Renseignement sur les menaces pour les serveurs avec Azure Arc à l’aide de Microsoft Sentinel
Les analystes du centre des opérations de sécurité (SOC, Security Operations Center) de Tailwind Traders ont du mal à évaluer leur environnement avec ses diverses solutions SIEM et SOAR. Dans cette unité, vous allez découvrir comment les serveurs avec Azure Arc peuvent être utilisés avec Microsoft Sentinel, une solution SIEM et SOAR qui garde le rythme avec un environnement hybride et multicloud.
Vue d’ensemble de Microsoft Sentinel
Microsoft Sentinel est une solution native cloud et évolutive de type SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response). Microsoft Sentinel assure le renseignement sur les menaces au sein de l’entreprise, en fournissant une solution unique pour la détection des attaques, la chasse proactive et la réponse aux menaces.
Microsoft Sentinel vous offre une vue d’ensemble de l’organisation, ce qui réduit le stress lié aux attaques de plus en plus sophistiquées, aux volumes croissants d’alertes et aux longs délais de résolution.
- Collectez des données à l’échelle du cloud sur l’ensemble des utilisateurs, appareils, applications et infrastructures, tant locaux que dans de multiples clouds.
- Détectez les menaces non détectées précédemment et réduisez les faux positifs en vous appuyant sur l’analytique et les systèmes de renseignement incomparables sur les menaces fournis par Microsoft.
- Investiguez les menaces en utilisant l’intelligence artificielle et recherchez les activités suspectes à grande échelle en profitant des années de travail que Microsoft a consacrées à la cybersécurité.
- Répondez aux incidents rapidement avec une orchestration et une automatisation intégrées des tâches courantes.
Connecter des données
Pour intégrer Microsoft Sentinel, vous devez d’abord vous connecter à vos sources de sécurité.
Microsoft Sentinel est fourni avec plusieurs connecteurs pour les solutions Microsoft, prêts à l’emploi et offrant une intégration en temps réel. Les connecteurs prêts à l’emploi de Microsoft Sentinel incluent des sources Microsoft 365, Microsoft Entra ID, Microsoft Defender pour Identity et Microsoft Defender pour Cloud Apps. En outre, il existe des connecteurs intégrés pour la connexion aux écosystèmes de sécurité élargis pour les solutions non Microsoft.
Les connecteurs de données appropriés pour les serveurs avec Azure Arc peuvent inclure des événements de sécurité par le biais de l’ancien agent, des événements de sécurité Windows par le biais d’AMA ou Syslog.
Classeurs et analytique
Après avoir connecté vos sources de données à Microsoft Sentinel, vous pouvez surveiller les données en utilisant l’intégration de Microsoft Sentinel aux workbooks Azure Monitor, ce qui offre une grande polyvalence lors de la création de workbooks personnalisés. Microsoft Sentinel est également fourni avec des modèles de classeurs intégrés qui vous permettent d’obtenir rapidement des insights sur vos données dès que vous vous connectez à une source de données.
Pour vous aider à réduire le nombre d’alertes à examiner, Microsoft Sentinel utilise une analytique pour mettre en corrélation les alertes à des incidents. Les incidents sont des groupes d’alertes associées qui créent ensemble une menace possible actionnable que vous pouvez investiguer et résoudre. Utilisez les règles de corrélation intégrées telles quelles ou utilisez-les comme point de départ pour créer vos propres règles. Microsoft Sentinel fournit également des règles d’apprentissage machine pour mapper le comportement de votre réseau et rechercher les possibles anomalies sur vos ressources.
Automatisation et orchestration de la sécurité
Vous pouvez automatiser vos tâches courantes et simplifier l’orchestration de la sécurité avec des playbooks qui s’intègrent aux services Azure et à vos outils.
Grâce à Azure Logic Apps, la solution d’automatisation et d’orchestration de Microsoft Sentinel est extensible, évolutive et modernisée. Pour créer des playbooks avec Azure Logic Apps, vous pouvez faire votre choix dans une galerie croissante de playbooks intégrés. Ceux-ci incluent plus de 200 connecteurs pour différents services comme Azure Functions. Ces connecteurs vous permettent d’appliquer une logique personnalisée dans votre code, ServiceNow, Jira, Zendesk, les requêtes HTTP, Microsoft Teams, Slack, Windows Defender ATP et Defender for Cloud Apps.
Chasse et notebook
Utilisez les puissants outils de repérage et d’interrogation de Microsoft Sentinel, basés sur le framework MITRE, pour repérer de manière proactive les menaces de sécurité dans les sources de données de votre organisation, avant qu’une alerte ne se déclenche. Une fois que vous avez découvert la requête de repérage qui fournit des insights précieux sur les attaques, vous pouvez également créer des règles de détection personnalisées basées sur votre requête et faire apparaître ces insights sous forme d’alertes dans vos répondeurs en cas d’incidents de sécurité. Lors de la recherche, vous pouvez créer des signets pour les événements intéressants, ce qui vous permet d’y revenir plus tard, de les partager avec d’autres utilisateurs et de les regrouper avec d’autres événements en corrélation pour créer un incident d’investigation solide.
Microsoft Sentinel prend en charge les notebooks Jupyter dans les espaces de travail Azure Machine Learning, y compris des bibliothèques complètes pour le Machine Learning, la visualisation et l’analyse des données. Vous pouvez utiliser des notebooks dans Microsoft Sentinel pour élargir l’étendue des actions possibles avec les données Microsoft Sentinel. Vous pouvez par exemple effectuer des analyses qui ne sont pas intégrées à Microsoft Sentinel, comme certaines fonctionnalités de Machine Learning Python, créer des visualisations de données qui ne sont pas intégrées à Microsoft Sentinel, comme des chronologies personnalisées et des arborescences de processus, ou intégrer des sources de données qui se trouvent hors de Microsoft Sentinel, comme un jeu de données local.