Présentation de Microsoft Azure Sentinel


Article original : https://docs.microsoft.com/en-us/azure/sentinel/overview

Microsoft Azure Sentinel est une solution évolutive de gestion des événements d’informations de sécurité (SIEM) et de réponse automatisée d’orchestration de sécurité (SOAR). Azure Sentinel fournit des analyses de sécurité intelligentes et des renseignements sur les menaces à l’échelle de l’entreprise, fournissant une solution unique pour la détection des alertes, la visibilité des menaces, la chasse proactive et la réponse aux menaces.

Azure Sentinel est votre vue d’ensemble de l’entreprise, ce qui réduit le stress des attaques de plus en plus sophistiquées, des volumes croissants d’alertes et des longs délais de résolution.

-Collecte de données à l’échelle du cloud à travers tous les utilisateurs, périphériques, applications et infrastructures, à la fois sur site et dans plusieurs clouds.

-Détectez les menaces non détectées auparavant et minimisez les faux positifs en utilisant les outils d’analyse de Microsoft et les renseignements incomparables sur les menaces.

-Enquêtez sur les menaces à l’aide de l’intelligence artificielle et recherchez les activités suspectes à grande échelle, en puisant dans les années de travail en cybersécurité chez Microsoft.

-Répondez rapidement aux incidents grâce à l’orchestration et à l’automatisation intégrées des tâches courantes.

 


S’appuyant sur la gamme complète des services Azure existants, Azure Sentinel intègre nativement des bases éprouvées, comme Log Analytics et Logic Apps. Azure Sentinel enrichit votre enquête et votre détection avec l’intelligence artificielle, et fournit le flux de renseignements sur les menaces de Microsoft et vous permet d’apporter vos propres renseignements sur les menaces.

 

Connectez-vous à toutes vos données

Pour embarquer à bord d’Azure Sentinel, vous devez d’abord vous connecter à vos sources de sécurité. Azure Sentinel est livré avec un certain nombre de connecteurs pour les solutions Microsoft, disponibles prêts à l’emploi et offrant une intégration en temps réel, y compris les solutions Microsoft Threat Protection et les sources Microsoft 365, notamment Office 365, Azure AD, Azure ATP et Microsoft Cloud App Security. De plus, il existe des connecteurs intégrés à l’écosystème de sécurité plus large pour les solutions non-Microsoft. Vous pouvez également utiliser le format d’événement commun, Syslog ou REST-API pour connecter vos sources de données avec Azure Sentinel.


 

Cahiers d’exercices

Après avoir connecté vos sources de données à Azure Sentinel, vous pouvez surveiller les données à l’aide de l’intégration d’Azure Sentinel avec Azure Monitor Workbooks, qui vous permet de créer des classeurs personnalisés. Bien que les classeurs soient affichés différemment dans Azure Sentinel, il peut être utile pour vous de voir comment créer des rapports interactifs avec les classeurs Azure Monitor. Azure Sentinel vous permet de créer des classeurs personnalisés à partir de vos données et est également livré avec des modèles de classeurs intégrés pour vous permettre d’obtenir rapidement des informations sur vos données dès que vous connectez une source de données.

 


 

Pour vous aider à réduire le bruit et minimiser le nombre d’alertes que vous devez examiner et enquêter, Azure Sentinel utilise des analyses pour corréler les alertes aux incidents. Les incidents sont des groupes d’alertes connexes qui, ensemble, créent une menace possible pouvant donner lieu à une action que vous pouvez étudier et résoudre. Utilisez les règles de corrélation intégrées telles quelles ou utilisez-les comme point de départ pour créer vos propres règles. Azure Sentinel fournit également des règles d’apprentissage machine pour mapper le comportement de votre réseau et rechercher des anomalies dans vos ressources. Ces analyses relient les points, en combinant des alertes de basse fidélité sur différentes entités dans des incidents de sécurité haute-fidélité potentiels.

 


 

Automatisation et orchestration de la sécurité

Automatisez vos tâches communes et simplifiez l’orchestration de la sécurité avec des playbooks qui s’intègrent aux services Azure ainsi qu’à vos outils existants. Construite sur les fondations d’Azure Logic Apps, la solution d’automatisation et d’orchestration d’Azure Sentinel fournit une architecture hautement extensible qui permet une automatisation évolutive à mesure que de nouvelles technologies et menaces apparaissent. Pour créer des playbooks avec Azure Logic Apps, vous pouvez choisir parmi une galerie croissante de playbooks intégrés. Il s’agit notamment de plus de 200 connecteurs pour des services tels que les fonctions Azure. Les connecteurs vous permettent d’appliquer n’importe quelle logique personnalisée en code, ServiceNow, Jira, Zendesk, requêtes HTTP, Microst Teams, Slack, Windows Defender ATP, et Cloud App Security.

 

Par exemple, si vous utilisez le système de ticket ServiceNow, vous pouvez utiliser les outils fournis pour utiliser Azure Logic Apps pour automatiser vos workflows et ouvrir un ticket dans ServiceNow chaque fois qu’un événement particulier est détecté.


 

Enquêtes

Actuellement en avant-première, les outils d’enquête approfondie Azure Sentinel vous aident à comprendre l’étendue et à trouver la cause profonde d’une menace potentielle à la sécurité. Vous pouvez choisir une entité sur le graphique interactif pour poser des questions intéressantes pour une entité spécifique, et explorer cette entité et ses connexions pour aller à la source de la menace.


 

 

Recherche

Utilisez les puissants outils de recherche et de recherche d’Azure Sentinel, basés sur le framework MITRE, qui vous permettent de rechercher de manière proactive les menaces de sécurité dans toutes les sources de données de votre entreprise, avant le déclenchement d’une alerte. Une fois que vous avez découvert quelle requête de chasse fournit des informations de grande valeur sur les attaques possibles, vous pouvez également créer des règles de détection personnalisées basées sur votre requête, et faire apparaître ces informations sous forme d’alertes à vos intervenants en cas d’incident de sécurité. Pendant la chasse, vous pouvez créer des signets pour les événements intéressants, ce qui vous permet d’y revenir plus tard, de les partager avec d’autres et de les regrouper avec d’autres événements corrélés afin de créer un incident intéressant pour enquête.

 

Communauté

La communauté Azure Sentinel est une ressource puissante pour la détection et l’automatisation des menaces. Nos analystes de sécurité Microsoft créent et ajoutent constamment de nouveaux classeurs, playbooks, requêtes de chasse, et plus encore, les publiant dans la communauté pour que vous puissiez les utiliser dans votre environnement. Vous pouvez télécharger des exemples de contenu à partir du dépôt GitHub de la communauté privée pour créer des classeurs personnalisés, des requêtes de chasse, des carnets de notes et des playbooks pour Azure Sentinel.

 


Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s