Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
L’équipe de votre centre des opérations de sécurité (SOC) utilisera des solutions centralisées d’Informations de sécurité et gestion d’événements (SIEM) et d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) pour protéger votre patrimoine numérique de plus en plus décentralisé.
Cet article décrit l’approche et les méthodes à prendre en considération lors du déploiement de Microsoft Sentinel dans une configuration côte à côte avec votre SIEM existant.
Approche côte à côte
Utilisez une architecture côte à côte soit comme phase de transition à court terme qui mène à un SIEM hébergé dans le cloud, soit comme modèle opérationnel à moyen et long terme, en fonction des besoins SIEM de votre organisation.
Par exemple, alors que l’architecture recommandée consiste à utiliser une architecture côte à côte juste le temps d’effectuer une migration vers Microsoft Sentinel, votre organisation peut souhaiter conserver sa configuration côte à côte plus longtemps, par exemple si vous n’êtes pas prêt à abandonner votre SIEM hérité. En règle générale, les organisations qui utilisent une configuration côte à côte à long terme ne se servent de Microsoft Sentinel que pour analyser leurs données cloud. De nombreuses organisations évitent d’exécuter plusieurs solutions d’analyse locales en raison de leur coût et de leur complexité.
Microsoft Sentinel propose une tarification à l’utilisation et une infrastructure flexible, ce qui donne aux équipes SOC le temps de s’adapter au changement. Déployez et testez votre contenu à un rythme qui fonctionne le mieux pour votre organisation et découvrez comment effectuer une migration complète vers Microsoft Sentinel.
Prenez en compte les avantages et les inconvénients de chaque approche lorsque vous décidez laquelle utiliser pour votre migration.
Approche à court terme
Le tableau suivant décrit les avantages et inconvénients d’utiliser une architecture côte à côte pendant une période relativement courte.
| Avantages | Inconvénients |
|---|---|
| • Donne au personnel SOC le temps de s’adapter aux nouveaux processus à mesure que les charges de travail et les analyses migrent. • Obtient une corrélation profonde sur toutes les sources de données pour les scénarios de chasse. • Élimine la nécessité d’effectuer des analyses entre les SIEM, de créer des règles de transfert et de fermer des investigations à deux endroits différents. • Permet à votre équipe SOC de déclasser rapidement les solutions SIEM héritées, en éliminant les coûts liés à l’infrastructure et aux licences. |
• Peut nécessiter une courbe d’apprentissage abrupte pour le personnel SOC. |
Approche à moyen et long terme
Le tableau suivant décrit les avantages et inconvénients d’utiliser une architecture côte à côte pendant une période relativement moyenne ou plus longue.
| Avantages | Inconvénients |
|---|---|
| • Vous permet d’utiliser les avantages clés de Microsoft Sentinel, comme les capacités d’intelligence artificielle, de Machine Learning et d’investigation, sans vous éloigner complètement de votre solution SIEM héritée. • Vous permet d’économiser de l’argent par rapport à votre solution SIEM héritée, en analysant les données cloud ou Microsoft dans Microsoft Sentinel. |
• Augmente la complexité en séparant les analyses sur différentes bases de données. • Fractionne la gestion des cas et les investigations pour les incidents multienvironnements. • Engendre des coûts de personnel et d’infrastructure plus élevés. • Exige que le personnel SOC connaisse deux solutions SIEM différentes. |
Méthode côte à côte
Déterminez comment vous allez configurer et utiliser Microsoft Sentinel côte à côte avec votre SIEM hérité.
Méthode 1 : Envoi d’alertes d’un SIEM hérité à Microsoft Sentinel (recommandé)
Envoyez des alertes ou des indicateurs d’activité anormale de votre solution SIEM héritée à Microsoft Sentinel.
- Ingérez et analysez les données cloud dans Microsoft Sentinel.
- Utilisez votre SIEM héritée pour analyser les données locales et générer des alertes.
- Transférez les alertes de votre solution SIEM locale vers Microsoft Sentinel pour établir une interface unique.
Par exemple, transférez les alertes avec Logstash, des API ou Syslog et stockez-les au format JSON dans votre espace de travail Log Analytics Microsoft Sentinel.
En envoyant les alertes de votre solution SIEM héritée à Microsoft Sentinel, votre équipe peut les croiser et les examiner dans Microsoft Sentinel. L’équipe peut toujours accéder à la SIEM héritée pour une investigation plus approfondie, le cas échéant. Pendant ce temps, vous pouvez continuer à migrer des sources de données sur une période de transition prolongée.
Cette méthode de déploiement recommandée, côte à côte, vous permet de tirer pleinement parti de Microsoft Sentinel et de déployer les sources de données au rythme qui convient à votre organisation. Cette approche évite de dupliquer les coûts de stockage et d’ingestion des données pendant que vous transférez vos sources de données.
Pour plus d'informations, consultez les pages suivantes :
- Migration des délits QRadar vers Microsoft Sentinel
- Exportation de données de Splunk vers Microsoft Sentinel
Si vous souhaitez effectuer une migration complète vers Microsoft Sentinel, consultez le guide de migration complet.
Méthode 2 : Envoi d’alertes et d’incidents enrichis de Microsoft Sentinel à un SIEM hérité
Analysez certaines données dans Microsoft Sentinel, comme les données cloud, puis envoyez les alertes générées à une solution SIEM héritée. Utilisez la solution SIEM héritée comme interface unique pour croiser les alertes générées par Microsoft Sentinel. Vous pouvez toujours vous servir de Microsoft Sentinel pour une investigation plus approfondie de ces alertes.
Cette configuration est économique, car elle permet de transférer l’analyse de données cloud vers Microsoft Sentinel sans dupliquer les coûts ni payer deux fois les données. Vous avez toujours la liberté de migrer à votre propre rythme. Plus vous déplacez de sources de données et de détections vers Microsoft Sentinel, plus il devient facile de migrer vers Microsoft Sentinel pour en faire votre interface principale. Cependant, en transférant simplement les incidents enrichis vers une solution SIEM héritée, vous limitez la valeur que vous tirez des capacités d’investigation, de chasse et d’automatisation de Microsoft Sentinel.
Pour plus d'informations, consultez les pages suivantes :
- Envoi d’alertes Microsoft Sentinel enrichies à une solution SIEM héritée
- Envoi d’alertes Microsoft Sentinel enrichies à IBM QRadar
- Ingestion d’alertes Microsoft Sentinel dans Splunk
Autres méthodes
Le tableau suivant décrit les configurations côte à côte qui ne sont pas recommandées, en expliquant pourquoi :
| Méthode | Description |
|---|---|
| Envoyer les journaux Microsoft Sentinel à la solution SIEM héritée | Avec cette méthode, vous continuerez à subir les problèmes de coût et d’échelle de votre SIEM locale. Vous devez payer l’ingestion des données dans Microsoft Sentinel, ainsi que les coûts de stockage dans votre solution SIEM héritée. Par ailleurs, vous ne pouvez pas tirer parti des détections SIEM et SOAR, de l’analytique, de l’analyse du comportement des utilisateurs et des entités (UEBA, User and Entity Behavior Analytics), de l’intelligence artificielle ni des outils d’investigation et d’automatisation de Microsoft Sentinel. |
| Envoyer les journaux d’une solution SIEM héritée à Microsoft Sentinel | Bien que cette méthode vous offre toutes les fonctionnalités de Microsoft Sentinel, votre entreprise paie toujours deux sources d’ingestion des données différentes. Outre l’ajout de complexité architecturale, ce modèle peut entraîner des coûts plus élevés. |
| Utiliser Microsoft Sentinel et la solution SIEM héritée comme deux solutions entièrement distinctes | Vous pouvez utiliser Microsoft Sentinel pour analyser certaines sources de données, comme vos données cloud, et continuer de vous servir de votre solution SIEM locale pour les autres. Cette configuration permet d’établir des limites claires quant à l’utilisation de chaque solution et d’éviter la duplication des coûts. Toutefois, la corrélation croisée devient difficile, et vous ne pouvez pas diagnostiquer entièrement les attaques qui traversent les deux ensembles de sources de données. Dans le paysage actuel, où les menaces se déplacent souvent latéralement dans une organisation, de telles lacunes de visibilité peuvent poser des risques de sécurité importants. |
Simplifier les processus en utilisant l’automatisation
Utilisez des flux de travail automatisés pour regrouper et classer par ordre de priorité les alertes en un incident commun et modifier sa priorité.
Pour plus d’informations, consultez l’article suivant :
- Automatisation dans Microsoft Sentinel : SOAR (Security orchestration, automation and response)
- Automatisation de la réponse aux menaces avec des règles dans Microsoft Sentinel
- Automatisation de la gestion des incidents dans Microsoft Sentinel avec des règles d’automatisation
Contenu connexe
Après la migration, explorez les ressources Microsoft Sentinel de Microsoft pour développer vos compétences et tirer le meilleur parti de Microsoft Sentinel.
Envisagez de renforcer votre protection contre les menaces en utilisant Microsoft Sentinel avec Microsoft Defender XDR et Microsoft Defender pour le cloud afin de bénéficier d’une protection intégrée contre les menaces. Tirez parti de toute la visibilité offerte par Microsoft Sentinel tout en plongeant plus en détail dans l’analyse de menaces.
Pour plus d'informations, consultez les pages suivantes :
- Meilleures pratiques de migration des règles
- Webinaire : Meilleures pratiques pour la conversion des règles de détection
- Mieux gérer votre SOC avec des métriques d’incident
- Parcours d’apprentissage Microsoft Sentinel
- Certification SC-200 d’analyste des opérations de sécurité de Microsoft
- Formation Microsoft Sentinel, niveau Ninja
- Examen d’une attaque dans un environnement hybride avec Microsoft Sentinel