1.66 Azure Sentinel

 Présentation de la technologie

Azure Sentinel est une solution cloudnative de gestion des informations et des événements de sécurité (SIEM) et d’orchestration, d’automatisation et de réponse de sécurité (SOAR) proposée par Microsoft. Elle offre une analyse intelligente de la sécurité et des renseignements sur les menaces à l’échelle de l’entreprise, permettant de détecter, enquêter et répondre rapidement aux incidents de sécurité[1][7].

Principaux avantages :

•  Analyse intelligente et détection des menaces grâce à l’intelligence artificielle
•  Réduction des faux positifs et des efforts d’investigation
•  Automatisation des tâches de sécurité courantes via des playbooks
•  Intégration avec de nombreuses sources de données Azure et nonAzure
•  Coût optimisé basé sur l’utilisation réelle

 Mise en place technique

1. Création d’un espace de travail Log Analytics :

•     Dans le portail Azure, recherchez « Log Analytics »
•     Créez un nouvel espace de travail

2. Activation d’Azure Sentinel :

•     Recherchez « Microsoft Sentinel » dans le portail Azure
•     Sélectionnez « Créer »
•     Choisissez l’espace de travail Log Analytics créé précédemment
•     Cliquez sur « Ajouter »

3. Configuration des connecteurs de données :

•     Dans Sentinel, allez dans « Connecteurs de données »
•     Sélectionnez et configurez les connecteurs pertinents (ex: Azure Activity)
•     Suivez les instructions spécifiques à chaque connecteur pour l’activation

4. Création de règles d’analyse :

•     Accédez à « Analytics » dans Sentinel
•     Utilisez des modèles prédéfinis ou créez des règles personnalisées
•     Configurez les paramètres de la règle, y compris la requête, la fréquence et les actions

 Exploitation technique courante

1. Surveillance et investigation :

•     Utilisez le tableau de bord principal pour une vue d’ensemble
•     Examinez les incidents générés dans l’onglet « Incidents »
•     Utilisez les classeurs pour visualiser les données et tendances

2. Chasse aux menaces :

•     Accédez à l’onglet « Hunting » pour des requêtes prédéfinies
•     Créez des requêtes personnalisées pour rechercher des comportements suspects
•     Utilisez les signets pour marquer les événements intéressants

3. Automatisation des réponses :

•     Créez des playbooks basés sur Azure Logic Apps pour automatiser les actions
•     Intégrez des actions comme la création de tickets ou le blocage d’adresses IP

4. Gestion des règles :

•     Révisez et ajustez régulièrement les règles d’analyse
•     Exportez les règles vers des modèles ARM pour la gestion en tant que code

5. Optimisation :

•     Surveillez l’utilisation des données et ajustez la rétention si nécessaire
•     Utilisez les recommandations de Microsoft pour améliorer la détection des menaces

En maîtrisant ces aspects, vous serez en mesure d’utiliser efficacement Azure Sentinel pour renforcer la sécurité de votre environnement Azure et répondre rapidement aux menaces émergentes.