Az - Defender

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Microsoft Sentinel

Microsoft Sentinel est une solution SIEM (Gestion des informations et des Ă©vĂ©nements de sĂ©curitĂ©) et SOAR (Orchestration, automatisation et rĂ©ponse en matiĂšre de sĂ©curitĂ©) native du cloud sur Azure​.

Elle agrĂšge les donnĂ©es de sĂ©curitĂ© provenant de toute une organisation (sur site et dans le cloud) en une seule plateforme et utilise des analyses intĂ©grĂ©es et des renseignements sur les menaces pour identifier les menaces potentielles​. Sentinel tire parti des services Azure tels que Log Analytics (pour le stockage massif de journaux et les requĂȘtes) et Logic Apps (pour les flux de travail automatisĂ©s) – cela signifie qu’il peut Ă©voluer Ă  la demande et s’intĂ©grer aux capacitĂ©s d’IA et d’automatisation d’Azure​.

En essence, Sentinel collecte et analyse les journaux de diverses sources, dĂ©tecte des anomalies ou des activitĂ©s malveillantes, et permet aux Ă©quipes de sĂ©curitĂ© d’enquĂȘter et de rĂ©pondre rapidement aux menaces, le tout via le portail Azure sans avoir besoin d’une infrastructure SIEM sur site​.

Configuration de Microsoft Sentinel

Vous commencez par activer Sentinel sur un espace de travail Azure Log Analytics (l’espace de travail est l’endroit oĂč les journaux seront stockĂ©s et analysĂ©s). Voici les Ă©tapes Ă  suivre pour commencer :

  1. Activer Microsoft Sentinel sur un espace de travail : Dans le portail Azure, créez ou utilisez un espace de travail Log Analytics existant et ajoutez Microsoft Sentinel. Cela déploie les capacités de Sentinel dans votre espace de travail.
  2. Connecter les sources de donnĂ©es (connecteurs de donnĂ©es) : Une fois Sentinel activĂ©, connectez vos sources de donnĂ©es Ă  l’aide de connecteurs de donnĂ©es intĂ©grĂ©s. Qu’il s’agisse de journaux Entra ID, d’Office 365 ou mĂȘme de journaux de pare-feu, Sentinel commence Ă  ingĂ©rer automatiquement les journaux et les alertes. Cela se fait gĂ©nĂ©ralement en crĂ©ant des paramĂštres de diagnostic pour envoyer des journaux dans l’espace de travail de journaux utilisĂ©.
  3. Appliquer des rĂšgles d’analyse et du contenu : Avec les donnĂ©es qui affluent, activez les rĂšgles d’analyse intĂ©grĂ©es ou crĂ©ez des rĂšgles personnalisĂ©es pour dĂ©tecter les menaces. Utilisez le Content Hub pour des modĂšles de rĂšgles prĂ©emballĂ©s et des carnets de travail qui lancent vos capacitĂ©s de dĂ©tection.
  4. (Optionnel) Configurer l’automatisation : Configurez l’automatisation avec des playbooks pour rĂ©pondre automatiquement aux incidents, comme l’envoi d’alertes ou l’isolement de comptes compromis, amĂ©liorant ainsi votre rĂ©ponse globale.

Principales caractéristiques

  • Journaux : L’onglet Journaux ouvre l’interface de requĂȘte Log Analytics, oĂč vous pouvez plonger profondĂ©ment dans vos donnĂ©es en utilisant le Kusto Query Language (KQL). Cette zone est cruciale pour le dĂ©pannage, l’analyse judiciaire et les rapports personnalisĂ©s. Vous pouvez Ă©crire et exĂ©cuter des requĂȘtes pour filtrer les Ă©vĂ©nements de journal, corrĂ©ler des donnĂ©es provenant de diffĂ©rentes sources, et mĂȘme crĂ©er des tableaux de bord ou des alertes personnalisĂ©s basĂ©s sur vos dĂ©couvertes. C’est le centre d’exploration des donnĂ©es brutes de Sentinel.
  • Recherche : L’outil de recherche offre une interface unifiĂ©e pour localiser rapidement des Ă©vĂ©nements de sĂ©curitĂ©, des incidents et mĂȘme des entrĂ©es de journal spĂ©cifiques. PlutĂŽt que de naviguer manuellement Ă  travers plusieurs onglets, vous pouvez taper des mots-clĂ©s, des adresses IP ou des noms d’utilisateur pour faire apparaĂźtre instantanĂ©ment tous les Ă©vĂ©nements connexes. Cette fonctionnalitĂ© est particuliĂšrement utile lors d’une enquĂȘte lorsque vous devez rapidement connecter diffĂ©rentes informations.
  • Incidents : La section Incidents centralise toutes les alertes groupĂ©es en cas gĂ©rables. Sentinel agrĂšge les alertes connexes en un seul incident, fournissant un contexte tel que la gravitĂ©, la chronologie et les ressources affectĂ©es. Dans un incident, vous pouvez voir un graphique d’enquĂȘte dĂ©taillĂ© qui cartographie la relation entre les alertes, facilitant ainsi la comprĂ©hension de l’ampleur et de l’impact d’une menace potentielle. La gestion des incidents comprend Ă©galement des options pour assigner des tĂąches, mettre Ă  jour des statuts et s’intĂ©grer aux flux de travail de rĂ©ponse.
  • Carnets de travail : Les carnets de travail sont des tableaux de bord et des rapports personnalisables qui vous aident Ă  visualiser et analyser vos donnĂ©es de sĂ©curitĂ©. Ils combinent divers graphiques, tableaux et requĂȘtes pour offrir une vue d’ensemble des tendances et des modĂšles. Par exemple, vous pourriez utiliser un carnet de travail pour afficher une chronologie des activitĂ©s de connexion, une cartographie gĂ©ographique des adresses IP, ou la frĂ©quence de certaines alertes au fil du temps. Les carnets de travail sont Ă  la fois prĂ©conçus et entiĂšrement personnalisables pour rĂ©pondre aux besoins de surveillance spĂ©cifiques de votre organisation.
  • Chasse : La fonctionnalitĂ© Chasse fournit une approche proactive pour trouver des menaces qui pourraient ne pas avoir dĂ©clenchĂ© d’alertes standard. Elle est livrĂ©e avec des requĂȘtes de chasse prĂ©conçues qui s’alignent sur des cadres comme MITRE ATT&CK, mais vous permet Ă©galement d’écrire des requĂȘtes personnalisĂ©es. Cet outil est idĂ©al pour les analystes avancĂ©s cherchant Ă  dĂ©couvrir des menaces furtives ou Ă©mergentes en explorant des donnĂ©es historiques et en temps rĂ©el, telles que des modĂšles de rĂ©seau inhabituels ou un comportement utilisateur anormal.
  • Cahiers : Avec l’intĂ©gration des Cahiers, Sentinel tire parti des Cahiers Jupyter pour des analyses de donnĂ©es avancĂ©es et des enquĂȘtes automatisĂ©es. Cette fonctionnalitĂ© vous permet d’exĂ©cuter du code Python directement sur vos donnĂ©es Sentinel, rendant possible l’analyse d’apprentissage automatique, la crĂ©ation de visualisations personnalisĂ©es ou l’automatisation de tĂąches d’enquĂȘte complexes. Elle est particuliĂšrement utile pour les scientifiques des donnĂ©es ou les analystes de sĂ©curitĂ© qui ont besoin de mener des analyses approfondies au-delĂ  des requĂȘtes standard.
  • Comportement des entitĂ©s : La page Comportement des entitĂ©s utilise l’analyse du comportement des utilisateurs et des entitĂ©s (UEBA) pour Ă©tablir des bases de rĂ©fĂ©rence pour l’activitĂ© normale dans votre environnement. Elle affiche des profils dĂ©taillĂ©s pour les utilisateurs, les appareils et les adresses IP, mettant en Ă©vidence les Ă©carts par rapport au comportement typique. Par exemple, si un compte normalement peu actif prĂ©sente soudainement des transferts de donnĂ©es Ă  volume Ă©levĂ©, cet Ă©cart sera signalĂ©. Cet outil est essentiel pour identifier les menaces internes ou les identifiants compromis basĂ©s sur des anomalies comportementales.
  • Renseignements sur les menaces : La section Renseignements sur les menaces vous permet de gĂ©rer et de corrĂ©ler des indicateurs de menaces externes—tels que des adresses IP malveillantes, des URL ou des hachages de fichiers—avec vos donnĂ©es internes. En s’intĂ©grant Ă  des flux de renseignements externes, Sentinel peut automatiquement signaler des Ă©vĂ©nements qui correspondent Ă  des menaces connues. Cela vous aide Ă  dĂ©tecter et Ă  rĂ©pondre rapidement aux attaques qui font partie de campagnes plus larges et connues, ajoutant une autre couche de contexte Ă  vos alertes de sĂ©curitĂ©.
  • MITRE ATT&CK : Dans l’onglet MITRE ATT&CK, Sentinel cartographie vos donnĂ©es de sĂ©curitĂ© et vos rĂšgles de dĂ©tection au cadre largement reconnu MITRE ATT&CK. Cette vue vous aide Ă  comprendre quelles tactiques et techniques sont observĂ©es dans votre environnement, Ă  identifier les lacunes potentielles dans la couverture, et Ă  aligner votre stratĂ©gie de dĂ©tection avec des modĂšles d’attaque reconnus. Elle fournit un moyen structurĂ© d’analyser comment les adversaires pourraient attaquer votre environnement et aide Ă  prioriser les actions dĂ©fensives.
  • Content Hub : Le Content Hub est un rĂ©fĂ©rentiel centralisĂ© de solutions prĂ©emballĂ©es, y compris des connecteurs de donnĂ©es, des rĂšgles d’analyse, des carnets de travail et des playbooks. Ces solutions sont conçues pour accĂ©lĂ©rer votre dĂ©ploiement et amĂ©liorer votre posture de sĂ©curitĂ© en fournissant des configurations de meilleures pratiques pour des services courants (comme Office 365, Entra ID, etc.). Vous pouvez parcourir, installer et mettre Ă  jour ces packs de contenu, facilitant ainsi l’intĂ©gration de nouvelles technologies dans Sentinel sans configuration manuelle extensive.
  • DĂ©pĂŽts : La fonctionnalitĂ© DĂ©pĂŽts (actuellement en aperçu) permet le contrĂŽle de version pour votre contenu Sentinel. Elle s’intĂšgre Ă  des systĂšmes de contrĂŽle de version tels que GitHub ou Azure DevOps, vous permettant de gĂ©rer vos rĂšgles d’analyse, carnets de travail, playbooks et autres configurations en tant que code. Cette approche amĂ©liore non seulement la gestion des changements et la collaboration, mais facilite Ă©galement le retour Ă  des versions prĂ©cĂ©dentes si nĂ©cessaire.
  • Gestion des espaces de travail : Le gestionnaire d’espace de travail de Microsoft Sentinel permet aux utilisateurs de gĂ©rer de maniĂšre centralisĂ©e plusieurs espaces de travail Microsoft Sentinel au sein d’un ou plusieurs locataires Azure. L’espace de travail central (avec le gestionnaire d’espace de travail activĂ©) peut consolider les Ă©lĂ©ments de contenu Ă  publier Ă  grande Ă©chelle dans les espaces de travail membres.
  • Connecteurs de donnĂ©es : La page Connecteurs de donnĂ©es rĂ©pertorie tous les connecteurs disponibles qui apportent des donnĂ©es dans Sentinel. Chaque connecteur est prĂ©configurĂ© pour des sources de donnĂ©es spĂ©cifiques (Ă  la fois Microsoft et tiers) et montre son statut de connexion. La configuration d’un connecteur de donnĂ©es implique gĂ©nĂ©ralement quelques clics, aprĂšs quoi Sentinel commence Ă  ingĂ©rer et Ă  analyser les journaux de cette source. Cette zone est vitale car la qualitĂ© et l’étendue de votre surveillance de sĂ©curitĂ© dĂ©pendent de la gamme et de la configuration de vos sources de donnĂ©es connectĂ©es.
  • Analytique : Dans l’onglet Analytique, vous crĂ©ez et gĂ©rez les rĂšgles de dĂ©tection qui alimentent les alertes de Sentinel. Ces rĂšgles sont essentiellement des requĂȘtes qui s’exĂ©cutent selon un calendrier (ou presque en temps rĂ©el) pour identifier des modĂšles suspects ou des violations de seuil dans vos donnĂ©es de journal. Vous pouvez choisir parmi des modĂšles intĂ©grĂ©s fournis par Microsoft ou crĂ©er vos propres rĂšgles personnalisĂ©es en utilisant KQL. Les rĂšgles d’analyse dĂ©terminent comment et quand les alertes sont gĂ©nĂ©rĂ©es, impactant directement la façon dont les incidents sont formĂ©s et priorisĂ©s.
  • Liste de surveillance : La liste de surveillance de Microsoft Sentinel permet la collecte de donnĂ©es provenant de sources de donnĂ©es externes pour corrĂ©ler avec les Ă©vĂ©nements dans votre environnement Microsoft Sentinel. Une fois crĂ©Ă©e, utilisez les listes de surveillance dans votre recherche, vos rĂšgles de dĂ©tection, votre chasse aux menaces, vos carnets de travail et vos playbooks de rĂ©ponse.
  • Automatisation : Les rĂšgles d’automatisation vous permettent de gĂ©rer de maniĂšre centralisĂ©e toute l’automatisation du traitement des incidents. Les rĂšgles d’automatisation rationalisent l’utilisation de l’automatisation dans Microsoft Sentinel et vous permettent de simplifier des flux de travail complexes pour vos processus d’orchestration des incidents.

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks