Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les différents composants d’une solution Microsoft Sentinel et comment ils peuvent travailler ensemble pour répondre à des scénarios clients importants.
La plateforme Sentinel comprend un lac de données, un graphique, des travaux de notebook Jupyter, un serveur MCP (Model Context Protocol) et des données de plus de 300 connecteurs Sentinel pour aider les clients à centraliser et à analyser leurs données de sécurité de manière économique. Ces fonctionnalités et Microsoft Security Copilot permettent aux clients et partenaires de créer des solutions percutantes, qui peuvent être publiées via le Microsoft Security Store.
Sentinel SIEM est utilisé par les équipes soc (Security Operations) pour générer des détections, examiner les comportements malveillants et corriger les menaces. En créant des connecteurs Sentinel pour importer de nouvelles données et en créant du contenu tel que des règles d’analyse, des playbooks, des requêtes de chasse, des analyseurs et des classeurs, les partenaires peuvent aider les équipes SOC à obtenir les informations dont elles ont besoin pour identifier les menaces et y répondre de manière appropriée. Sentinel solutions SIEM sont publiées via le hub de contenu de Sentinel.
Collecte de données
Qu’il s’agisse de créer une solution qui utilise des composants de plateforme ou de cibler une intégration SIEM Sentinel, il est essentiel de disposer des données appropriées pour votre scénario.
les connecteurs Sentinel apportent des données à Sentinel, qui peuvent ensuite être analysées dans le lac à l’aide de notebooks et de travaux Jupyter, ou traitées avec du contenu SIEM Sentinel tels que des règles d’analyse et des requêtes de chasse.
Ces données peuvent inclure les types suivants :
| Type | Description |
|---|---|
| Données non traitées | Prend en charge les détections et les processus de repérage. Analysez les données opérationnelles brutes dans lesquelles des signes d’activité malveillante peuvent être présents. Apportez des données non traitées à Microsoft Sentinel pour utiliser les fonctionnalités intégrées de repérage et de détection de Microsoft Sentinel pour identifier les nouvelles menaces et bien plus encore. Exemples : données Syslog, données CEF sur Syslog, application, pare-feu, journaux d’authentification ou d’accès, etc. |
| Conclusions sur la sécurité | Crée une visibilité d’alerte et une opportunité de corrélation. Les alertes et les détections sont des conclusions qui ont déjà été faites sur les menaces. La mise en contexte des détections avec toutes les activités et autres détections visibles dans les enquêtes Microsoft Sentinel permet aux analystes de gagner du temps et de créer une image plus complète d’un incident, ce qui se traduit par une meilleure hiérarchisation et de meilleures décisions. Exemples : alertes anti-programme malveillant, processus suspects, communication avec des hôtes malveillants connus, trafic réseau bloqué et pourquoi, ouvertures de session suspectes, attaques par pulvérisation de mot de passe détectées, attaques par hameçonnage identifiées, événements d’exfiltration de données, etc. |
| Données de référence | Génère un contexte avec des environnements référencés, ce qui permet d’économiser les efforts d’investigation et d’accroître l’efficacité. Exemples : CMDBs, bases de données de ressources à valeur élevée, bases de données de dépendances d’application, journaux d’affectation d’adresses IP, collections de renseignement sur les menaces pour l’enrichissement, etc. |
| Renseignement sur les menaces | Permet la détection des menaces en fournissant des indicateurs de menaces connues. Le renseignement sur les menaces peut inclure des indicateurs actuels qui représentent des menaces immédiates ou des indicateurs historiques qui sont conservés pour une prévention future. Les jeux de données historiques sont souvent volumineux et sont mieux référencés ad hoc, en place, au lieu de les importer directement dans Microsoft Sentinel. |
Analyseurs
Les analyseurs sont des fonctions KQL qui transforment des données personnalisées de produits tiers en schéma ASIM normalisé. La normalisation garantit que les analystes SOC n’ont pas besoin d’apprendre des détails sur les nouveaux schémas et de créer à la place des règles analytiques et des requêtes de chasse sur le schéma normalisé qu’ils connaissent déjà. Passez en revue les schémas ASIM disponibles fournis par Microsoft Sentinel afin d’identifier les schémas ASIM appropriés (un ou plusieurs) pour vos données afin de faciliter l’intégration pour les analystes SOC et de vous assurer que le contenu de sécurité existant écrit pour le schéma ASIM est applicable prête à l’emploi pour vos données de produit. Pour plus d’informations sur les schémas ASIM disponibles, consultez Schémas ASIM (Advanced Security Information Model).
Visualisation
Vous pouvez inclure des visualisations pour aider les clients à gérer et à comprendre vos données, en incluant des vues graphiques sur la façon dont les données circulent dans Microsoft Sentinel et comment elles contribuent efficacement aux détections.
Vous pouvez inclure des visualisations pour aider les clients à gérer et à comprendre vos données, en incluant des vues graphiques sur la façon dont les données circulent dans Microsoft Sentinel et comment elles contribuent efficacement aux détections.
Surveillance et détection
Les fonctionnalités de surveillance et de détection de Sentinel créent des détections automatisées pour aider les clients à mettre à l’échelle l’expertise de leur équipe SOC.
Les sections suivantes décrivent les éléments de surveillance et de détection que vous pouvez inclure dans votre solution.
agents Security Copilot
Security Copilot agents automatisent les tâches répétitives et réduisent les charges de travail manuelles. Ils améliorent la sécurité et les opérations informatiques dans le cloud, la sécurité et la confidentialité des données, l’identité et la sécurité réseau. Par Sentinel, les agents peuvent interroger le siem ou le lac de données et appeler des API pour enrichir Microsoft Sentinel données. Ils peuvent utiliser des travaux de notebook pour le traitement ou l’analyse intensive des données et utiliser n’importe quel nombre de plug-ins.
Travaux de notebook Jupyter
Les travaux jupyter notebook fournissent des outils puissants pour effectuer des transformations de données complexes et exécuter des modèles Machine Learning à l’aide de travaux Spark dans Sentinel Data Lake. Ils peuvent être utilisés par Security Copilot agents pour fournir un moyen déterministe et efficace d’effectuer une analyse et un résumé des données et de s’exécuter de manière continue. Les travaux de notebook peuvent écrire des tables de données personnalisées dans le niveau analytique et le lac de données à utiliser par les composants en aval tels que les agents, les classeurs, les requêtes de chasse et autres.
Règles d’analyse
Les règles d’analyse sont des détections sophistiquées qui peuvent créer des alertes précises et significatives.
Ajoutez des règles d’analyse à votre solution pour aider vos clients à tirer parti des données de votre système dans Microsoft Sentinel. Par exemple, les règles d’analyse peuvent vous aider à fournir une expertise et des insights sur les activités qui peuvent être détectées dans les données fournies par votre intégration.
Ils peuvent générer des alertes (événements notables), des incidents (unités d’investigation) ou déclencher des playbooks d’automatisation.
Vous pouvez ajouter des règles d’analyse en les incluant dans une solution et via la communauté Microsoft Sentinel Threat Hunters. Contribuer par le biais de la communauté pour encourager la créativité de la communauté par rapport aux données sources par les partenaires, en aidant les clients à des détections plus fiables et plus efficaces.
Requêtes de chasse
Les requêtes de repérage permettent aux analystes SOC de rechercher de manière proactive de nouvelles anomalies qui ne sont pas détectées par les règles d’analyse actuellement planifiées. Les requêtes de repérage guident les analystes SOC à poser les bonnes questions pour trouver des problèmes à partir des données déjà disponibles dans Microsoft Sentinel et les aident à identifier les scénarios de menace potentielle. En incluant des requêtes de chasse, vous pouvez aider les clients à trouver des menaces inconnues dans les données que vous fournissez.
Classeurs
Les classeurs fournissent des rapports et des tableaux de bord interactifs qui aident les utilisateurs à visualiser les données de sécurité et à identifier les modèles dans les données. Le besoin de classeurs dépend du cas d’usage spécifique. Lorsque vous concevez votre solution, pensez à des scénarios qui peuvent être expliqués visuellement, en particulier pour les scénarios de suivi des performances.
Enquête
Le graphique d’investigation Sentinel fournit aux enquêteurs des données pertinentes lorsqu’ils en ont besoin, en fournissant une visibilité sur les incidents de sécurité et les alertes via des entités connectées. Les enquêteurs peuvent utiliser le graphique d’investigation pour rechercher des événements pertinents ou connexes, contribuant à la menace en cours d’investigation.
Les partenaires peuvent contribuer au graphe d’investigation en fournissant :
- Microsoft Sentinel alertes et incidents, créés via des règles d’analyse dans des solutions partenaires.
- Requêtes d’exploration personnalisées pour les données fournies par le partenaire. Les requêtes d’exploration personnalisées fournissent une exploration et une connectivité enrichies entre les données et les insights pour les enquêteurs de sécurité.
Réponse
Les playbooks prennent en charge les flux de travail avec une automatisation enrichie et l’exécution de tâches liées à la sécurité dans les environnements clients. Elles sont essentielles pour s’assurer que les analystes SOC ne sont pas surchargés par des éléments tactiques et peuvent se concentrer sur la cause racine plus stratégique et plus profonde des vulnérabilités. Par exemple, si une alerte de gravité élevée est détectée, un playbook peut automatiquement lancer une série d’actions, telles que la notification à l’équipe de sécurité, l’isolation des systèmes affectés et la collecte des journaux pertinents pour une analyse plus approfondie.
Par exemple, les playbooks peuvent vous aider de l’une des manières suivantes, et bien plus encore :
- Aider les clients à configurer des stratégies de sécurité dans les produits partenaires
- Collecte de données supplémentaires pour éclairer les décisions d’enquête
- Liaison des incidents Microsoft Sentinel à des systèmes de gestion externes
- Intégration de la gestion du cycle de vie des alertes dans les solutions partenaires
Lorsque vous concevez votre solution, pensez aux actions automatisées qui peuvent être effectuées pour résoudre les incidents créés par les règles analytiques définies dans votre solution.
Sentinel exemples de scénarios SIEM
Les sections suivantes décrivent les scénarios de partenaires courants et des recommandations sur ce qu’il faut inclure dans une solution pour chaque scénario.
Votre produit génère des données importantes pour les enquêtes de sécurité
Scénario : votre produit génère des données qui peuvent éclairer les enquêtes de sécurité.
Exemple : Les produits qui fournissent une forme quelconque de données de journal incluent les pare-feu, les répartiteurs de sécurité des applications cloud, les systèmes d’accès physique, la sortie Syslog, les applications métier commercialement disponibles et conçues pour l’entreprise, les serveurs, les métadonnées réseau, tout ce qui est livrable sur Syslog au format Syslog ou CEF, ou sur l’API REST au format JSON.
Comment utiliser vos données dans Microsoft Sentinel : importez les données de votre produit dans Microsoft Sentinel via un connecteur de données pour fournir des analyses, la chasse, des investigations, des visualisations, etc.
Éléments à générer : Pour ce scénario, incluez les éléments suivants dans votre solution :
| Type | Éléments à inclure |
|---|---|
| Obligatoire | - Un connecteur de données Microsoft Sentinel pour fournir les données et lier d’autres personnalisations dans le portail. Exemples de requêtes de données |
| Recommandée | -Classeurs - Règles d’analyse, pour créer des détections basées sur vos données dans Microsoft Sentinel |
| Optional | - Requêtes de chasse, pour fournir aux chasseurs des requêtes prêtes à l’emploi à utiliser lors de la chasse - Notebooks, pour offrir une expérience de chasse entièrement guidée et reproductible |
Votre produit fournit des détections
Scénario : Votre produit fournit des détections qui complètent les alertes et les incidents provenant d’autres systèmes
Exemples : anti-programme malveillant, solutions de détection et de réponse d’entreprise, solutions de détection et de réponse réseau, solutions de sécurité de messagerie telles que les produits anti-hameçonnage, analyse des vulnérabilités, solutions de gestion des appareils mobiles, solutions UEBA, services de protection des informations, etc.
Comment utiliser vos données dans Microsoft Sentinel : rendez vos détections, alertes ou incidents disponibles dans Microsoft Sentinel pour les afficher en contexte avec d’autres alertes et incidents susceptibles de se produire dans les environnements de vos clients. Envisagez également de fournir les journaux et les métadonnées qui alimentent vos détections, comme contexte supplémentaire pour les investigations.
Éléments à générer : Pour ce scénario, incluez les éléments suivants dans votre solution :
| Type | Éléments à inclure |
|---|---|
| Obligatoire | Un connecteur de données Microsoft Sentinel pour fournir les données et lier d’autres personnalisations dans le portail. |
| Recommandée | Règles d’analyse pour créer des incidents Microsoft Sentinel à partir de vos détections qui sont utiles dans les enquêtes |
Votre produit fournit des indicateurs de renseignement sur les menaces
Scénario : Votre produit fournit des indicateurs de renseignement sur les menaces qui peuvent fournir un contexte pour les événements de sécurité qui se produisent dans les environnements des clients
Exemples : plateformes TIP, collections STIX/TAXII et sources publiques ou sous licence de renseignement sur les menaces. Données de référence, telles que WhoIS, GeoIP ou les domaines récemment observés.
Comment utiliser vos données dans Microsoft Sentinel : Fournir des indicateurs actuels à Microsoft Sentinel pour une utilisation sur les plateformes de détection Microsoft. Utilisez des jeux de données historiques ou à grande échelle pour les scénarios d’enrichissement, via l’accès à distance.
