Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un centre d’opérations de sécurité (SOC) est une fonction centralisée au sein d’un organization qui intègre des personnes, des processus et des technologies. Un SOC implémente l’infrastructure de cybersécurité globale du organization. Le SOC collabore aux efforts de l’organisation pour surveiller, alerter, prévenir, détecter, analyser et répondre aux incidents de cybersécurité. Les équipes SOC, dirigées par un responsable SOC, peuvent inclure des répondants aux incidents, des analystes SOC aux niveaux 1, 2 et 3, des chasseurs de menaces et des gestionnaires de réponse aux incidents.
Les équipes SOC utilisent les données de télémétrie de l’infrastructure informatique de l’organization, y compris les réseaux, les appareils, les applications, les comportements, les appliances et les magasins d’informations. Les équipes co-associent et analysent ensuite les données pour déterminer comment gérer les données et les actions à entreprendre.
Pour réussir la migration vers Microsoft Sentinel, vous devez mettre à jour non seulement la technologie utilisée par le SOC, mais également les tâches et processus SOC. Cet article explique comment mettre à jour vos processus SOC et analystes dans le cadre de votre migration vers Microsoft Sentinel.
Mettre à jour le flux de travail de l’analyste
Microsoft Sentinel offre une gamme d’outils qui correspondent à un flux de travail d’analyste classique, de l’affectation des incidents à la fermeture. Les analystes peuvent utiliser de manière flexible tout ou partie des outils disponibles pour trier et examiner les incidents. À mesure que votre organization migre vers Microsoft Sentinel, vos analystes doivent s’adapter à ces nouveaux ensembles d’outils, fonctionnalités et flux de travail.
Incidents dans Microsoft Sentinel
Dans Microsoft Sentinel, un incident est un ensemble d’alertes que Microsoft Sentinel déterminent ont une fidélité suffisante pour déclencher l’incident. Par conséquent, avec Microsoft Sentinel, l’analyste trie d’abord les incidents dans la page Incidents, puis procède à l’analyse des alertes, si une exploration plus approfondie est nécessaire. Comparez la terminologie et les domaines de gestion des incidents de votre SIEM avec Microsoft Sentinel.
Étapes du flux de travail d’analyste
Ce tableau décrit les étapes clés du flux de travail d’analyste et met en évidence les outils spécifiques pertinents pour chaque activité du flux de travail.
| Affecter | Triage | Examiner | Répondre |
|---|---|---|---|
|
Attribuer des incidents : • Manuellement, dans la page Incidents • Automatiquement, à l’aide de playbooks ou de règles d’automatisation |
Triez les incidents à l’aide de : • Les détails de l’incident dans la page Incident • Informations sur l’entité dans la page Incident, sous l’onglet Entités • Notebooks Jupyter |
Examiner les incidents à l’aide de : • Le graphique d’investigation • classeurs Microsoft Sentinel • Fenêtre de requête Log Analytics |
Répondre aux incidents à l’aide de : • Playbooks et règles d’automatisation • Salle de guerre Microsoft Teams |
Les sections suivantes mappent la terminologie et le flux de travail des analystes à des fonctionnalités Microsoft Sentinel spécifiques.
Affecter
Utilisez la page Microsoft Sentinel Incidents pour attribuer des incidents. La page Incidents inclut un aperçu des incidents et une vue détaillée pour les incidents uniques.
Pour affecter un incident :
- Manuellement. Définissez le champ Propriétaire sur le nom d’utilisateur approprié.
- Automatiquement. Utilisez une solution personnalisée basée sur Microsoft Teams et Logic Apps, ou une règle d’automatisation.
Triage
Pour effectuer un exercice de triage dans Microsoft Sentinel, vous pouvez commencer par différentes fonctionnalités Microsoft Sentinel, selon votre niveau d’expertise et la nature de l’incident faisant l’objet de l’enquête. Comme point de départ classique, sélectionnez Afficher les détails complets dans la page Incident . Vous pouvez maintenant examiner les alertes qui composent l’incident, passer en revue les signets, sélectionner des entités pour explorer plus en détail des entités spécifiques ou ajouter des commentaires.
Voici des suggestions d’actions pour poursuivre l’examen de votre incident :
- Sélectionnez Investigation pour obtenir une représentation visuelle des relations entre les incidents et les entités pertinentes.
- Utilisez un notebook Jupyter pour effectuer un exercice de triage approfondi pour une entité particulière. Vous pouvez utiliser le bloc-notes de triage des incidents pour cet exercice.
Accélérer le triage
Utilisez ces fonctionnalités et fonctionnalités pour accélérer le tri :
- Pour un filtrage rapide, dans la page Incidents , recherchez les incidents associés à une entité spécifique. Le filtrage par entité dans la page Incidents est plus rapide que le filtrage par colonne d’entité dans les files d’attente d’incident SIEM héritées.
