Présentation de Microsoft Sentinel
Commençons par quelques définitions et examinons les systèmes SIEM (informations de sécurité et gestion d’événements) et Microsoft Sentinel.
Que sont les informations de sécurité et de gestion des événements (SIEM) ?
Un système SIEM est un outil utilisé par une organisation pour collecter, analyser et effectuer des opérations de sécurité sur ses systèmes informatiques. Ces systèmes peuvent être des appliances matérielles, des applications, ou les deux.
Dans sa forme la plus simple, un système SIEM vous permet d’effectuer les opérations suivantes :
- Collecter et interroger les journaux.
- Procéder à une forme de corrélation ou de détection d'anomalie.
- Créer des alertes et des incidents en fonction de vos découvertes.
Un système SIEM peut offrir des fonctionnalités telles que :
Gestion du journal : capacité à collecter, stocker et interroger les données du journal à partir de ressources au sein de votre environnement.
Alerte : Une recherche proactive dans les données de journal pour les incidents et les anomalies de sécurité potentielles.
Visualisation : Graphes et tableaux de bord qui fournissent des insights visuels sur vos données de journal.
Gestion des incidents : La possibilité de créer, mettre à jour, attribuer et examiner les incidents qui ont été identifiés.
Interrogation des données : Un langage de requête riche, similaire à celui de la gestion des journaux, que vous pouvez utiliser pour interroger et comprendre vos données.
Présentation de Microsoft Sentinel
Microsoft Sentinel est un système SIEM natif cloud qui permet à une équipe des opérations de sécurité d’effectuer les opérations suivantes :
- Obtenir des insights de sécurité au sein de l’entreprise en recueillant des données à partir de pratiquement n’importe quelle source.
- Détecter et examiner rapidement les menaces avec le machine learning intégré et le renseignement sur les menaces proposé par Microsoft.
- Automatiser les réponses aux menaces avec des règles et l’intégration d’Azure Logic Apps.
Contrairement aux solutions SIEM classiques, vous n’avez pas besoin d’installer des serveurs locaux ou dans le cloud pour exécuter Microsoft Sentinel. Microsoft Sentinel est un service que vous déployez dans Azure. Vous pouvez devenir opérationnel avec Sentinel en quelques minutes seulement dans le portail Azure.
Microsoft Sentinel est étroitement intégré à d’autres services cloud. Non seulement vous pouvez ingérer rapidement les journaux, mais vous pouvez également utiliser d’autres services cloud en mode natif (par exemple, l’autorisation et l’automatisation).
Microsoft Sentinel vous aide à activer des opérations de sécurité de bout en bout, notamment la collecte, la détection, l’investigation et la réponse :
Jetons un œil aux composants clés de Microsoft Sentinel.