Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article passe en revue les meilleures pratiques et des références pour créer vos propres solutions d’intégration avec Microsoft Sentinel.
Les équipes en charge des opérations de sécurité (SOC, Security Operations Center) utilisent Microsoft Sentinel pour générer des détections, ainsi qu’examiner et corriger les menaces. En offrant vos données, vos détections, votre automatisation, votre analyse et votre expertise aux clients au travers de l’intégration avec Microsoft Sentinel, vous dotez les équipes SOC des informations dont elles ont besoin pour apporter des réponses de sécurité en connaissance de cause.
Par exemple, votre intégration peut apporter une valeur ajoutée à la poursuite des objectifs suivants :
Création de détections à partir de données semi-structurées. Par exemple, votre intégration peut apporter de nouvelles données de journal, une intelligence actionnable, des règles d’analyse, des règles de chasse, des expériences de chasse guidée ou une analyse d’apprentissage automatique.
Contribution aux investigations de Microsoft Sentinel. Par exemple, votre intégration peut ajouter des détections, requêtes ou données historiques et de support, telles que des bases de données supplémentaires, des données sur la vulnérabilité et la conformité, etc.
Automatisation dans Microsoft Sentinel. Par exemple, votre intégration peut inclure des règles pour les activités de sécurité en matière d’enrichissement, de correction ou d’orchestration au sein de l’environnement et de l’infrastructure du client.
Nous vous recommandons d’empaqueter et publier votre intégration sous la forme de solutions Microsoft Sentinel afin que les clients communs puissent découvrir, déployer et maximiser la valeur de votre intégration de partenaires. Les solutions Microsoft Sentinel sont publiées sur la Place de marché Azure, et apparaissent dans le hub de contenu Microsoft Sentinel.
Intégrations pour collecter des données
La plupart des intégrations de Microsoft Sentinel sont basées sur des données, et utilisent à la fois le moteur de détection général et le moteur d’investigation complet. Les deux moteurs s’exécutent sur des données ingérées dans le référentiel de données Microsoft Sentinel.
Microsoft Sentinel fonctionne avec les types de données suivants :
| Type | Description |
|---|---|
| Données non traitées | Prend en charge les processus de détection et de chasse. Analyse les données opérationnelles brutes qui peuvent contenir des signes d’activité malveillante. Transmet des données non traitées à Microsoft Sentinel afin d’utiliser les fonctionnalités de recherche et de détection intégrées de Microsoft Sentinel pour identifier de nouvelles menaces et bien plus encore. Exemples : données Syslog, données CEF sur Syslog, application, pare-feu, authentification ou journaux d’accès, et bien plus encore. |
| Conclusions en matière de sécurité | Crée une visibilité des alertes et une opportunité de corrélation. Les alertes et les détections sont des conclusions qui ont déjà été tirées en lien avec les menaces. La contextualisation des détections avec toutes les activités et autres détections visibles dans les investigations Microsoft Sentinel fait gagner du temps aux analystes et crée une image plus complète d’un incident, ce qui permet de mieux hiérarchiser les priorités et de prendre de meilleures décisions. Exemples : alertes anti-programme malveillant, processus suspects, communication avec des hôtes douteux connus, trafic réseau bloqué et cause du blocage, ouvertures de session anormales, attaques par pulvérisation de mots de passe détectées, attaques par hameçonnage identifiées, événements d’exfiltration de données, et bien plus encore. |
| Données de référence | Génère du contexte avec des environnements référencés, ce qui contribue à alléger l’effort d’investigation et à renforcer l’efficacité. Exemples : bases de données de gestion de la configuration, bases de données de ressources de valeur élevée, bases de données de dépendances d’applications, journaux d’attribution d’adresses IP, collecte de renseignement sur les menaces pour enrichissement, et bien plus encore. |
| Renseignement sur les menaces | Alimente la détection des menaces en apportant des indicateurs de menaces connues. Le renseignement sur les menaces peut inclure des indicateurs actuels représentant des menaces immédiates ou des indicateurs historiques conservés à des fins de prévention future. Les jeux de données historiques sont souvent volumineux et il est préférable de les référencer de manière ad hoc, sur place, plutôt que de les importer directement dans Microsoft Sentinel. |
Chaque type de données prend en charge différentes activités dans Microsoft Sentinel, et de nombreux produits de sécurité fonctionnent avec plusieurs types de données en même temps.
