Étape 3. Ingérer des sources de données et configurer la détection des incidents dans Microsoft Sentinel
Une fois que vous avez terminé la conception et l’implémentation de vos espaces de travail Microsoft Sentinel, passez à l’ingestion de sources de données et configurez la détection des incidents.
Les solutions dans Microsoft Sentinel offrent un moyen consolidé d’acquérir du contenu Microsoft Sentinel, par exemple des connecteurs de données, des classeurs, des analyses et des automatisations, dans votre espace de travail grâce à un déploiement en une seule étape.
Les connecteurs de données sont configurés pour activer l’ingestion des données dans l’espace de travail. Après avoir activé les points de données clés à ingérer dans Microsoft Sentinel, les règles UEBA (User and Entity Behavior Analytics) et d’analytique doivent également être activées pour capturer des activités anormales et malveillantes. Les règles analytiques déterminent la façon dont les alertes et les incidents sont générés dans votre instance Microsoft Sentinel. L’adaptation des règles analytiques à votre environnement et à vos besoins organisationnels par le biais du mappage d’entités vous permet de produire des incidents haute fidélité et de réduire la fatigue des alertes.
Si vous avez intégré votre espace de travail à la plateforme d’opérations de sécurité unifiée, les procédures décrites dans cette étape sont disponibles dans les portails Azure et Defender.
Avant de commencer
Vérifiez la méthode d’installation, les rôles requis et les licences nécessaires pour activer les connecteurs de données. Pour plus d’informations, consultez Rechercher votre connecteur de données Microsoft Sentinel.
Le tableau suivant récapitule les conditions préalables requises pour ingérer les connecteurs de données Microsoft Sentinel clés pour les services Azure et Microsoft :
| Type de ressource | Méthode d’installation | Rôle/autorisations/licence nécessaire |
|---|---|---|
| Microsoft Entra ID | Connecteur de données natif | Administrateur de la sécurité Les journaux de connexion nécessitent une licence Microsoft Entra ID P1 ou P2. Les autres journaux d’activité ne nécessitent pas de P1 ou P2 |
| Microsoft Entra ID Protection | Connecteurs de données natif | Administrateur de la sécurité Licence : Microsoft Entra ID P2 |
| Activité Azure | Azure Policy | Rôle de propriétaire requis sur les abonnements |
| Microsoft Defender XDR | Connecteurs de données natif | Administrateur de la sécurité Licence : Microsoft 365 E5, Microsoft 365 A5 ou toute autre licence éligible Microsoft Defender XDR |
| Microsoft Defender pour le cloud | Connecteurs de données natif | Lecteur de sécurité Pour activer la synchronisation bidirectionnelle, vous devez avoir le rôle Contributeur ou Administrateur de la sécurité sur l’abonnement concerné. |
| Microsoft Defender pour Identity | Connecteurs de données natif | Administrateur de la sécurité Licence : Microsoft Defender pour Identity. |
| Microsoft Defender pour Office 365 | Connecteurs de données natif | Administrateur de la sécurité Licence : Microsoft Defender pour Office 365 Plan 2 |
| Microsoft 365 | Connecteurs de données natif | Administrateur de la sécurité |
| Microsoft Defender pour IoT | Contributeur à l’abonnement avec IoT Hubs | |
| Microsoft Defender for Cloud Apps | Connecteurs de données natif | Administrateur de la sécurité Licence : Microsoft Defender for Cloud Apps |
| Microsoft Defender for Endpoint | Connecteurs de données natif | Administrateur de la sécurité License: Microsoft Defender for Endpoint |
| Événements de sécurité Windows utilisation de l’agent Azure Monitor (AMA) |
Connecteur de données natif avec Agent | Lecture/écriture sur l’espace de travail Log Analytics |
| Syslog | Connecteur de données natif avec Agent | Espace de travail Log Analytics en lecture/écriture |
Étape 1 : installer des solutions et activer les connecteurs de données
Utilisez les recommandations suivantes pour commencer à installer des solutions et configurer des connecteurs de données. Pour plus d’informations, consultez l’article suivant :
- Catalogue du hub de contenu Microsoft Sentinel
- Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi
Configurer des sources de données gratuites
Commencez par vous concentrer sur la configuration de sources de données gratuites à ingérer, notamment :
Journaux d’activité Azure : l’ingestion des journaux d’activité Azure est essentielle pour permettre à Microsoft Sentinel de fournir un seul volet d’affichage en verre dans l’environnement.
Journaux d’audit d’Office 365, y compris toute l’activité SharePoint, l’activité de l’administrateur Exchange et Teams.
Alertes de sécurité, y compris les alertes de Microsoft Defender pour le cloud, de Microsoft Defender XDR, Microsoft Defender pour Office 365, Microsoft Defender pour Identity et Microsoft Defender for Endpoint.
Si vous n’avez pas intégré votre espace de travail à la plateforme d’opérations de sécurité unifiée et que vous travaillez dans le portail Azure, l’ingestion d’alertes de sécurité dans Microsoft Sentinel permet au portail Azure d’être le volet central de la gestion des incidents dans l’environnement. Dans de tels cas, l’enquête sur les incidents démarre dans Microsoft Sentinel et doit continuer dans le portail Microsoft Defender ou Defender pour le cloud, si une analyse plus approfondie est requise.
Pour plus d’informations, consultez Incidents Microsoft Defender XDR et règles de création d’incidents Microsoft.
Alertes de Microsoft Defender for Cloud Apps.
Pour plus d’informations, consultez la tarification de Microsoft Sentinel et les sources de données gratuites.
Configurer des sources de données payantes
Pour fournir une couverture de surveillance et d’alerte plus large, concentrez-vous sur l’ajout des connecteurs de données Microsoft Entra ID et Microsoft Defender XDR. L’ingestion de données à partir de ces sources est facturée.
Veillez à envoyer les journaux Microsoft Defender XDR à Microsoft Sentinel, si l’un des éléments suivants est requis :
- Intégration à la plateforme d’opérations de sécurité unifiée, qui fournit un portail unique pour la gestion des incidents dans Microsoft Defender.
- Alertes de fusion Microsoft Sentinel, qui mettent en corrélation les sources de données de plusieurs produits pour détecter les attaques multi-étapes dans l’environnement.
- Rétention plus longue que ce qui est proposé dans Microsoft Defender XDR.
- Automatisation non couverte par les corrections intégrées proposées par Microsoft Defender pour point de terminaison.
Pour plus d’informations, consultez l’article suivant :
- Intégrer Microsoft 365 Defender
- Connecter les données de Microsoft Defender XDR à Microsoft Sentinel
- Connecter les données Microsoft Entra à Microsoft Sentinel
Configurer des sources de données par votre environnement
Cette section décrit les sources de données que vous souhaiterez peut-être utiliser, en fonction des services et des méthodes de déploiement utilisés dans votre environnement.
| Scénario | Sources de données |
|---|---|
| Services Azure | Si l’un des services suivants est déployé dans Azure, utilisez les connecteurs suivants pour envoyer les journaux de diagnostic de ces ressources à Microsoft Sentinel : - Pare-feu Azure - Application Gateway Azure - Keyvault - Azure Kubernetes Service - Azure SQL - Groupes de sécurité réseau - Serveurs Azure Arc Nous vous recommandons de configurer Azure Policy pour exiger que leurs journaux soient transférés vers l’espace de travail Log Analytics sous-jacent. Pour plus d’informations, consultez Créer des paramètres de diagnostic à l'échelle à l'aide d'Azure Policy. |
| Machines virtuelles | Pour les machines virtuelles hébergées localement ou dans d’autres clouds qui nécessitent leur collecte des journaux, utilisez les connecteurs de données suivants : - Événements de sécurité Windows à l’aide d’AMA - Événements via Defender pour point de terminaison (pour le serveur) - Syslog |
| Appliances virtuelles réseau / sources locales | Pour les appliances virtuelles réseau ou d’autres sources locales qui génèrent des journaux CEF (Common Event Format) ou SYSLOG, utilisez les connecteurs de données suivants : - Syslog par AMA - Format d’événement courant (CEF) via AMA Pour plus d’informations, consultez Ingérer des messages Syslog et CEF dans Microsoft Sentinel avec l’agent Azure Monitor. |
Lorsque vous avez terminé, recherchez dans le hub de contenu Microsoft Sentinel d’autres appareils et applications SaaS (Software as a Service) qui nécessitent l’envoi de journaux à Microsoft Sentinel.
Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Étape 2 : activer l’analytique du comportement de l’entité utilisateur
Après avoir configuré des connecteurs de données dans Microsoft Sentinel, veillez à activer l’analytique du comportement de l’entité utilisateur pour identifier le comportement suspect susceptible d’entraîner des attaques par hameçonnage et éventuellement des attaques telles que les ransomwares. Souvent, la détection des anomalies via UEBA est la meilleure méthode pour détecter les attaques zero-day le plus tôt possible.
L’utilisation d’UEBA permet à Microsoft Sentinel de créer des profils comportementaux des entités de votre organisation à travers le temps et le groupe homologue pour identifier l’activité anormale. Cette utilitaire supplémentaire permet de déterminer si une ressource a été compromise. Comme il identifie l'association de groupes de pairs, il peut également aider à déterminer le rayon d'action de ce compromis.
Pour plus d’informations, consultez Identifier les menaces avec l’analytique du comportement d’entité
Étape 3 : activer les règles analytiques
Les cerveaux de Microsoft Sentinel proviennent des règles analytiques. Il s’agit de règles que vous définissez pour indiquer à Microsoft Sentinel de vous avertir des événements avec un ensemble de conditions que vous considérez comme importantes. Les décisions prêtes à l’emploi prises par Microsoft Sentinel sont basées sur l’analytique comportementale de l’entité utilisateur (UEBA) et sur les corrélations de données entre plusieurs sources de données.
Lors de l’activation des règles analytiques pour Microsoft Sentinel, hiérarchiser l’activation par les sources de données connectées, les risques organisationnels et la tactique MITRE.
Éviter les incidents en double
Si vous avez activé le connecteur Microsoft Defender XDR, une synchronisation bidirectionnelle entre les incidents 365 Defender et Microsoft Sentinel est automatiquement établie.
Pour éviter de créer des incidents en double pour les mêmes alertes, nous vous recommandons de désactiver toutes les règles de création d’incidents Microsoft pour les produits intégrés à Microsoft Defender XDR, y compris Defender pour Endpoint, Defender pour Identity, Defender pour Office 365, Defender for Cloud Apps et Microsoft Entra ID Protection.
Pour plus d’informations, consultez Incidents Microsoft Defender XDR et règles de création d’incidents Microsoft.
Utiliser des alertes de fusion
Par défaut, Microsoft Sentinel active la règle analytique de détection d’attaque multistage avancée fusion pour identifier automatiquement les attaques multistages.
À l’aide d’un comportement anormal et d’événements d’activité suspecte observés dans la chaîne de cyber-destruction, Microsoft Sentinel génère des incidents qui vous permettent de voir les incidents de compromission avec deux activités d’alerte ou plus en elle avec un degré élevé de confiance.
La technologie d’alerte fusion met en corrélation de grands points de signaux de données avec l’analyse de Machine Learning étendu (ML) pour aider à déterminer les menaces connues, inconnues et émergentes. Par exemple, la détection de fusion peut prendre les modèles de règles d’anomalie et les requêtes planifiées créées pour le scénario ransomware et les associer à des alertes des services Microsoft Security Suite, comme :
- Protection de l'identifiant Microsoft Entra
- Microsoft Defender pour le cloud
- Microsoft Defender pour IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender pour Identity
- Microsoft Defender pour Office 365
Utiliser les règles d’anomalie
Les règles d’anomalie Microsoft Sentinel sont disponibles prêtes à l’emploi et activées par défaut. Les règles d’anomalie sont basées sur des modèles Machine Learning et UEBA qui s’entraînent sur les données de votre espace de travail pour marquer un comportement anormal entre les utilisateurs, les hôtes et d’autres utilisateurs.
Souvent, une attaque par hameçonnage entraîne une étape d’exécution telle que la manipulation/le contrôle de compte local ou cloud ou l’exécution de scripts malveillants. Les règles d’anomalie recherchent exactement ces types d’activités, telles que :
- Suppression anormale de l’accès au compte
- Création de compte anormale
- Suppression de compte anormale
- Manipulation de compte anormale
- Exécution de code anormale (UEBA)
- Destruction de données anormale
- Modification anormale du mécanisme défensif
- Échec anormal de la connexion
- Réinitialisation anormale du mot de passe
- Privilège anormal accordé
- Connexion anormale
Passez en revue les règles d’anomalie et le seuil de score d’anomalie pour chacun d’eux. Si vous observez des faux positifs, par exemple, envisagez de dupliquer la règle et de modifier le seuil en suivant les étapes décrites dans Les règles d’anomalie optimisées.
Utiliser la règle d’analyse de veille des menaces Microsoft
Après avoir examiné et modifié les règles de fusion et d’anomalie, activez la règle d’analyse de veille des menaces Microsoft prête à l’emploi. Vérifiez que cette règle correspond à vos données de journal avec le renseignement sur les menaces généré par Microsoft. Microsoft dispose d’un vaste référentiel de données de renseignement sur les menaces, et cette règle analytique utilise un sous-ensemble de celui-ci pour générer des alertes et des incidents haute fidélité pour les équipes SOC (centres d’opérations de sécurité) pour trier.
Effectuer une promenade croisée MITRE Att&ck
Avec des règles analytiques Veille des menaces, Fusion et Anomalie activées, effectuez un tableau de concordance établir des correspondances MITRE Att&ck pour vous aider à déterminer les règles analytiques qui restent à activer, et pour terminer l’implémentation d’un processus XDR abouti (détection étendue et réponse). Cela vous permet de détecter et de répondre tout au long du cycle de vie d’une attaque.
Le département de recherche MITRE Att&ck a créé la méthode MITRE, et est fourni dans le cadre de Microsoft Sentinel pour faciliter votre implémentation. Vérifiez que vous disposez de règles analytiques qui étendent la longueur et l’étendue de l’approche des vecteurs d’attaque.
Passez en revue les techniques MITRE couvertes par vos règles analytiques actives existantes.
Sélectionnez «Modèles de règles analytiques » et «Règles d’anomalie » dans la liste déroulante simulée. Cela vous montre où vous avez la tactique et/ou la technique adversaire couvertes et où il existe des règles analytiques disponibles, vous devez envisager d’améliorer votre couverture.
Par exemple, pour détecter les attaques potentielles par hameçonnage, passez en revue les modèles de règles analytiques pour la technique d’hameçonnage et hiérarchisez les règles qui interrogent spécifiquement les sources de données que vous avez intégrées à Microsoft Sentinel.
En général, il existe cinq phases pour une attaque par ransomware gérée par l’homme, et le hameçonnage se trouve sous Accès initial, comme illustré dans les images suivantes :
Poursuivez les étapes restantes pour couvrir l’ensemble de la chaîne de destruction avec les règles analytiques appropriées :
- Accès initial
- Vol d'informations d'identification
- Mouvement latéral
- Persistance
- Évasion de défense
- Exfiltration (c’est là que le rançongiciel lui-même est détecté)
Entraînement recommandé
Le contenu de formation ne couvre pas actuellement la plateforme d’opérations de sécurité unifiée.
Connecter des données à Microsoft Sentinel à l’aide de connecteurs de données
| Formation | Connecter des données à Microsoft Sentinel à l’aide de connecteurs de données |
|---|---|
|
La principale approche pour connecter des données de journal consiste à utiliser les connecteurs de données fournis par Microsoft Sentinel. Ce module fournit une vue d’ensemble des connecteurs de données disponibles. |
Connexion de journaux à Microsoft Sentinel
| Formation | Connexion de journaux à Microsoft Sentinel |
|---|---|
|
Connectez des données à l’échelle du cloud sur l’ensemble des utilisateurs, des appareils, des applications et des infrastructures, localement et dans plusieurs clouds, à Microsoft Sentinel. |
Identifier les menaces avec l’analytique comportementale
| Formation | Identifier les menaces avec l’Analyse comportementale |
|---|---|
|
La principale approche pour connecter des données de journal consiste à utiliser les connecteurs de données fournis par Microsoft Sentinel. Ce module fournit une vue d’ensemble des connecteurs de données disponibles. |
Étapes suivantes
Passez à l’étape 4 pour répondre à un incident.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour