Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les solutions microsoft essentielles sont des solutions de domaine publiées par Microsoft pour Microsoft Sentinel. Ces solutions disposent d’un contenu prête à l’emploi qui peut fonctionner sur plusieurs produits pour des catégories spécifiques telles que la mise en réseau. Certaines de ces solutions essentielles utilisent la technique de normalisation ASIM (Advanced Security Information Model) pour normaliser les données au moment de la requête ou de l’ingestion.
Importante
Les solutions Microsoft Essential et la solution Network Session Essentials sont actuellement en PRÉVERSION. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent à Azure fonctionnalités qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Pourquoi utiliser les solutions microsoft essentielles basées sur ASIM ?
Lorsque plusieurs solutions d’une catégorie de domaine partagent des modèles de détection similaires, il est logique que les données capturées sous un schéma normalisé comme ASIM. Les solutions essentielles utilisent ce schéma ASIM pour détecter les menaces à grande échelle.
Dans le hub de contenu, il existe plusieurs solutions de produits pour différentes catégories de domaine, comme « Sécurité - Réseau ». Par exemple, Pare-feu Azure, Palo Alto Firewall et Corelight ont des solutions de produit pour la catégorie de domaine « Sécurité - Réseau ».
- Ces solutions ont des composants d’ingestion de données différents par conception. Toutefois, il existe un certain modèle pour l’analytique, la chasse, les classeurs et d’autres contenus au sein de la même catégorie de domaine.
- La plupart des principaux produits réseau ont un ensemble commun d’alertes de pare-feu qui inclut des menaces malveillantes provenant d’adresses IP inhabituelles. En général, le modèle de règle analytique est dupliqué pour chacune des solutions de produit de la catégorie « Sécurité - Réseau ». Si vous exécutez plusieurs produits réseau, vous devez case activée et configurer plusieurs règles analytiques individuellement, ce qui est inefficace. Vous recevez également des alertes pour chaque règle configurée et peut se retrouver avec une fatigue des alertes.
- Si vous avez des requêtes de chasse duplicatives, vous pouvez avoir des expériences de chasse moins performantes avec le mode de chasse tout court. Ces requêtes de chasse duplicatives introduisent également des inefficacités pour que les chasseurs de menaces sélectionnent et exécutent des requêtes similaires.
Vous pouvez envisager des solutions microsoft essentielles pour les raisons suivantes :
- Un schéma normalisé vous permet d’interroger plus facilement les détails de l’incident. Vous n’avez pas besoin de vous souvenir d’une syntaxe de fournisseur différente pour des attributs de journal similaires.
- Si vous n’avez pas besoin de gérer le contenu de plusieurs solutions, le déploiement de cas d’usage et la gestion des incidents sont plus faciles.
- Une vue de classeur consolidée vous offre une meilleure visibilité de l’environnement et une analyse de temps de requête possible avec des analyseurs ASIM hautes performances.
Schémas ASIM pris en charge
Les solutions essentielles sont actuellement réparties sur les différents schémas ASIM suivants pris en charge par Sentinel :
- Événement d’audit
- Événement d’authentification
- Activité DNS
- Activité de fichier
- Session réseau
- Traiter l’événement
- Session web
Pour plus d’informations, consultez Schémas ASIM (Advanced Security Information Model).
Normalisation du temps d’ingestion
Les résultats de la normalisation du temps d’ingestion peuvent être ingérés dans la table normalisée suivante :
- ASimDnsActivityLogs pour le schéma DNS.
- ASimNetworkSessionLogs pour le schéma de session réseau
Pour plus d’informations, consultez Ingérer la normalisation du temps.
Contenu disponible avec les solutions essentielles de domaine basées sur ASIM
Le tableau suivant décrit le type de contenu disponible avec chaque solution essentielle. Pour certains cas d’usage spécifiques, vous pouvez également utiliser le contenu disponible avec la solution de produit Microsoft Sentinel.
| Type de contenu | description |
|---|---|
| Règle analytique | Les règles analytiques disponibles dans les solutions essentielles basées sur ASIM sont génériques et adaptées à toutes les solutions de produits de Microsoft Sentinel dépendantes pour ce domaine. La solution de produit Microsoft Sentinel peut avoir un cas d’usage spécifique à la source couvert dans le cadre de la règle analytique. Activez Microsoft Sentinel règles de solution de produit en fonction des besoins de votre environnement. |
| Requête de chasse | Les requêtes de chasse disponibles dans les solutions essentielles basées sur ASIM sont génériques et adaptées à la recherche de menaces à partir de l’une des solutions de produit Microsoft Sentinel dépendantes pour ce domaine. La solution de produit Microsoft Sentinel peut avoir une requête de repérage spécifique à la source disponible prête à l’emploi. Utilisez les requêtes de repérage de la solution de produit Microsoft Sentinel en fonction des besoins de votre environnement. |
| Playbook | Les solutions essentielles basées sur ASIM sont censées gérer les données avec des événements élevés par seconde. Lorsque vous avez du contenu qui utilise ce volume de données, vous pouvez rencontrer un impact sur les performances qui peut entraîner le chargement lent des classeurs ou des résultats de requête. Pour résoudre ce problème, le playbook de synthèse résume les journaux sources et stocke les informations dans une table prédéfinie. Activez le playbook de synthèse pour permettre aux solutions essentielles d’interroger cette table. Étant donné que les playbooks dans Microsoft Sentinel sont basés sur des flux de travail intégrés à Azure Logic Apps qui créent des ressources distinctes, d’autres frais peuvent s’appliquer. Pour plus d’informations, consultez la page de tarification Azure Logic Apps. D’autres frais peuvent également s’appliquer pour le stockage des données résumées. |
| Watchlist | Les solutions essentielles basées sur ASIM utilisent une watchlist qui inclut plusieurs ensembles de conditions pour la détection de règles analytiques et les requêtes de repérage. La watchlist vous permet d’effectuer les tâches suivantes : - Effectuer une surveillance ciblée avec filtrage des données. - Basculer entre la chasse et la détection pour chaque élément de liste. - Conservez le type de seuil défini sur Statique pour tirer parti des alertes basées sur les seuils, tandis que les alertes basées sur les anomalies apprenaient à partir des derniers jours de données (14 jours maximum). - Modifiez le nom, la description, la tactique et la gravité de l’alerte à l’aide de cette watchlist pour les éléments de liste individuels. - Désactivez la détection en définissant Gravité sur Désactivé. |
| Classeur | Le classeur disponible avec les solutions essentielles basées sur ASIM offre une vue consolidée des différents événements et activités qui se produisent dans le domaine dépendant. Étant donné que ce classeur extrait les résultats à partir d’un volume très élevé de données, il peut y avoir un certain décalage des performances. Si vous rencontrez des problèmes de performances, utilisez le guide de synthèse. |
Ces solutions essentielles, comme les autres solutions de domaine Microsoft Sentinel, n’ont pas de connecteur propre. Ils dépendent des connecteurs spécifiques à la source dans Microsoft Sentinel solutions de produit pour extraire les journaux. Pour comprendre les produits pris en charge par la solution de domaine, reportez-vous à la liste des prérequis des solutions de produit de chacune des listes de solutions de base de domaine ASIM. Installez une ou plusieurs solutions de produit. Configurez les connecteurs de données pour répondre aux besoins de dépendance sous-jacents du produit et permettre une meilleure utilisation du contenu de cette solution de domaine.
Articles connexes
- Recherchez des solutions essentielles de domaine basées sur ASIM, telles que Network Session Essentials et DNS Essentials Solution pour Microsoft Sentinel
- Utilisation du modèle ASIM (Advanced Security Information Model)