Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les différents composants d’une solution Microsoft Sentinel et explique comment ils peuvent travailler ensemble pour répondre à des scénarios clients importants.
La plateforme Sentinel comprend un lac de données, un graphique, des travaux de notebook Jupyter, un serveur MCP (Model Context Protocol) et des données provenant de plus de 300 connecteurs Sentinel pour aider les clients à centraliser et analyser leurs données de sécurité de manière économique. Ces fonctionnalités ainsi que Microsoft Security Copilot permettent aux clients et aux partenaires de créer des solutions impactantes, qui peuvent être publiées via le Microsoft Security Store.
Sentinel SIEM est utilisé par les équipes d’opérations de sécurité (SOC) pour générer des détections, examiner le comportement malveillant et corriger les menaces. En créant des connecteurs Sentinel pour importer de nouvelles données et en créant du contenu tel que des règles d’analyse, des playbooks, des requêtes de repérage, des analyseurs et des classeurs, les partenaires peuvent aider les équipes SOC à obtenir des informations dont elles ont besoin pour identifier les menaces et répondre de manière appropriée. Les solutions SIEM Sentinel sont publiées via le Hub de contenu de Sentinel.
Collecte de données
Que vous créez une solution qui utilise des composants de plateforme ou cible une intégration SIEM Sentinel, il est essentiel d’avoir les données appropriées pour votre scénario.
Les connecteurs Sentinel apportent des données à Sentinel, qui peuvent ensuite être analysés dans le lac à l’aide de notebooks et de travaux Jupyter, ou traités avec du contenu SIEM Sentinel, comme des règles d’analyse et des requêtes de repérage.
Ces données peuvent inclure les types suivants :
| Type | Description |
|---|---|
| Données non traitées | Prend en charge les processus de détection et de chasse. Analyse les données opérationnelles brutes qui peuvent contenir des signes d’activité malveillante. Transmet des données non traitées à Microsoft Sentinel afin d’utiliser les fonctionnalités de recherche et de détection intégrées de Microsoft Sentinel pour identifier de nouvelles menaces et bien plus encore. Exemples : données Syslog, données CEF sur Syslog, application, pare-feu, authentification ou journaux d’accès, et bien plus encore. |
| Conclusions en matière de sécurité | Crée une visibilité des alertes et une opportunité de corrélation. Les alertes et les détections sont des conclusions qui ont déjà été tirées en lien avec les menaces. La contextualisation des détections avec toutes les activités et autres détections visibles dans les investigations Microsoft Sentinel fait gagner du temps aux analystes et crée une image plus complète d’un incident, ce qui permet de mieux hiérarchiser les priorités et de prendre de meilleures décisions. Exemples : alertes anti-programme malveillant, processus suspects, communication avec des hôtes douteux connus, trafic réseau bloqué et cause du blocage, ouvertures de session anormales, attaques par pulvérisation de mots de passe détectées, attaques par hameçonnage identifiées, événements d’exfiltration de données, et bien plus encore. |
| Données de référence | Génère du contexte avec des environnements référencés, ce qui contribue à alléger l’effort d’investigation et à renforcer l’efficacité. Exemples : bases de données de gestion de la configuration, bases de données de ressources de valeur élevée, bases de données de dépendances d’applications, journaux d’attribution d’adresses IP, collecte de renseignement sur les menaces pour enrichissement, et bien plus encore. |
| Renseignement sur les menaces | Alimente la détection des menaces en apportant des indicateurs de menaces connues. Le renseignement sur les menaces peut inclure des indicateurs actuels représentant des menaces immédiates ou des indicateurs historiques conservés à des fins de prévention future. Les jeux de données historiques sont souvent volumineux et il est préférable de les référencer de manière ad hoc, sur place, plutôt que de les importer directement dans Microsoft Sentinel. |
Analyseurs
Les analyseurs sont des fonctions KQL qui transforment des données personnalisées de produits tiers en schéma ASIM normalisé. La normalisation garantit que les analystes SOC n’ont pas besoin d’en savoir plus sur les nouveaux schémas et de créer plutôt des règles analytiques et des requêtes de repérage sur le schéma normalisé qu’ils connaissent déjà. Passez en revue les schémas ASIM disponibles fournis par Microsoft Sentinel pour identifier les schémas ASIM pertinents (un ou plusieurs) pour vos données afin de faciliter l’intégration pour les analystes SOC et de garantir que le contenu de sécurité existant écrit pour le schéma ASIM est applicable prête à l’emploi pour vos données de produit. Pour plus d’informations sur les schémas ASIM disponibles, consultez les schémas ASIM (Advanced Security Information Model).
