Orchestration, automatisation et réponse dans le domaine de la sécurité (SOAR, Security Orchestration, Automation, and Response) dans Microsoft Sentinel
Cet article décrit les fonctionnalités d’orchestration, d’automatisation et de réponse aux incidents de sécurité (SOAR) Microsoft Sentinel, et montre comment l’utilisation de règles d’automatisation et de playbooks en réponse aux menaces de sécurité augmente l’efficacité de votre SOC et vous fait gagner du temps et des ressources.
Important
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Microsoft Sentinel comme solution SOAR
La problématique
Les équipes SIEM/SOC sont généralement submergées d’alertes de sécurité et d’incidents régulièrement, avec des volumes si conséquents que le personnel disponible est surchargé. Il en résulte trop souvent des situations où de nombreuses alertes sont ignorées et où les incidents ne peuvent pas être examinés. L’organisation reste donc vulnérable aux attaques qui passent inaperçues.
La solution
Microsoft Sentinel, en plus d’être un système d’informations de sécurité et gestion d’événements (SIEM), est également une plateforme pour l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR). Un de ses objectifs principaux est d’automatiser les tâches de mise à jour, de réponse et d’enrichissement récurrentes et prévisibles qui sont la responsabilité du centre d’opérations de sécurité et du personnel (SOC/SecOP), en libérant du temps et des ressources en vue d’une investigation plus approfondie et de la recherche de menaces avancées. L’automatisation prend plusieurs formes différentes dans Microsoft Sentinel, avec notamment des règles d’automatisation qui gèrent de manière centralisée l’automatisation de la gestion et de la réponse aux incidents, et des playbooks qui exécutent des séquences d’actions prédéterminées pour fournir une automatisation avancée, puissante et flexible à vos tâches de réponse aux menaces.
Règles d’automatisation
Les règles d’automatisation permettent aux utilisateurs de gérer de manière centralisée l’automatisation du traitement des incidents. En plus de vous permettre d’attribuer des playbooks à des incidents et des alertes, les règles d’automatisation vous permettent aussi d’automatiser des réponses pour plusieurs règles d’analyse en même temps, d’étiqueter, attribuer ou fermer automatiquement des incidents sans avoir besoin de playbooks, de créer des listes de tâches que vos analystes doivent effectuer lors du triage, de l’investigation et de la correction des incidents, et de contrôler l’ordre des actions exécutées. Les règles d’automatisation vous permettent également d’appliquer des automatisations lorsqu’un incident est mis à jour, ainsi que lors de sa création. Cette nouvelle capacité simplifient davantage l’utilisation de l’automatisation dans Microsoft Sentinel, et vous permet de simplifier des flux de travail complexes pour vos processus d’orchestration d’incident.
Pour en savoir plus, consultez cette explication complète sur les règles d’automatisation.
Playbooks
Un playbook est un ensemble logique d’actions de réponse et de correction qui peuvent être exécutées à partir de Microsoft Sentinel en tant que routine. Un playbook peut vous aider à automatiser et orchestrer votre réponse aux menaces. Il peut s’intégrer à d’autres systèmes, aussi bien internes qu’externes, et être configuré pour s’exécuter automatiquement en réponse à des alertes ou des incidents spécifiques, lorsqu’il est déclenché par une règle d’analyse ou une règle d’automatisation, respectivement. Il peut également être exécuté manuellement à la demande, en réponse aux alertes, à partir de la page Incidents.
Les playbooks dans Microsoft Sentinel sont basés sur des workflows intégrés à Azure Logic Apps, service cloud qui vous permet de planifier, d’automatiser et d’orchestrer des tâches et des workflows à travers l’entreprise. Cela signifie que les playbooks peuvent tirer parti de toute la puissance et de la personnalisation des fonctionnalités d’intégration et d’orchestration de Logic Apps, ainsi que d’outils de conception faciles à utiliser, tout en bénéficiant de l’évolutivité, de la fiabilité et du niveau de service d’un service Azure de niveau 1.
Pour en savoir plus, consultez cette explication complète sur les playbooks.
