Az - Defender

Reading time: 10 minutes

Microsoft Sentinel

Microsoft Sentinel est une solution SIEM (Gestion des informations et des événements de sécurité) et SOAR (Orchestration, automatisation et réponse en matière de sécurité) native du cloud sur Azure​.

Elle agrège les données de sécurité provenant de toute une organisation (sur site et dans le cloud) en une seule plateforme et utilise des analyses intégrées et des renseignements sur les menaces pour identifier les menaces potentielles​. Sentinel tire parti des services Azure tels que Log Analytics (pour le stockage massif de journaux et les requêtes) et Logic Apps (pour les flux de travail automatisés) – cela signifie qu'il peut évoluer à la demande et s'intégrer aux capacités d'IA et d'automatisation d'Azure​.

En essence, Sentinel collecte et analyse les journaux de diverses sources, détecte des anomalies ou des activités malveillantes, et permet aux équipes de sécurité d'enquêter et de répondre rapidement aux menaces, le tout via le portail Azure sans avoir besoin d'une infrastructure SIEM sur site​.

Configuration de Microsoft Sentinel

Vous commencez par activer Sentinel sur un espace de travail Azure Log Analytics (l'espace de travail est l'endroit où les journaux seront stockés et analysés). Voici les étapes à suivre pour commencer :

1. Activer Microsoft Sentinel sur un espace de travail : Dans le portail Azure, créez ou utilisez un espace de travail Log Analytics existant et ajoutez Microsoft Sentinel. Cela déploie les capacités de Sentinel dans votre espace de travail.
2. Connecter les sources de données (connecteurs de données) : Une fois Sentinel activé, connectez vos sources de données à l'aide de connecteurs de données intégrés. Qu'il s'agisse de journaux Entra ID, d'Office 365 ou même de journaux de pare-feu, Sentinel commence à ingérer automatiquement les journaux et les alertes. Cela se fait généralement en créant des paramètres de diagnostic pour envoyer des journaux dans l'espace de travail de journaux utilisé.
3. Appliquer des règles d'analyse et du contenu : Avec les données qui affluent, activez les règles d'analyse intégrées ou créez des règles personnalisées pour détecter les menaces. Utilisez le Content Hub pour des modèles de règles préemballés et des carnets de travail qui lancent vos capacités de détection.
4. (Optionnel) Configurer l'automatisation : Configurez l'automatisation avec des playbooks pour répondre automatiquement aux incidents, comme l'envoi d'alertes ou l'isolement de comptes compromis, améliorant ainsi votre réponse globale.

Principales caractéristiques

• Journaux : L'onglet Journaux ouvre l'interface de requête Log Analytics, où vous pouvez plonger profondément dans vos données en utilisant le Kusto Query Language (KQL). Cette zone est cruciale pour le dépannage, l'analyse judiciaire et les rapports personnalisés. Vous pouvez écrire et exécuter des requêtes pour filtrer les événements de journal, corréler des données provenant de différentes sources, et même créer des tableaux de bord ou des alertes personnalisés basés sur vos découvertes. C'est le centre d'exploration des données brutes de Sentinel.
• Recherche : L'outil de recherche offre une interface unifiée pour localiser rapidement des événements de sécurité, des incidents et même des entrées de journal spécifiques. Plutôt que de naviguer manuellement à travers plusieurs onglets, vous pouvez taper des mots-clés, des adresses IP ou des noms d'utilisateur pour faire apparaître instantanément tous les événements connexes. Cette fonctionnalité est particulièrement utile lors d'une enquête lorsque vous devez rapidement connecter différentes informations.
• Incidents : La section Incidents centralise toutes les alertes groupées en cas gérables. Sentinel agrège les alertes connexes en un seul incident, fournissant un contexte tel que la gravité, la chronologie et les ressources affectées. Dans un incident, vous pouvez voir un graphique d'enquête détaillé qui cartographie la relation entre les alertes, facilitant ainsi la compréhension de l'ampleur et de l'impact d'une menace potentielle. La gestion des incidents comprend également des options pour assigner des tâches, mettre à jour des statuts et s'intégrer aux flux de travail de réponse.
• Carnets de travail : Les carnets de travail sont des tableaux de bord et des rapports personnalisables qui vous aident à visualiser et analyser vos données de sécurité. Ils combinent divers graphiques, tableaux et requêtes pour offrir une vue d'ensemble des tendances et des modèles. Par exemple, vous pourriez utiliser un carnet de travail pour afficher une chronologie des activités de connexion, une cartographie géographique des adresses IP, ou la fréquence de certaines alertes au fil du temps. Les carnets de travail sont à la fois préconçus et entièrement personnalisables pour répondre aux besoins de surveillance spécifiques de votre organisation.
• Chasse : La fonctionnalité Chasse fournit une approche proactive pour trouver des menaces qui pourraient ne pas avoir déclenché d'alertes standard. Elle est livrée avec des requêtes de chasse préconçues qui s'alignent sur des cadres comme MITRE ATT&CK, mais vous permet également d'écrire des requêtes personnalisées. Cet outil est idéal pour les analystes avancés cherchant à découvrir des menaces furtives ou émergentes en explorant des données historiques et en temps réel, telles que des modèles de réseau inhabituels ou un comportement utilisateur anormal.
• Cahiers : Avec l'intégration des Cahiers, Sentinel tire parti des Cahiers Jupyter pour des analyses de données avancées et des enquêtes automatisées. Cette fonctionnalité vous permet d'exécuter du code Python directement sur vos données Sentinel, rendant possible l'analyse d'apprentissage automatique, la création de visualisations personnalisées ou l'automatisation de tâches d'enquête complexes. Elle est particulièrement utile pour les scientifiques des données ou les analystes de sécurité qui ont besoin de mener des analyses approfondies au-delà des requêtes standard.
• Comportement des entités : La page Comportement des entités utilise l'analyse du comportement des utilisateurs et des entités (UEBA) pour établir des bases de référence pour l'activité normale dans votre environnement. Elle affiche des profils détaillés pour les utilisateurs, les appareils et les adresses IP, mettant en évidence les écarts par rapport au comportement typique. Par exemple, si un compte normalement peu actif présente soudainement des transferts de données à volume élevé, cet écart sera signalé. Cet outil est essentiel pour identifier les menaces internes ou les identifiants compromis basés sur des anomalies comportementales.
• Renseignements sur les menaces : La section Renseignements sur les menaces vous permet de gérer et de corréler des indicateurs de menaces externes—tels que des adresses IP malveillantes, des URL ou des hachages de fichiers—avec vos données internes. En s'intégrant à des flux de renseignements externes, Sentinel peut automatiquement signaler des événements qui correspondent à des menaces connues. Cela vous aide à détecter et à répondre rapidement aux attaques qui font partie de campagnes plus larges et connues, ajoutant une autre couche de contexte à vos alertes de sécurité.
• MITRE ATT&CK : Dans l'onglet MITRE ATT&CK, Sentinel cartographie vos données de sécurité et vos règles de détection au cadre largement reconnu MITRE ATT&CK. Cette vue vous aide à comprendre quelles tactiques et techniques sont observées dans votre environnement, à identifier les lacunes potentielles dans la couverture, et à aligner votre stratégie de détection avec des modèles d'attaque reconnus. Elle fournit un moyen structuré d'analyser comment les adversaires pourraient attaquer votre environnement et aide à prioriser les actions défensives.
• Content Hub : Le Content Hub est un référentiel centralisé de solutions préemballées, y compris des connecteurs de données, des règles d'analyse, des carnets de travail et des playbooks. Ces solutions sont conçues pour accélérer votre déploiement et améliorer votre posture de sécurité en fournissant des configurations de meilleures pratiques pour des services courants (comme Office 365, Entra ID, etc.). Vous pouvez parcourir, installer et mettre à jour ces packs de contenu, facilitant ainsi l'intégration de nouvelles technologies dans Sentinel sans configuration manuelle extensive.
• Dépôts : La fonctionnalité Dépôts (actuellement en aperçu) permet le contrôle de version pour votre contenu Sentinel. Elle s'intègre à des systèmes de contrôle de version tels que GitHub ou Azure DevOps, vous permettant de gérer vos règles d'analyse, carnets de travail, playbooks et autres configurations en tant que code. Cette approche améliore non seulement la gestion des changements et la collaboration, mais facilite également le retour à des versions précédentes si nécessaire.
• Gestion des espaces de travail : Le gestionnaire d'espace de travail de Microsoft Sentinel permet aux utilisateurs de gérer de manière centralisée plusieurs espaces de travail Microsoft Sentinel au sein d'un ou plusieurs locataires Azure. L'espace de travail central (avec le gestionnaire d'espace de travail activé) peut consolider les éléments de contenu à publier à grande échelle dans les espaces de travail membres.
• Connecteurs de données : La page Connecteurs de données répertorie tous les connecteurs disponibles qui apportent des données dans Sentinel. Chaque connecteur est préconfiguré pour des sources de données spécifiques (à la fois Microsoft et tiers) et montre son statut de connexion. La configuration d'un connecteur de données implique généralement quelques clics, après quoi Sentinel commence à ingérer et à analyser les journaux de cette source. Cette zone est vitale car la qualité et l'étendue de votre surveillance de sécurité dépendent de la gamme et de la configuration de vos sources de données connectées.
• Analytique : Dans l'onglet Analytique, vous créez et gérez les règles de détection qui alimentent les alertes de Sentinel. Ces règles sont essentiellement des requêtes qui s'exécutent selon un calendrier (ou presque en temps réel) pour identifier des modèles suspects ou des violations de seuil dans vos données de journal. Vous pouvez choisir parmi des modèles intégrés fournis par Microsoft ou créer vos propres règles personnalisées en utilisant KQL. Les règles d'analyse déterminent comment et quand les alertes sont générées, impactant directement la façon dont les incidents sont formés et priorisés.
• Liste de surveillance : La liste de surveillance de Microsoft Sentinel permet la collecte de données provenant de sources de données externes pour corréler avec les événements dans votre environnement Microsoft Sentinel. Une fois créée, utilisez les listes de surveillance dans votre recherche, vos règles de détection, votre chasse aux menaces, vos carnets de travail et vos playbooks de réponse.
• Automatisation : Les règles d'automatisation vous permettent de gérer de manière centralisée toute l'automatisation du traitement des incidents. Les règles d'automatisation rationalisent l'utilisation de l'automatisation dans Microsoft Sentinel et vous permettent de simplifier des flux de travail complexes pour vos processus d'orchestration des incidents.