- Pour un tri plus rapide, utilisez l’écran Détails de l’alerte pour inclure des informations clés sur l’incident dans le nom et la description de l’incident, telles que le nom d’utilisateur, l’adresse IP ou l’hôte associé. Par exemple, un incident peut être renommé
Ransomware activity detected in DC01dynamiquement en , oùDC01est une ressource critique, identifiée dynamiquement via les propriétés d’alerte personnalisables. - Pour une analyse plus approfondie, dans la page Incidents, sélectionnez un incident et sélectionnez Événements sous Preuve pour afficher les événements spécifiques qui ont déclenché l’incident. Les données d’événement sont visibles en tant que sortie de la requête associée à la règle d’analyse, plutôt que comme événement brut. L’ingénieur de migration de règles peut utiliser cette sortie pour s’assurer que l’analyste obtient les données correctes.
- Pour obtenir des informations détaillées sur l’entité, dans la page Incidents, sélectionnez un incident et sélectionnez un nom d’entité sous Entités pour afficher les informations d’annuaire, les chronologie et les insights de l’entité. Découvrez comment mapper des entités.
- Pour créer un lien vers des classeurs pertinents, sélectionnez Aperçu des incidents. Vous pouvez personnaliser le classeur pour afficher des informations supplémentaires sur l’incident, ou les entités associées et les champs personnalisés.
Examiner
Utilisez le graphique d’investigation pour examiner en profondeur les incidents. Dans la page Incidents , sélectionnez un incident et sélectionnez Examiner pour afficher le graphique d’investigation.
Avec le graphique d’investigation, vous pouvez :
- Comprenez l’étendue et identifiez la cause racine des menaces de sécurité potentielles en mettant en corrélation les données pertinentes avec n’importe quelle entité impliquée.
- Explorez plus en détail les entités et choisissez entre différentes options d’extension.
- Affichez facilement les connexions entre différentes sources de données en affichant les relations extraites automatiquement des données brutes.
- Développez votre étendue d’investigation à l’aide de requêtes d’exploration intégrées pour exposer toute l’étendue d’une menace.
- Utilisez des options d’exploration prédéfinies pour vous aider à poser les bonnes questions lors de l’examen d’une menace.
À partir du graphique d’investigation, vous pouvez également ouvrir des classeurs pour soutenir davantage vos efforts d’investigation. Microsoft Sentinel comprend plusieurs modèles de classeur que vous pouvez personnaliser en fonction de votre cas d’usage spécifique.
Répondre
Utilisez Microsoft Sentinel fonctionnalités de réponse automatisée pour répondre aux menaces complexes et réduire la fatigue des alertes. Microsoft Sentinel fournit une réponse automatisée à l’aide de playbooks Logic Apps et de règles d’automatisation.
Utilisez l’une des options suivantes pour accéder aux playbooks :
- Onglet Modèles de playbook Automation >
- Hub de contenu Microsoft Sentinel
- Dépôt GitHub Microsoft Sentinel
Ces sources incluent un large éventail de playbooks axés sur la sécurité qui couvrent une grande partie des cas d’usage de complexité variable. Pour simplifier votre travail avec les playbooks, utilisez les modèles sous Modèles de playbook Automation>. Les modèles vous permettent de déployer facilement des playbooks dans le Microsoft Sentinel instance, puis de les modifier en fonction des besoins de votre organization.
Consultez l’infrastructure de processus SOC pour mapper votre processus SOC aux fonctionnalités Microsoft Sentinel.
Comparer les concepts SIEM
Utilisez ce tableau pour comparer les principaux concepts de votre SIEM hérité à Microsoft Sentinel concepts.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Événement | Événement | Événement | Événement |
| Événement de corrélation | Événement de corrélation | Événement notable | Alerte |
| Incident | Infraction | Événement notable | Incident |
| Liste des infractions | Tags | Page Incidents | |
| Étiquettes | Champ personnalisé dans SOAR | Tags | Tags |
| Jupyter Notebooks | Jupyter Notebooks | notebooks Microsoft Sentinel | |
| Tableaux de bord | Tableaux de bord | Tableaux de bord | Classeurs |
| Règles de corrélation | Building blocks | Règles de corrélation | Règles d’analyse |
| File d’attente des incidents | Onglet Infractions | Examen des incidents | Page d’incident |
Étapes suivantes
Après la migration, explorez les ressources Microsoft Sentinel de Microsoft pour développer vos compétences et tirer le meilleur parti de Microsoft Sentinel.
Envisagez également d’augmenter votre protection contre les menaces en utilisant Microsoft Sentinel avec Microsoft Defender XDR et Microsoft Defender pour le cloud pour la protection intégrée contre les menaces. Bénéficiez de l’étendue de la visibilité que Microsoft Sentinel offre, tout en approfondissant l’analyse détaillée des menaces.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Bonnes pratiques en matière de migration de règles
- Webinaire : Meilleures pratiques pour convertir les règles de détection
- Orchestration, automatisation et réponse de sécurité (SOAR) dans Microsoft Sentinel
- Mieux gérer votre SOC avec les métriques d’incident
- Microsoft Sentinel parcours d’apprentissage
- Certification SC-200 Microsoft Security Operations Analyst
- Microsoft Sentinel Formation Ninja
- Examiner une attaque sur un environnement hybride avec Microsoft Sentinel