Suivre la migration de votre Microsoft Sentinel avec un classeur

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Comme le centre des opérations de sécurité (SOC) de votre organization gère des quantités croissantes de données, il est essentiel de planifier et de surveiller votre status de déploiement. Bien que vous puissiez suivre votre processus de migration à l’aide d’outils génériques tels que Microsoft Project, Microsoft Excel, Microsoft Teams ou Azure DevOps, ces outils ne sont pas spécifiques au suivi de migration SIEM (Security Information and Event Management). Pour vous aider à effectuer le suivi, nous fournissons un classeur dédié dans Microsoft Sentinel nommé Microsoft Sentinel Déploiement et migration.

Le classeur vous aide à :

  • Visualiser la progression de la migration
  • Déployer et suivre des sources de données
  • Déployer et surveiller les règles d’analyse et les incidents
  • Déployer et utiliser des classeurs
  • Déployer et effectuer l’automatisation
  • Déployer et personnaliser l’analytique comportementale des utilisateurs et des entités (U E B A)

Cet article explique comment suivre votre migration avec le classeur déploiement et migration Microsoft Sentinel, comment personnaliser et gérer le classeur, et comment utiliser les onglets du classeur pour déployer et surveiller les connecteurs de données, l’analytique, les incidents, les playbooks, les règles d’automatisation, l’E/S ET et la gestion des données. En savoir plus sur l’utilisation des classeurs Azure Monitor dans Microsoft Sentinel.

Déployer le contenu du classeur et afficher le classeur

Pour obtenir le classeur, installez d’abord l’élément autonome à partir du hub de contenu dans Microsoft Sentinel.

  1. Dans le hub de contenu Microsoft Sentinel, filtrez le contenu répertorié parclasseurs de type = de contenu, puis entrez migration dans la barre de recherche.

  2. Dans les résultats de la recherche, sélectionnez le classeur déploiement et migration Microsoft Sentinel, puis sélectionnez Installer. Microsoft Sentinel déploie le classeur et l’enregistre dans votre environnement.

  3. Dans Microsoft Sentinel, sous Gestion des menaces, sélectionnez Modèles de classeurs>.

  4. Sélectionnez le classeur Microsoft Sentinel Déploiement et migration etle modèle Afficher.

Déployer la watchlist

L’étape suivante consiste à déployer la watchlist associée à partir du dépôt GitHub Microsoft Sentinel.

  1. Dans le dépôt GitHub Microsoft Sentinel, sélectionnez le dossier DeploymentandMigration, puis sélectionnez Déployer sur Azure pour commencer le déploiement du modèle dans Azure.
  2. Indiquez le Microsoft Sentinel nom du groupe de ressources et de l’espace de travail. Capture d’écran du déploiement de la watchlist sur Azure.
  3. Sélectionnez Vérifier et créer.
  4. Une fois les informations validées, sélectionnez Créer.

Mettre à jour la watchlist avec les actions de déploiement et de migration

Cette étape est cruciale pour le processus de configuration du suivi. Si vous ignorez cette étape, le classeur ne reflète pas les éléments à suivre.

Pour mettre à jour la watchlist avec des actions de déploiement et de migration :

  1. Dans le portail Azure ou Microsoft Defender, sélectionnez Microsoft Sentinel, puis watchlist.
  2. Sélectionnez la watchlist avec l’alias de déploiement .
  3. Sélectionnez ensuite Mettre à jour la watchlist > modifier les éléments de watchlist.
  4. Fournissez les informations relatives aux actions nécessaires au déploiement et à la migration. Capture d’écran de la mise à jour des éléments de watchlist avec des actions de déploiement et de migration.
  5. Sélectionnez Enregistrer.

Vous pouvez maintenant afficher la watchlist dans le classeur du suivi de migration. Découvrez comment gérer les watchlists.

En outre, votre équipe peut mettre à jour ou effectuer des tâches pendant le processus de déploiement. Pour résoudre ces modifications, mettez à jour les actions existantes ou ajoutez de nouvelles actions à mesure que vous identifiez de nouveaux cas d’usage ou définissez de nouvelles exigences. Pour mettre à jour ou ajouter des actions, modifiez la watchlist déploiement que vous avez déployée. Pour simplifier le processus, dans le classeur, sélectionnez Modifier la watchlist de déploiement pour ouvrir la watchlist directement à partir du classeur.