Visualisation
Vous pouvez inclure des visualisations pour aider les clients à gérer et à comprendre vos données, en incluant des vues graphiques de la façon dont les données circulent dans Microsoft Sentinel et comment elles contribuent efficacement aux détections.
Vous pouvez inclure des visualisations pour aider les clients à gérer et à comprendre vos données, en incluant des vues graphiques de la façon dont les données circulent dans Microsoft Sentinel et comment elles contribuent efficacement aux détections.
Surveillance et détection
Les fonctionnalités de surveillance et de détection de Sentinel créent des détections automatisées pour aider les clients à mettre à l’échelle l’expertise de leur équipe SOC.
Les sections suivantes décrivent les éléments de surveillance et de détection que vous pouvez inclure dans votre solution.
Agents Copilot de sécurité
Les agents Copilot de sécurité automatisent les tâches répétitives et réduisent les charges de travail manuelles. Ils améliorent la sécurité et les opérations informatiques dans le cloud, la sécurité et la confidentialité des données, l’identité et la sécurité réseau. Pour Sentinel, les agents peuvent interroger siem ou data lake et appeler des API pour enrichir les données Microsoft Sentinel. Ils peuvent utiliser des travaux de notebook pour un traitement ou une analyse intensif des données et utiliser n’importe quel nombre de plug-ins.
Tâches de notebook Jupyter
Les travaux Jupyter Notebook fournissent des outils puissants pour effectuer des transformations de données complexes et exécuter des modèles d'apprentissage automatique grâce à des travaux Spark dans le lac de données Sentinel. Ils peuvent être utilisés par les agents Security Copilot pour fournir un moyen déterministe et efficace d’effectuer l’analyse et la synthèse des données et de s’exécuter en continu. Les tâches notebooks écrivent des tables de données sur mesure dans le niveau analytique et le lac de données pour être utilisés par des composants en aval tels que des agents, des classeurs, des requêtes de repérage et d'autres.
Règles analytiques
Les règles d’analyse sont des détections sophistiquées qui peuvent créer des alertes précises et significatives.
Ajoutez des règles d’analytique à votre solution pour aider vos clients à tirer parti des données de votre système dans Microsoft Sentinel. Par exemple, des règles analytiques peuvent vous aider à fournir, dans les données qu’offre votre intégration, une expertise et des insights sur les activités détectables.
Ils peuvent générer des alertes (événements notables), des incidents (unités d’investigation) ou déclencher des playbooks d’automatisation.
Vous pouvez ajouter des règles analytiques en les incluant dans une solution et via la communauté Microsoft Sentinel ThreatHunters. Apportez votre contribution à la communauté afin de stimuler sa créativité sur les données en provenance de partenaires pour aider les clients à obtenir des détections plus fiables et efficaces.
Requêtes de chasse
Les requêtes de repérage permettent aux analystes SOC de rechercher de manière proactive de nouvelles anomalies qui ne sont pas détectées par les règles d’analytique planifiées. Les requêtes de repérage guident les analystes SOC pour poser les bonnes questions pour trouver des problèmes à partir des données déjà disponibles dans Microsoft Sentinel et les aide à identifier les scénarios de menace potentiels. En incluant des requêtes de repérage, vous pouvez aider les clients à trouver des menaces inconnues dans les données que vous fournissez.
Cahiers d'exercices
Les classeurs fournissent des rapports interactifs et des tableaux de bord qui aident les utilisateurs à visualiser les données de sécurité et à identifier les modèles dans les données. La nécessité de classeurs dépend du cas d’usage spécifique. Lorsque vous concevez votre solution, pensez à des scénarios qui peuvent être expliqués visuellement, en particulier pour les scénarios de suivi des performances.
Investigation
Le graphe d’investigation Sentinel fournit aux enquêteurs des données pertinentes lorsqu’ils en ont besoin, fournissant une visibilité sur les incidents de sécurité et les alertes via des entités connectées. Les investigateurs peuvent utiliser le graphique d’examen pour rechercher des événements pertinents ou connexes, qui contribuent à la menace en cours d’investigation.
Les partenaires peuvent contribuer au graphique d’examen en fournissant les éléments suivants :
- Alertes et incidents Microsoft Sentinel créés via des règles d’analytique dans des solutions partenaires.
- Requêtes d'exploration personnalisées pour les données fournies par les partenaires. Les requêtes d’exploration personnalisées permettent une exploration riche et offrent une connectivité entre les données et les insights pour les enquêteurs en matière de sécurité.