Intégrations à surveiller et détecter
Les fonctionnalités de surveillance et de détection de Microsoft Sentinel créent des détections automatisées pour aider les clients à renforcer l’expertise de leur équipe SOC.
Les sections suivantes décrivent des aspects de la surveillance et de la détection que vous pouvez inclure dans votre solution d’intégration :
Règles de détection des menaces
Les règles de détection des menaces, ou analytiques, sont des ressources de détection sophistiquées qui permettent de créer des alertes précises et pertinentes.
Ajoutez des règles analytiques à votre intégration pour aider vos clients à tirer parti des données de votre système dans Microsoft Sentinel. Par exemple, des règles analytiques peuvent vous aider à fournir, dans les données qu’offre votre intégration, une expertise et des insights sur les activités détectables.
Les règles analytiques sont basées sur des requêtes. Elles s’appliquent aux données de l’espace de travail Microsoft Sentinel du client et peuvent :
- mettre en évidence des alertes qui sont des événements remarquables ;
- mettre en évidence des incidents qui sont des unités d’investigation ;
- déclencher les playbooks d’automatisation.
Vous pouvez ajouter des règles analytiques en les incluant dans une solution et via la communauté Microsoft Sentinel ThreatHunters. Apportez votre contribution à la communauté afin de stimuler sa créativité sur les données en provenance de partenaires pour aider les clients à obtenir des détections plus fiables et efficaces.
Règles de chasse et notebooks
Microsoft Sentinel offre un ensemble riche de fonctionnalités de chasse que vous pouvez utiliser pour aider les clients à trouver des menaces inconnues dans les données que vous fournissez. Vous pouvez inclure des requêtes de chasse tactiques dans votre intégration pour mettre en évidence des connaissances spécifiques, voire des expériences de chasse guidée.
Visualisation
L’intégration que vous créez peut également inclure des visualisations pour aider les clients à gérer et à comprendre vos données, en incluant des vues graphiques montrant comment les données circulent dans Microsoft Sentinel et la manière dont elles contribuent aux détections.
La clarté qu’apportent les visualisations sur des tableaux de bord personnalisables peut mettre en évidence la valeur de votre partenaire pour les clients.
Intégrations pour investigations
Le graphique d’examen de Microsoft Sentinel fournit aux investigateurs des données pertinentes quand ils en ont besoin, qui leur apportent une visibilité sur les incidents et alertes de sécurité via des entités connectées. Les investigateurs peuvent utiliser le graphique d’examen pour rechercher des événements pertinents ou connexes, qui contribuent à la menace en cours d’investigation.
Les partenaires peuvent contribuer au graphique d’examen en fournissant les éléments suivants :
- Alertes et incidents Microsoft Sentinel créés par le biais de règles analytiques dans des solutions de partenaires
- Requêtes d'exploration personnalisées pour les données fournies par les partenaires. Les requêtes d’exploration personnalisées permettent une exploration riche et offrent une connectivité entre les données et les insights pour les enquêteurs en matière de sécurité.
Intégrations pour la réponse
Les fonctionnalités de coordination et de correction de Microsoft Sentinel aident les clients qui ont besoin d’orchestrer et d’activer des corrections rapidement et avec précision.
Incluez des playbooks d’automatisation dans votre solution d’intégration pour prendre en charge les flux de travail avec une automatisation complète, en exécutant des tâches liées à la sécurité dans les environnements des clients. Des playbooks d’intégration peuvent être utiles, par exemple, sur les plans suivants :
- Aide aux clients pour configurer des stratégies de sécurité dans des produits de partenaires
- Collecte de données supplémentaires pour éclairer les décisions d’investigation
- Liaison d’incidents Microsoft Sentinel à des systèmes de gestion externes
- Intégration de la gestion du cycle de vie des alertes dans des solutions de partenaires
Que voulez-vous inclure dans votre intégration ?
Les sections suivantes décrivent des scénarios courants d’intégration de partenaires et fournissent des recommandations concernant les éléments à inclure dans une solution pour chaque scénario.
Votre produit génère des données qui sont importantes pour les investigations de sécurité.
Scénario : votre produit génère des données qui peuvent informer ou s’avérer importantes pour des investigations de sécurité. Votre produit peut inclure ou non des détections prêtes à l’emploi.
Exemple : les produits qui fournissent une certaine forme de données de journalisation incluent des pare-feu, des agents de sécurité d’application cloud, des systèmes d’accès physique, une sortie Syslog, des applications métier disponibles et intégrées, des serveurs, des métadonnées réseau, des éléments livrables via Syslog au format Syslog ou CEF, ou via une API REST au format JSON.
Comment utiliser vos données dans Microsoft Sentinel : importez les données de votre produit dans Microsoft Sentinel via un connecteur de données pour fournir des analyses, des recherches, des investigations, des visualisations, et bien plus encore.
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
| Type | Éléments à inclure |
|---|---|
| Obligatoire | - Un connecteur de données Microsoft Sentinel pour livrer les données et lier d’autres personnalisations dans le portail. Exemples de requêtes de données |
| Recommended | - Classeurs. - Règles analytiques pour créer des détections basées sur vos données dans Microsoft Sentinel. |
| Facultatif | - Requêtes de chasse pour fournir des requêtes prêtes à l’emploi utilisables lors de la chasse. - Notebooks, pour offrir une expérience de chasse reproductible entièrement guidée. |
Votre produit fournit des détections
Scénario : votre produit fournit des détections qui complètent les alertes et incidents d’autres systèmes
Exemples : logiciels anti-programme malveillant, solutions de détection et de réponse d’entreprise, solutions de détection et de réponse de réseau, solutions de sécurité du courrier telles que des produits anti-hameçonnage, analyse des vulnérabilités, solutions de gestion des appareils mobiles, solutions UEBA, services de protection des informations, etc.
Comment utiliser vos données dans Microsoft Sentinel : rendez les détections, alertes ou incidents disponibles dans Microsoft Sentinel pour les afficher en contexte avec d’autres alertes et incidents susceptibles de se produire dans les environnements de vos clients. Envisagez également de livrer les journaux et métadonnées qui alimentent vos détections, en guide contexte supplémentaire pour les investigations.
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
| Type | Éléments à inclure |
|---|---|
| Obligatoire | Connecteur de données Microsoft Sentinel pour distribuer les données et lier d’autres personnalisations dans le portail. |
| Recommandé | Règles analytiques pour créer des incidents Microsoft Sentinel à partir de vos détections, qui soient utiles dans les investigations |
Votre produit fournit des indicateurs de renseignement sur les menaces
Scénario : votre produit fournit des indicateurs de renseignement sur les menaces qui peuvent fournir un contexte pour les événements de sécurité survenant dans les environnements des clients
Exemples : plateformes TiP, collections STIX/TAXII et sources publiques ou sous licence de renseignement sur les menaces. Données de référence, telles que WhoIS, GeoIP ou des domaines récemment observés.
Comment utiliser vos données dans Microsoft Sentinel : fournissez des indicateurs actuels à Microsoft Sentinel utilisables sur les plateformes de détection Microsoft. Utilisez des jeux de données à grande échelle ou historiques pour les scénarios d’enrichissement, via un accès à distance.
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
| Type | Éléments à inclure |
|---|---|
| Renseignement sur les menaces actuelles | Créez un connecteur de données GSAPI pour envoyer (push) des indicateurs à Microsoft Sentinel. Fournissez un serveur TAXII STIX 2.0 ou 2.1 que les clients peuvent utiliser avec le connecteur de données TAXII prêt à l’emploi. |
| Indicateurs historiques et/ou jeux de données de référence | Fournissez un connecteur d’application logique pour accéder aux données, et un playbook de flux de travail d’enrichissement qui dirige les données vers les emplacements corrects. |
Votre produit fournit un contexte supplémentaire pour les investigations.
Scénario : votre produit fournit des données contextuelles supplémentaires pour les investigations basées sur Microsoft Sentinel.