Afficher les status de déploiement

Pour afficher rapidement la progression du déploiement, dans le classeur Microsoft Sentinel Déploiement et migration, sélectionnez Déploiement et faites défiler vers le bas pour rechercher le Résumé de la progression. Cette zone affiche les status de déploiement, y compris les informations suivantes :

  • Tables signalant des données
  • Nombre de tables signalant des données
  • Nombre de journaux signalés et tables qui signalent les données de journal
  • Nombre de règles activées et de règles non redéployées
  • Classeurs recommandés déployés
  • Nombre total de classeurs déployés
  • Nombre total de playbooks déployés

Déployer et surveiller des connecteurs de données

Pour surveiller les ressources déployées et déployer de nouveaux connecteurs, dans le classeur déploiement et migration Microsoft Sentinel, sélectionnez Moniteur connecteurs > de données. La vue Monitor répertorie les éléments suivants :

  • Tendances actuelles de l’ingestion
  • Tables ingérées de données
  • Quantité de données que chaque table signale
  • Rapports de points de terminaison avec Azure Monitor Agent (AMA)
  • Règles de collecte de données dans le groupe de ressources et les appareils liés aux règles
  • Intégrité du connecteur de données (modifications et échecs)
  • Journaux d’intégrité dans l’intervalle de temps spécifié

Capture d’écran de l’onglet Connecteurs de données du classeur Affichage moniteur.

Pour configurer un connecteur de données :

  1. Sélectionnez la vue Configurer .
  2. Sélectionnez le bouton avec le nom du connecteur que vous souhaitez configurer.
  3. Configurez le connecteur dans l’écran status connecteur qui s’ouvre. Si vous ne trouvez pas le connecteur dont vous avez besoin, sélectionnez le nom du connecteur pour ouvrir la galerie de connecteurs ou la galerie de solutions. Capture d’écran de la vue Configurer du classeur.

Déployer et surveiller l’analytique et les incidents

Lorsque les données sont signalées dans l’espace de travail, configurez et surveillez les règles d’analyse. Dans le classeur déploiement et migration Microsoft Sentinel, sélectionnez l’onglet Analytique pour afficher tous les modèles et listes de règles déployés. Cette vue indique les règles actuellement utilisées et la fréquence à laquelle elles génèrent des incidents.

Capture d’écran de l’onglet Analyse du classeur.

Si vous avez besoin d’une couverture supplémentaire, sélectionnez Vérifier la couverture MITRE sous le tableau de gauche. Utilisez cette option pour définir les zones qui bénéficient d’une plus grande couverture et les règles déployées, à n’importe quelle étape du projet de migration.

Capture d’écran de la vue Couverture MITRE du classeur.

Lorsque vous déployez les règles d’analyse et que le connecteur de produit Defender est configuré pour envoyer les alertes, surveillez la création et la fréquence des incidents sous Résumé de la progression du déploiement>. Cette zone affiche des métriques concernant la génération d’alertes par produit, titre et classification, pour indiquer l’intégrité du SOC et les alertes qui nécessitent le plus d’attention. Si les alertes génèrent trop de volume, revenez à l’onglet Analyse pour modifier la logique.

Capture d’écran du résumé de la progression sous l’onglet Analyse du classeur.

Déployer et utiliser des classeurs

Pour visualiser les informations relatives à l’ingestion et aux détections de données effectuées par Microsoft Sentinel, dans le classeur déploiement et migration Microsoft Sentinel, sélectionnez Classeurs. À l’instar de l’onglet Connecteurs de données , utilisez les vues Surveiller et Configurer pour afficher les informations de surveillance et de configuration.

Voici quelques tâches utiles à effectuer sous l’onglet Classeurs :

  • Pour afficher la liste de tous les classeurs de l’environnement et le nombre de classeurs déployés, sélectionnez Surveiller.

  • Pour afficher un classeur spécifique dans le classeur déploiement et migration Microsoft Sentinel, sélectionnez un classeur, puis sélectionnez Ouvrir le classeur sélectionné.

    Capture d’écran de la sélection d’un classeur sous l’onglet Classeur.

  • Si vous n’avez pas encore déployé de classeurs, sélectionnez Configurer pour afficher la liste des classeurs couramment utilisés et recommandés. Si un classeur n’est pas répertorié, sélectionnez Accéder à la galerie de classeurs ou Accéder au hub de contenu pour déployer le classeur approprié.

    Capture d’écran de l’affichage d’un classeur à partir de l’onglet Classeur.

Déployer et surveiller des playbooks et des règles d’automatisation

Lorsque vous configurez l’ingestion, les détections et les visualisations de données, vous pouvez maintenant examiner l’automatisation. Dans le classeur Déploiement et migration Microsoft Sentinel, sélectionnez Automation pour afficher les playbooks déployés et voir quels playbooks sont actuellement connectés à une règle d’automatisation. S’il existe des règles d’automatisation, le classeur met en évidence les informations suivantes concernant chaque règle :

  • Nom
  • Statut
  • Action ou actions de la règle
  • Date de la dernière modification de la règle et de l’utilisateur qui a modifié la règle
  • Date de création de la règle

Pour afficher, déployer et tester l’automatisation dans la section actuelle du classeur, sélectionnez Déployer des ressources Automation en bas à gauche.

Découvrez les fonctionnalités Microsoft Sentinel SOAR pour les playbooks et les règles d’automatisation.

Capture d’écran de l’onglet Automation du classeur.

Déployer et surveiller l’INTERFACE UTILISATEUR

Étant donné que la création de rapports et les détections de données se produisent au niveau de l’entité, il est essentiel de surveiller le comportement et les tendances des entités. Pour activer la fonctionnalité UE B A dans Microsoft Sentinel, dans le classeur déploiement et migration Microsoft Sentinel, sélectionnez UEBA. Ici, vous pouvez personnaliser les chronologies d’entité pour les pages d’entité et afficher les tables associées aux entités qui sont remplies avec des données.

Capture d’écran de l’onglet UE B A du classeur.

Pour activer u E B A :

  1. Sélectionnez Activer UEBA au-dessus de la liste des tables.
  2. Pour activer u E B A, sélectionnez Activé.
  3. Sélectionnez les sources de données que vous souhaitez utiliser pour générer des insights.
  4. Sélectionnez Appliquer.

Une fois que vous avez activé l’INTERFACE UTILISATEUR, surveillez et vérifiez que Microsoft Sentinel génère des données u E B A.

Pour personnaliser le chronologie :

  1. Sélectionnez Personnaliser la chronologie de l’entité au-dessus de la liste des tables.
  2. Créez un élément personnalisé ou sélectionnez l’un des modèles prêtes à l’emploi.
  3. Pour déployer le modèle et terminer l’Assistant, sélectionnez Créer.

Apprenez-en davantage sur l’E UE B A ou découvrez comment personnaliser les chronologie.

Configurer et gérer le cycle de vie des données

Lorsque vous déployez ou migrez vers Microsoft Sentinel, il est essentiel de gérer l’utilisation et le cycle de vie des journaux entrants. Dans le classeur déploiement et migration Microsoft Sentinel, sélectionnez Gestion des données pour afficher et configurer la conservation et l’archivage des tables.

Capture d’écran de l’onglet Gestion des données du classeur.

Afficher les informations relatives aux éléments suivants :

  • Tables configurées pour l’ingestion de journaux de base
  • Tables configurées pour l’ingestion du niveau Analytique
  • Tables configurées pour être archivées
  • Tables sur la rétention de l’espace de travail par défaut

Pour modifier la stratégie de rétention existante pour les tables :

  1. Sélectionnez la vue Tables de rétention par défaut .
  2. Sélectionnez la table que vous souhaitez modifier, puis sélectionnez Mise à jour de la rétention. Modifiez les informations suivantes en fonction des besoins :
    • Rétention actuelle dans l’espace de travail
    • Conservation actuelle dans l’archive
    • Nombre total de jours pendant lesquels les données vivent dans l’environnement
  3. Modifiez la valeur TotalRetention pour définir un nouveau nombre total de jours pendant lesquels les données doivent exister dans l’environnement.

La valeur ArchiveRetention est calculée en soustrayant la valeur TotalRetention de la valeur InteractiveRetention . Si vous devez ajuster la rétention de l’espace de travail, la modification n’a pas d’impact sur les tables qui incluent des archives configurées et les données ne sont pas perdues. Si vous modifiez la valeur InteractiveRetention et que la valeur TotalRetention ne change pas, Azure Log Analytics ajuste la rétention de l’archive pour compenser la modification.

Si vous préférez apporter des modifications dans l’interface utilisateur, sélectionnez Mettre à jour la rétention dans l’interface utilisateur pour ouvrir la page appropriée.

Découvrez la gestion du cycle de vie des données.

Conseils et instructions sur l’activation de la migration

Pour faciliter le processus de déploiement et de migration, le classeur inclut des conseils qui expliquent comment utiliser les différents onglets et des liens vers des ressources pertinentes. Les conseils sont basés sur Microsoft Sentinel documentation de migration et sont pertinents pour votre SIEM actuel. Pour activer des conseils et des instructions, dans le classeur déploiement et migration Microsoft Sentinel, en haut à droite, définissez MigrationTips and Instruction sur Oui.

Capture d’écran des conseils et instructions de migration du classeur.

Étapes suivantes

Dans cet article, vous avez appris à suivre votre migration avec le classeur déploiement et migration Microsoft Sentinel.

  • Last updated on