Réponse
Les playbooks prennent en charge les flux de travail avec une automatisation enrichie, exécutant des tâches liées à la sécurité dans les environnements clients. Ils sont essentiels pour s’assurer que les analystes SOC ne sont pas surchargés par des éléments tactiques et peuvent se concentrer sur la cause racine plus stratégique et plus profonde des vulnérabilités. Par exemple, si une alerte de gravité élevée est détectée, un playbook peut lancer automatiquement une série d’actions, telles que la notification de l’équipe de sécurité, l’isolation des systèmes affectés et la collecte des journaux pertinents pour une analyse plus approfondie.
Par exemple, les playbooks peuvent vous aider de l’une des manières suivantes, et bien plus encore :
- Aide aux clients pour configurer des stratégies de sécurité dans des produits de partenaires
- Collecte de données supplémentaires pour éclairer les décisions d’investigation
- Liaison d’incidents Microsoft Sentinel à des systèmes de gestion externes
- Intégration de la gestion du cycle de vie des alertes dans des solutions de partenaires
Lorsque vous concevez votre solution, pensez aux actions automatisées qui peuvent être effectuées pour résoudre les incidents créés par les règles analytiques définies dans votre solution.
Exemples de scénario SIEM Sentinel
Les sections suivantes décrivent les scénarios partenaires courants et les recommandations relatives à ce qu’il faut inclure dans une solution pour chaque scénario.
Votre produit génère des données qui sont importantes pour les investigations de sécurité.
Scénario : votre produit génère des données qui peuvent informer les enquêtes de sécurité.
Exemple : les produits qui fournissent une certaine forme de données de journalisation incluent des pare-feu, des agents de sécurité d’application cloud, des systèmes d’accès physique, une sortie Syslog, des applications métier disponibles et intégrées, des serveurs, des métadonnées réseau, des éléments livrables via Syslog au format Syslog ou CEF, ou via une API REST au format JSON.
Comment utiliser vos données dans Microsoft Sentinel : importez les données de votre produit dans Microsoft Sentinel via un connecteur de données pour fournir des analyses, des recherches, des investigations, des visualisations, et bien plus encore.
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
| Type | Éléments à inclure |
|---|---|
| Obligatoire | - Un connecteur de données Microsoft Sentinel pour livrer les données et lier d’autres personnalisations dans le portail. Exemples de requêtes de données |
| Recommended | - Classeurs. - Règles analytiques pour créer des détections basées sur vos données dans Microsoft Sentinel. |
| Facultatif | - Requêtes de chasse pour fournir des requêtes prêtes à l’emploi utilisables lors de la chasse. - Notebooks, pour offrir une expérience de chasse reproductible entièrement guidée. |
Votre produit fournit des détections
Scénario : votre produit fournit des détections qui complètent les alertes et incidents d’autres systèmes
Exemples : anti-programme malveillant, solutions de détection et de réponse d’entreprise, détection du réseau et solutions de réponse, solutions de sécurité de messagerie telles que les produits anti-hameçonnage, analyse des vulnérabilités, solutions de gestion des appareils mobiles, solutions UEBA, services de protection des informations, etc.
Comment utiliser vos données dans Microsoft Sentinel : rendez les détections, alertes ou incidents disponibles dans Microsoft Sentinel pour les afficher en contexte avec d’autres alertes et incidents susceptibles de se produire dans les environnements de vos clients. Envisagez également de livrer les journaux et métadonnées qui alimentent vos détections, en guide contexte supplémentaire pour les investigations.
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
| Type | Éléments à inclure |
|---|---|
| Obligatoire | Connecteur de données Microsoft Sentinel pour distribuer les données et lier d’autres personnalisations dans le portail. |
| Recommended | Règles analytiques pour créer des incidents Microsoft Sentinel à partir de vos détections, qui soient utiles dans les investigations |
Votre produit fournit des indicateurs de renseignement sur les menaces
Scénario : votre produit fournit des indicateurs de renseignement sur les menaces qui peuvent fournir un contexte pour les événements de sécurité survenant dans les environnements des clients
Exemples : plateformes TiP, collections STIX/TAXII et sources publiques ou sous licence de renseignement sur les menaces. Données de référence, telles que WhoIS, GeoIP ou des domaines récemment observés.
Comment utiliser vos données dans Microsoft Sentinel : fournissez des indicateurs actuels à Microsoft Sentinel utilisables sur les plateformes de détection Microsoft. Utilisez des jeux de données à grande échelle ou historiques pour les scénarios d’enrichissement, via un accès à distance.
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
| Type | Éléments à inclure |
|---|---|
| Renseignement sur les menaces actuelles | Créez un connecteur de données GSAPI pour envoyer (push) des indicateurs à Microsoft Sentinel. Fournissez un serveur TAXII STIX 2.0 ou 2.1 que les clients peuvent utiliser avec le connecteur de données TAXII prêt à l’emploi. |
| Indicateurs historiques et/ou jeux de données de référence | Fournissez un connecteur d’application logique pour accéder aux données, et un playbook de flux de travail d’enrichissement qui dirige les données vers les emplacements corrects. |
Votre produit fournit un contexte supplémentaire pour les investigations.