Automatisation avec la plateforme d’opérations de sécurité unifiée
Après avoir intégré votre espace de travail Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée, notez les différences suivantes en ce qui concerne le fonctionnement de l’automatisation dans votre espace de travail :
| Fonctionnalités | Description |
|---|---|
| Règles d’automatisation avec déclencheurs d’alerte | Sur la plateforme d’opérations de sécurité unifiée, les règles d’automatisation basées sur des déclencheurs d’alerte agissent uniquement sur les alertes Microsoft Sentinel. Pour plus d’informations, consultez la rubrique Création de déclencheurs d’alerte. |
| Règles d’automatisation déclenchées par un incident | Sur le portail Azure et la plateforme d’opérations de sécurité unifiée, la propriété de condition du fournisseur d’incident est supprimée, car tous les incidents ont pour fournisseur d’incidents Microsoft Defender XDR. À ce stade, toutes les règles d’automatisation existantes s’exécutent à la fois sur les incidents Microsoft Sentinel et Microsoft Defender XDR, y compris celles où la condition du fournisseur d’incident est définie uniquement sur Microsoft Sentinel ou Microsoft 365 Defender. Toutefois, les règles d’automatisation qui spécifient un nom de règle analytique spécifique s’exécuteront uniquement sur les incidents créés par la règle analytique spécifiée. Cela signifie que vous pouvez définir la propriété de condition du nom de la règle analytique sur une règle analytique qui existe uniquement dans Microsoft Sentinel pour que votre règle ne s’exécute que sur des incidents dans Microsoft Sentinel. Pour plus d’informations, consultez la rubrique Conditions de déclenchement d’incidents. |
| Changements apportés aux noms d’incidents existants | Dans la plateforme d’opérations SOC unifiée, le portail Defender utilise un moteur unique pour corréler les incidents et les alertes. Lors de l’intégration de votre espace de travail à la plate-forme d’opérations SOC unifiée, les noms d’incidents existants peuvent être modifiés si la corrélation est appliquée. Nous vous recommandons donc d’éviter d’utiliser des titres d’incidents dans vos règles d’automatisation afin de vous assurer que vos règles s’exécutent toujours correctement. |
| Mise à jour par champ | - Après l’intégration de votre espace de travail, le champ Mis à jour par possède un nouvel ensemble de valeurs prises en charge, qui n’incluent plus Microsoft 365 Defender. Dans les règles d’automatisation existantes, Microsoft 365 Defender est remplacé par une valeur Autre après l’intégration de votre espace de travail. - Si plusieurs modifications sont apportées au même incident au cours d’une période de 5 à 10 minutes, une seule mise à jour sera envoyée à Microsoft Sentinel, avec uniquement la modification la plus récente. Pour plus d’informations, consultez la rubrique Déclenchement de mise à jour de l’incident. |
| Règles d’automatisation qui ajoutent des tâches d’incident | Si une règle d’automatisation ajoute une tâche d’incident, la tâche s’affiche uniquement dans le portail Azure. |
| Règle de création d’incident Microsoft | Les règles de création d’incidents Microsoft ne sont pas prises en charge sur la plateforme d’opérations de sécurité unifiée. Pour plus d’informations, consultez Incidents Microsoft Defender XDR et règles de création d’incidents Microsoft. |
| Exécution de règles d’automatisation à partir du portail Defender | Il peut s’écouler jusqu’à 10 minutes entre le moment où une alerte est déclenchée et où un incident est créé ou mis à jour dans le portail Defender et le moment où une règle d’automatisation est exécutée. Ce décalage est dû au fait que l’incident est créé dans le portail Defender, puis transmis à Microsoft Sentinel pour la règle d’automatisation. |
| Onglet Playbooks actifs | Après l’intégration à la plateforme d’opérations de sécurité unifiée, l’onglet Playbooks actifs affiche par défaut un filtre prédéfini avec l’abonnement de l’espace de travail intégré. Ajoutez des données relatives à d’autres abonnements à l’aide du filtre d’abonnement. Pour plus d’informations, consultez la rubrique Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles de contenu. |
| Exécution manuelle de playbooks à la demande | Les procédures suivantes ne sont pas prises en charge sur la plateforme d’opérations de sécurité unifiée : - Exécuter manuellement un playbook sur une alerte - Exécuter manuellement un playbook sur une entité |
| Exécution de playbooks sur les incidents nécessite la synchronisation de Microsoft Sentinel | Si vous essayez d’exécuter un playbook sur un incident à partir de la plateforme d’opérations de sécurité unifiée et que vous voyez le Impossible d’accéder aux données associées à cette action. Actualisez l’écran en quelques minutes. message, cela signifie que l’incident n’est pas encore synchronisé avec Microsoft Sentinel. Actualisez la page d’incident après la synchronisation de l’incident pour exécuter le playbook avec succès. |
Étapes suivantes
Dans ce document, vous avez appris comment Microsoft Sentinel utilisait l’automatisation pour aider votre SOC à fonctionner de façon plus efficace et efficiente.
- Pour en savoir plus sur l’automatisation de la gestion des incidents, consultez Automatiser la gestion des incidents dans Microsoft Sentinel.
- Pour en savoir plus sur les options d’automatisation avancées, consultez Automatiser la réponse aux menaces à l’aide de playbooks dans Microsoft Sentinel.
- Pour commencer à créer des règles d’automatisation, consultez Créer et utiliser des règles d’automatisation Microsoft Sentinel pour gérer les incidents
- Pour obtenir de l’aide sur l’implémentation de l’automatisation avancée avec des playbooks, consultez Tutoriel : Utiliser des playbooks pour automatiser les réponses aux menaces dans Microsoft Sentinel.