Que sont les playbooks Microsoft Sentinel ?
En plus d’évaluer et de résoudre les problèmes liés à la configuration de la sécurité, Contoso doit également superviser les nouveaux problèmes et menaces, et réagir de manière appropriée.
Microsoft Sentinel comme solution SIEM et SOAR
Microsoft Sentinel est une solution à la fois d’informations de sécurité et gestion d’événements (SIEM), et d’orchestration de sécurité, d’automatisation et de réponse (SOAR) conçue pour les environnements hybrides.
Notes
Les solutions SIEM assurent le stockage et l’analyse des journaux, des événements et des alertes que les autres systèmes génèrent. Vous pouvez configurer ces solutions pour qu’elles déclenchent leurs propres alertes. Les solutions SOAR prennent en charge la correction des vulnérabilités et l’automatisation générale des processus de sécurité.
Microsoft Sentinel utilise des détections intégrées et personnalisées pour vous avertir des menaces de sécurité potentielles, par exemple, les tentatives d’accès aux ressources de Contoso en dehors de l’infrastructure ou quand des données de Contoso semblent envoyées à une adresse IP malveillante connue. Vous pouvez également créer des incidents en fonction de ces alertes.
Playbooks Microsoft Sentinel
Vous pouvez créer des playbooks de sécurité dans Microsoft Sentinel pour répondre aux alertes. Les playbooks de sécurité sont des collections de procédures basées sur Azure Logic Apps qui s’exécutent en réponse à une alerte. Vous pouvez exécuter ces playbooks de sécurité manuellement à la suite de l’investigation d’un incident ou configurer une alerte pour exécuter automatiquement un playbook.
La possibilité de répondre automatiquement aux incidents vous permet d’automatiser certaines de vos opérations de sécurité et d’améliorer la productivité de votre centre des opérations de sécurité (SOC).
Par exemple, pour répondre aux préoccupations de Contoso, vous pouvez développer un workflow avec des étapes définies capables d’empêcher un nom d’utilisateur suspect d’accéder aux ressources à partir d’une adresse IP non sécurisée. Vous pouvez également configurer le playbook pour effectuer une opération, par exemple avertir l’équipe SecOps d’une alerte de sécurité de haut niveau.
Azure Logic Apps
Azure Logic Apps est un service cloud qui automatise le fonctionnement de vos processus métier. Vous utilisez un outil de conception graphique appelé Concepteur d’application logique pour organiser des composants prédéfinis dans la séquence souhaitée. Vous pouvez également utiliser le mode Code et écrire votre processus automatisé dans le fichier JSON.
Connecteur Logic Apps
Les applications logiques utilisent des connecteurs pour se connecter à des centaines de services. Un connecteur est un composant qui fournit une interface à un service externe.
Notes
Le connecteur de données Microsoft Sentinel et le connecteur Logic Apps sont deux choses différentes. Le connecteur de données Microsoft Sentinel connecte Microsoft Sentinel aux produits de sécurité Microsoft et aux écosystèmes de sécurité des solutions non-Microsoft. Un connecteur Logic Apps est un composant qui fournit une connexion d’API pour un service externe et permet d’intégrer des événements, des données et des actions dans d’autres applications, services, systèmes, protocoles et plateformes.
En quoi consistent les déclencheurs et les actions
Les applications logiques Azure utilisent des déclencheurs et des actions, qui sont définis comme suit :
Un déclencheur est un événement qui se produit quand un ensemble spécifique de conditions est satisfait. Les déclencheurs sont activés automatiquement quand les conditions sont remplies, Par exemple, un incident de sécurité qui se produit dans Microsoft Sentinel est le déclencheur d’une action automatisée.
Une action est une opération qui effectue une tâche dans le workflow Logic Apps. Les actions s’exécutent quand un déclencheur est activé, qu’une autre action se termine ou qu’une condition est remplie.
Connecteur Logic Apps Microsoft Sentinel
Un playbook Microsoft Sentinel utilise un connecteur Logic Apps Microsoft Sentinel. Il fournit les déclencheurs et les actions qui peuvent démarrer le playbook et effectuer des actions définies.
Actuellement, le connecteur Logic Apps Microsoft Sentinel fournit deux déclencheurs :
Quand une réponse à une alerte Microsoft Sentinel est déclenchée
Quand la règle de création d’incident Microsoft Sentinel est déclenchée
Notes
Comme le connecteur Logic Apps Microsoft Sentinel est en préversion, les fonctionnalités décrites dans ce module sont susceptibles de changer.
Le tableau suivant liste toutes les actions actuelles du connecteur Microsoft Sentinel.
| Nom | Description |
|---|---|
| Ajouter un commentaire à l’incident | Ajoute des commentaires à l’incident sélectionné. |
| Ajouter des étiquettes à l’incident | Ajoute des étiquettes à l’incident sélectionné. |
| Alerte - Obtenir l’incident | Retourne l’incident associé à l’alerte sélectionnée. |
| Changer la description de l’incident | Change la description de l’incident sélectionné. |
| Changer la gravité de l’incident | Change la gravité de l’incident sélectionné. |
| Changer l’état de l’incident | Change l’état de l’incident sélectionné. |
| Changer le titre de l’incident (V2) | Change le titre de l’incident sélectionné. |
| Entités - Obtenir les comptes | Retourne la liste des comptes associés à l’alerte. |
| Entités - Obtenir FileHashes | Retourne la liste des hachages de fichier associés à l’alerte. |
| Entités - Obtenir les hôtes | Retourne la liste des hôtes associés à l’alerte. |
| Entités - Obtenir les IP | Retourne la liste des IP associées à l’alerte. |
| Entités - Obtenir les URL | Retourne la liste des URL associées à l’alerte. |
| Supprimer les étiquettes de l’incident | Supprime les étiquettes de l’incident sélectionné. |
Notes
Les actions marquées avec (V2) ou un nombre supérieur fournissent une nouvelle version de l’action et peuvent différer de l’ancienne fonctionnalité de l’action.
Certaines actions doivent être intégrées aux actions d’un autre connecteur. Par exemple, si Contoso souhaite identifier tous les comptes suspects retournés dans l’alerte à partir des entités définies, vous devez combiner l’action Entités - Obtenir les comptes et l’action Pour chaque. De même, pour obtenir tous les hôtes individuels dans un incident qui détecte des hôtes suspects, vous devez combiner l’action Entités - Obtenir les hôtes avec l’action Pour chaque.