Exemples : base de données de gestion de la configuration (CMDB) contextuelles supplémentaire, bases de données de ressources à haute valeur, bases de données VIP, bases de données de dépendances d’applications, systèmes de gestion des incidents, systèmes de création de tickets.
Comment utiliser vos données dans Microsoft Sentinel : utilisez vos données dans Microsoft Sentinel pour enrichir les alertes et les incidents.
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
- Connecteur d’application logique
- Playbook de flux de travail d’enrichissement
- Flux de travail de gestion du cycle de vie des incidents externes (facultatif)
Votre produit peut implémenter des stratégies de sécurité
Scénario : votre produit peut implémenter des stratégies de sécurité dans Azure Policy et d’autres systèmes.
Exemples : pare-feu, rapport de non-remise, PEPT, MDM, solutions d’identité, solutions d’accès conditionnel, solutions d’accès physique ou autres produits prenant en charge les stratégies de sécurité bloquer/autoriser ou d’autres stratégies de sécurité actionnables.
Comment utiliser vos données dans Microsoft Sentinel : actions et flux de travail Microsoft Sentinel permettant des corrections et des réponses aux menaces
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
- Connecteur d’application logique
- Playbook de flux de travail d’action
Références pour la prise en main
Toutes les intégration technique de Microsoft Sentinel commencent par le Dépôt GitHub Microsoft Sentinel et le Guide de contribution .
Quand vous êtes prêt à commencer à travailler sur votre solution Microsoft Sentinel, recherchez des instructions pour l’envoi, l’empaquetage et la publication dans le Guide de création de solutions Microsoft Sentinel.
Mise sur le marché
Microsoft propose des programmes permettant aux partenaires d’aborder des clients Microsoft :
Microsoft Partner Network (MPN). Le principal programme de partenariat avec Microsoft est le Microsoft Partner Network. Pour devenir éditeur sur la Place de marché Azure, où sont publiées toutes les solutions Microsoft Sentinel, il est nécessaire de participer au programme MPN.
Place de marché Azure. Les solutions Microsoft Sentinel sont fournies via la Place de marché Azure qui permet aux clients de découvrir et déployer des intégrations Azure générales fournies par Microsoft et ses partenaires.
Les solutions Microsoft Sentinel sont l’un des nombreux types d’offres disponibles sur la Place de marché. Vous pouvez également trouver les offres de solution incorporées dans le hub de contenu Microsoft Sentinel.
Microsoft Intelligent Security Association (MISA). MISA fournit aux partenaires de sécurité Microsoft une aide pour la sensibilisation aux intégrations créées par les partenaires avec les clients Microsoft, et contribue à assurer la détectabilité des intégrations de produits de sécurité Microsoft.
La participation au programme MISA nécessite la nomination d’une équipe Produits de sécurité Microsoft participante. La création de l’une des intégrations suivantes peut qualifier des partenaires pour la nomination :
- Connecteur de données Microsoft Sentinel et le contenu associé, tels que des classeurs, des exemples de requêtes et des règles analytiques.
- Connecteur Logic Apps et des playbooks Microsoft Sentinel publiés.
- Intégrations d’API, au cas par cas.
Pour demander un examen de nomination MISA ou pour poser des questions, contactez AzureSentinelPartner@microsoft.com.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
Collecte de données :
- Meilleures pratiques de collecte de données
- Connecteurs de données Microsoft Sentinel
- Rechercher votre connecteur de données Microsoft Sentinel
- Comprendre le renseignement sur les menaces dans Microsoft Sentinel
Détection des menaces :
- Automatiser la gestion des incidents dans Microsoft Sentinel avec des règles d’automatisation
- Examiner les incidents avec Microsoft Azure Sentinel
- Automatisation de la réponse aux menaces avec des playbooks dans Microsoft Sentinel
Chasse et notebook
- Recherche de menaces avec Microsoft Sentinel
- Gérer les requêtes de chasse et de diffusion en continu dans Microsoft Azure Sentinel à l’aide de l’API REST
- Utiliser des notebooks Jupyter pour repérer des menaces de sécurité
Visualization : visualiser les données collectées.
Investigation : enquêter sur des incidents avec Microsoft Sentinel.
Réponse: