Fonctionnement de Microsoft Sentinel

  • 10 minutes

Comme vous l’avez déjà appris, Microsoft Sentinel vous aide à exécuter des opérations de sécurité de bout en bout. Cela commence par l’ingestion des journaux et continue jusqu’à la réponse automatisée aux alertes de sécurité.

Voici les fonctionnalités et les composants clés de Microsoft Sentinel.

Connecteurs de données

La première chose à faire est d’ingérer vos données dans Microsoft Sentinel. Vous pouvez pour cela faire appel à des connecteurs de données. Vous pouvez ajouter des services, comme les journaux d’activité Azure, simplement en sélectionnant un bouton. D’autres, par exemple syslog, nécessitent une petite configuration. Il existe des connecteurs de données qui couvrent l’ensemble des scénarios et des sources, notamment mais pas exclusivement :

  • syslog
  • CEF (Common Event Format)
  • Échange automatisé approuvé d’informations d’indicateur (TAXII) (pour le renseignement sur les menaces)
  • Azure
  • Services AWS

Screenshot that shows a partial list of data connectors in the Microsoft Sentinel UI in the Azure portal.

Rétention des journaux

Une fois ingérées dans Microsoft Sentinel, vos données sont stockées avec Log Analytics. Les avantages de l’utilisation de Log Analytics comprennent la possibilité d’utiliser le langage de requête Kusto (KQL) pour interroger vos données. KQL est un langage de requête complet qui vous permet d’approfondir vos connaissances et d’obtenir des insights à partir de nos données.

Screenshot showing the Log Analytics interface in the Azure portal.

Workbooks

Vous pouvez utiliser des workbooks pour visualiser vos données dans Microsoft Sentinel. Considérez les classeurs comme des tableaux de bord. Chaque composant du tableau de bord est généré à l’aide d’une requête KQL sous-jacente de vos données. Vous pouvez utiliser les workbooks intégrés à Microsoft Sentinel et les modifier pour répondre à vos besoins, ou créer vos propres workbooks. Si vous avez utilisé des classeurs Azure Monitor, cette fonctionnalité vous sera familière, car il s’agit de l’implémentation par Sentinel des classeurs Monitor.

Screenshot showing an example of a workbook in Microsoft Sentinel.

Alertes analytiques

Pour le moment, vous avez vos journaux et certaines visualisations de données. Maintenant, il serait intéressant d’exécuter une analytique proactive sur vos données pour être averti en cas d’activité suspecte. Vous pouvez activer des alertes analytiques intégrées dans votre espace de travail Sentinel. Il existe différents types d’alertes, dont certains peuvent être modifiés selon vos besoins. D’autres alertes sont générées sur des modèles de Machine Learning qui sont propres à Microsoft. Vous pouvez créer des alertes planifiées personnalisées à partir de zéro.

Screenshot showing some of the built-in analytics alerts available in a Microsoft Sentinel workbook.

Chasse des menaces

Nous n’étudierons pas de façon approfondie la chasse des menaces dans ce module. Toutefois, si les analystes SOC doivent rechercher une activité suspecte, il existe des requêtes de chasse intégrées qu’ils peuvent utiliser. Les analystes peuvent également créer leurs propres requêtes. Sentinel s’intègre également avec Azure Notebooks. Il fournit des exemples de notebook pour les chasseurs avancés qui souhaitent utiliser toute la puissance d’un langage de programmation pour parcourir leurs données.

Screenshot showing the threat-hunting interface in Microsoft Sentinel.

Incidents et investigations

Un incident est créé lorsqu’une alerte que vous avez activée est déclenchée. Dans Microsoft Sentinel, vous pouvez effectuer des tâches de gestion des incidents standard, comme la modification de l’état ou l’affectation d’incidents à des personnes à des fins d’investigation. Microsoft Sentinel dispose également d’une fonctionnalité d’investigation qui vous permet de rechercher visuellement les incidents en mappant les entités entre les données du journal avec une chronologie.

Screenshot showing an incident-investigation graph within Microsoft Sentinel.

Playbooks d’automatisation

Avec la capacité de répondre automatiquement aux incidents, vous pouvez automatiser certaines de vos opérations de sécurité et rendre votre SOC plus productif. Microsoft Sentinel vous permet de créer des workflows automatisés, ou playbooks, en réponse à des événements. Cette fonctionnalité peut être utilisée pour la gestion des incidents, l’enrichissement, l’investigation ou la correction. Cet ensemble de capacités est souvent désigné sous le nom SOAR (orchestration de la sécurité, automatisation et réponse).

Screenshot showing a Microsoft Sentinel Automation, with the Create options highlighted.

En tant qu’analyste SOC, vous commencez maintenant à voir comment Microsoft Sentinel peut vous aider à atteindre vos objectifs. Par exemple, vous pouvez :

  • Ingérer des données à partir de vos environnements cloud et locaux.
  • Effectuez des analyses sur ces données.
  • Gérez et examinez les incidents qui se produisent.
  • Répondez éventuellement de façon automatisée à l’aide de règles.

En d’autres termes, Microsoft Sentinel vous offre une solution de bout en bout pour vos opérations de sécurité.