Scénario : votre produit fournit des données contextuelles supplémentaires pour les investigations basées sur Microsoft Sentinel.
Exemples : base de données de gestion de la configuration (CMDB) contextuelles supplémentaire, bases de données de ressources à haute valeur, bases de données VIP, bases de données de dépendances d’applications, systèmes de gestion des incidents, systèmes de création de tickets.
Comment utiliser vos données dans Microsoft Sentinel : utilisez vos données dans Microsoft Sentinel pour enrichir les alertes et les incidents.
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
- Connecteur d’application logique
- Playbook de flux de travail d’enrichissement
- Flux de travail de gestion du cycle de vie des incidents externes (facultatif)
Votre produit peut implémenter des stratégies de sécurité
Scénario : votre produit peut implémenter des stratégies de sécurité dans Azure Policy et d’autres systèmes.
Exemples : pare-feu, rapport de non-remise, PEPT, MDM, solutions d’identité, solutions d’accès conditionnel, solutions d’accès physique ou autres produits prenant en charge les stratégies de sécurité bloquer/autoriser ou d’autres stratégies de sécurité actionnables.
Comment utiliser vos données dans Microsoft Sentinel : actions et flux de travail Microsoft Sentinel permettant des corrections et des réponses aux menaces
Éléments à intégrer : pour ce scénario, incluez les éléments suivants dans votre solution :
- Connecteur d’application logique
- Playbook de flux de travail d’action
Références pour la prise en main
Toutes les intégrations SIEM Microsoft Sentinel commencent par le référentiel GitHub Microsoft Sentinel et les conseils de contribution.
Quand vous êtes prêt à commencer à travailler sur votre solution Microsoft Sentinel, recherchez des instructions pour l’envoi, l’empaquetage et la publication dans le Guide de création de solutions Microsoft Sentinel.
Mise sur le marché
Microsoft propose des programmes permettant aux partenaires d’aborder des clients Microsoft :
Microsoft Partner Network (MPN). Le principal programme de partenariat avec Microsoft est le Microsoft Partner Network. Pour devenir éditeur sur la Place de marché Azure, où sont publiées toutes les solutions Microsoft Sentinel, il est nécessaire de participer au programme MPN.
Place de marché Azure. Les solutions Microsoft Sentinel sont fournies via la Place de marché Azure qui permet aux clients de découvrir et déployer des intégrations Azure générales fournies par Microsoft et ses partenaires.
Les solutions Microsoft Sentinel sont l’un des nombreux types d’offres disponibles sur la Place de marché. Vous pouvez également trouver les offres de solution incorporées dans le hub de contenu Microsoft Sentinel.
Microsoft Intelligent Security Association (MISA). MISA fournit aux partenaires de sécurité Microsoft une aide pour la sensibilisation aux intégrations créées par les partenaires avec les clients Microsoft, et contribue à assurer la détectabilité des intégrations de produits de sécurité Microsoft.
La participation au programme MISA nécessite la nomination d’une équipe Produits de sécurité Microsoft participante. La création de l’une des intégrations suivantes peut qualifier des partenaires pour la nomination :
- Connecteur de données Microsoft Sentinel et le contenu associé, tels que des classeurs, des exemples de requêtes et des règles analytiques.
- Connecteur Logic Apps et des playbooks Microsoft Sentinel publiés
- Intégrations d’API, au cas par cas.
Pour demander un examen de nomination MISA ou pour poser des questions, contactez AzureSentinelPartner@microsoft.com.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
Collecte de données :
- Meilleures pratiques de collecte de données
- Connecteurs de données Microsoft Sentinel
- Rechercher votre connecteur de données Microsoft Sentinel
- Comprendre le renseignement sur les menaces dans Microsoft Sentinel
Détection des menaces :
- Automatiser la gestion des incidents dans Microsoft Sentinel avec des règles d’automatisation
- Examiner les incidents avec Microsoft Azure Sentinel
- Automatisation de la réponse aux menaces avec des playbooks dans Microsoft Sentinel
Chasse et notebook
- Repérer des menaces avec Microsoft Sentinel
- Gérer les requêtes de chasse et de diffusion en continu dans Microsoft Azure Sentinel à l’aide de l’API REST
- Utiliser des notebooks Jupyter pour repérer des menaces de sécurité
Visualization : visualiser les données collectées.
Investigation : enquêter sur des incidents avec Microsoft Sentinel.
Réponse: