Les actions peuvent inclure la création de nouvelles détections, d’une nouvelle veille des menaces ou la mise en place d’un nouvel incident. |
Articles connexes
Dans cet article, vous avez passé en revue les activités dans chacune des phases qui vous aident à déployer Microsoft Sentinel.
Selon la phase en cours, choisissez les étapes suivantes appropriées :
- Planifier et préparer : Prérequis pour déployer Azure Sentinel
- Déployer : Activer Microsoft Sentinel, ainsi que les fonctionnalités et le contenu initiaux
- Ajuster et examiner – Naviguer et examiner les incidents dans Microsoft Sentinel
Après avoir terminé votre déploiement de Microsoft Sentinel, continuez à explorer les fonctionnalités de Microsoft Sentinel en passant en revue les didacticiels qui couvrent les tâches courantes :
- Transférer des données Syslog vers un espace de travail Log Analytics avec Microsoft Sentinel à l’aide de l’Agent Azure Monitor
- Configurer la stratégie de conservation des données
- Détecter les menaces avec des règles d’analyse
- Vérifier et enregistrer automatiquement les informations de réputation des adresses IP dans les incidents
- Répondre aux menaces au moyen de l’automatisation
- Extraire des entités d’incident avec des actions non natives
- Investiguer avec UEBA
- Créer et surveiller une Confiance Zéro
Passez en revue le guide opérationnel sur Microsoft Sentinel pour les activités SOC régulières, nous vous recommandons d’effectuer quotidiennement, hebdomadairement et mensuellement.