Éléments à générer : Pour ce scénario, incluez les éléments suivants dans votre solution :
| Type | Éléments à inclure |
|---|---|
| Informations sur les menaces actuelles | Créez un connecteur de données GSAPI pour envoyer des indicateurs à Microsoft Sentinel. Fournissez un serveur TAXII STIX 2.0 ou 2.1 que les clients peuvent utiliser avec le connecteur de données TAXII prête à l’emploi. |
| Indicateurs historiques et/ou jeux de données de référence | Fournissez un connecteur d’application logique pour accéder aux données et un playbook de flux de travail d’enrichissement qui dirige les données vers les emplacements appropriés. |
Votre produit fournit un contexte supplémentaire pour les investigations
Scénario : Votre produit fournit des données contextuelles supplémentaires pour les investigations basées sur Microsoft Sentinel.
Exemples : CMDBs de contexte supplémentaire, bases de données de ressources à valeur élevée, bases de données d’adresses IP virtuelles, bases de données de dépendances d’application, systèmes de gestion des incidents, systèmes de tickets
Comment utiliser vos données dans Microsoft Sentinel : utilisez vos données dans Microsoft Sentinel pour enrichir les alertes et les incidents.
Éléments à générer : Pour ce scénario, incluez les éléments suivants dans votre solution :
- Un connecteur d’application logique
- Playbook de flux de travail d’enrichissement
- Workflow de gestion du cycle de vie des incidents externes (facultatif)
Votre produit peut implémenter des stratégies de sécurité
Scénario : Votre produit peut implémenter des stratégies de sécurité dans Azure Policy et d’autres systèmes
Exemples : pare-feu, remise de remise, EDR, MDM, solutions d’identité, solutions d’accès conditionnel, solutions d’accès physique ou autres produits qui prennent en charge les stratégies de sécurité de blocage/autorisation ou autres stratégies de sécurité actionnables
Comment utiliser vos données dans Microsoft Sentinel : Microsoft Sentinel des actions et des workflows permettant des corrections et des réponses aux menaces
Éléments à générer : Pour ce scénario, incluez les éléments suivants dans votre solution :
- Un connecteur d’application logique
- Playbook de workflow d’action
Références pour bien démarrer
Toutes les intégrations SIEM Microsoft Sentinel commencent par l’Microsoft Sentinel GitHub Repository and Contribution Guidance.
Lorsque vous êtes prêt à commencer à travailler sur votre solution Microsoft Sentinel, recherchez des instructions pour l’envoi, l’empaquetage et la publication dans le Guide de création de solutions Microsoft Sentinel.
Mise sur le marché
Microsoft propose les programmes pour aider les partenaires à approcher les clients Microsoft :
Microsoft Partner Network (MPN). Le principal programme de partenariat avec Microsoft est le Microsoft Partner Network. L’appartenance à MPN est requise pour devenir un éditeur Azure Place de marché, qui est l’endroit où toutes les solutions Microsoft Sentinel sont publiées.
Azure Place de marché. Microsoft Sentinel solutions sont fournies via la Place de marché Azure, où les clients découvrent et déploient des intégrations de Azure générales fournies par Microsoft et par les partenaires.
Microsoft Sentinel solutions sont l’un des nombreux types d’offres disponibles sur la Place de marché. Vous pouvez également trouver les offres de solution incorporées dans le hub de contenu Microsoft Sentinel
Microsoft Intelligent Security Association (MISA). MISA fournit aux partenaires de sécurité Microsoft l’aide à sensibiliser les clients Microsoft aux intégrations créées par les partenaires, et permet de fournir une détectabilité pour les intégrations de produits Microsoft Security.
L’adhésion au programme MISA nécessite une nomination d’une équipe de produits de sécurité Microsoft participante. La création de l’une des intégrations suivantes peut qualifier les partenaires pour la nomination :
- Un connecteur de données Microsoft Sentinel et le contenu associé, comme les classeurs, les exemples de requêtes et les règles d’analyse
- Connecteur Logic Apps et playbooks Microsoft Sentinel publiés
- Intégrations d’API, au cas par cas
Pour demander une révision de mise en candidature MISA ou pour toute question, contactez AzureSentinelPartner@microsoft.com.
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :
Collecte de données :
- Meilleures pratiques en matière de collecte de données
- connecteurs de données Microsoft Sentinel
- Rechercher votre connecteur de données Microsoft Sentinel
- Comprendre le renseignement sur les menaces dans Microsoft Sentinel
Détection des menaces :
- Automatiser la gestion des incidents dans Microsoft Sentinel avec des règles d’automatisation
- Examiner les incidents avec Microsoft Sentinel
- Automatiser la réponse aux menaces avec des playbooks dans Microsoft Sentinel
Chasse et notebooks :
- Rechercher les menaces avec Microsoft Sentinel
- Gérer les requêtes de chasse dans Microsoft Sentinel à l’aide de l’API REST
- Utiliser des notebooks Jupyter pour rechercher les menaces de sécurité
Visualisation : visualiser les données collectées.
Investigation : Examiner les incidents avec Microsoft Sentinel.
Réponse :