Automatisation dans Microsoft Sentinel : orchestration, automatisation et réponse dans le domaine de la sécurité (SOAR)

Les équipes SIEM (Security Information and Event Management) et SOC (Security Operations Center) sont généralement inondées d’alertes et d’incidents de sécurité régulièrement, à des volumes si volumineux que le personnel disponible est submergé. Il en résulte trop souvent des situations où de nombreuses alertes sont ignorées et où les incidents ne peuvent pas être examinés. L’organisation reste donc vulnérable aux attaques qui passent inaperçues.

Microsoft Sentinel, en plus d’être un système SIEM, est également une plateforme pour l’orchestration, l’automatisation et la réponse dans le domaine de la sécurité (SOAR). Un de ses objectifs principaux est d’automatiser les tâches d’enrichissement, de réponse et de correction récurrentes et prévisibles qui sont la responsabilité du centre d’opérations de sécurité et du personnel (SOC/SecOps), en libérant du temps et des ressources en vue d’une investigation plus approfondie et de la chasse aux menaces avancées.

Cet article décrit les fonctionnalités SOAR de Microsoft Sentinel et montre comment utiliser des règles d’automatisation et des playbooks en réponse aux menaces de sécurité augmente l’efficacité de votre SOC et vous permet de gagner du temps et des ressources.

Important

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Règles d’automatisation

Microsoft Sentinel utilise des règles d’automatisation pour permettre aux utilisateurs de gérer l’automatisation du traitement des incidents à partir d’un emplacement central. Utilisez des règles d’automatisation pour :

  • Affecter une automatisation plus avancée aux incidents et aux alertes, à l’aide de playbooks
  • Étiqueter, affecter ou fermer automatiquement des incidents sans playbook
  • Automatiser les réponses pour plusieurs règles d’analyse simultanément
  • Créez des listes de tâches à effectuer pour vos analystes lors du tri, de l’examen et de la correction des incidents
  • Contrôler l’ordre des actions exécutées

Nous vous recommandons d’appliquer des règles d’automatisation lorsque des incidents sont créés ou mis à jour pour simplifier davantage l’automatisation et les flux de travail complexes pour vos processus d’orchestration des incidents.

Pour plus d’informations, consultez Automatisation de la réponse dans Microsoft Sentinel via l’automatisation des règles.

Playbooks

Un playbook est un ensemble logique d’actions de réponse et de correction qui peuvent être exécutées à partir de Microsoft Sentinel en tant que routine. Un playbook peut :

  • Vous aider à automatiser et orchestrer votre réponse aux menaces
  • Intégration à d’autres systèmes (internes et externes)
  • Être configuré pour s’exécuter automatiquement en réponse à des alertes ou incidents spécifiques, ou manuellement à la demande, par exemple en réponse à de nouvelles alertes

Dans Microsoft Sentinel, les playbooks sont basés sur des workflows intégrés à Azure Logic Apps, un service cloud qui vous permet de planifier, d’automatiser et d’orchestrer des tâches et des flux de travail à travers l’entreprise. Cela signifie que les playbooks peuvent tirer parti de toute la puissance et de la personnalisation des fonctionnalités d’intégration et d’orchestration de Logic Apps, ainsi que d’outils de conception faciles à utiliser, tout en bénéficiant de l’évolutivité, de la fiabilité et du niveau de service d’un service Azure de niveau 1.

Pour plus d’informations, consultez Automatisation de la réponse aux menaces avec des playbooks dans Microsoft Sentinel.

Automatisation avec la plateforme d’opérations de sécurité unifiée

Après avoir intégré votre espace de travail Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée, notez les différences suivantes en ce qui concerne le fonctionnement de l’automatisation dans votre espace de travail :

Fonctionnalités Description
Règles d’automatisation avec déclencheurs d’alerte Sur la plateforme d’opérations de sécurité unifiée, les règles d’automatisation basées sur des déclencheurs d’alerte agissent uniquement sur les alertes Microsoft Sentinel.

Pour plus d’informations, consultez la rubrique Création de déclencheurs d’alerte.
Règles d’automatisation déclenchées par un incident Sur le portail Azure et la plateforme d’opérations de sécurité unifiée, la propriété de condition du fournisseur d’incident est supprimée, car tous les incidents ont pour fournisseur d’incidents Microsoft Defender XDR (la valeur dans le champ ProviderName).

À ce stade, toutes les règles d’automatisation existantes s’exécutent à la fois sur les incidents Microsoft Sentinel et Microsoft Defender XDR, y compris celles où la condition du fournisseur d’incident est définie uniquement sur Microsoft Sentinel ou Microsoft 365 Defender.

Toutefois, les règles d’automatisation qui spécifient un nom de règle d’analyse spécifique s’exécutent uniquement sur les incidents contenant des alertes créées par la règle d’analyse spécifiée. Cela signifie que vous pouvez définir la propriété de condition du nom de la règle analytique sur une règle analytique qui existe uniquement dans Microsoft Sentinel pour que votre règle ne s’exécute que sur des incidents dans Microsoft Sentinel.

Pour plus d’informations, consultez la rubrique Conditions de déclenchement d’incidents.
Changements apportés aux noms d’incidents existants Dans la plateforme d’opérations SOC unifiée, le portail Defender utilise un moteur unique pour corréler les incidents et les alertes. Lors de l’intégration de votre espace de travail à la plate-forme d’opérations SOC unifiée, les noms d’incidents existants peuvent être modifiés si la corrélation est appliquée. Pour vous assurer que vos règles d’automatisation s’exécutent toujours correctement, nous vous recommandons d’éviter d’utiliser les titres des incidents comme critères de condition dans vos règles d’automatisation. Nous vous suggérons plutôt d’utiliser le nom de la règle d’analyse ayant créé les alertes incluses dans l’incident, ainsi que des balises si vous devez être plus spécifique.
Mise à jour par champ
  • Après l’intégration de votre espace de travail, le champ Mis à jour par possède un nouvel ensemble de valeurs prises en charge, qui n’incluent plus Microsoft 365 Defender. Dans les règles d’automatisation existantes, Microsoft 365 Defender est remplacé par une valeur Autre après l’intégration de votre espace de travail.

  • Si plusieurs modifications sont apportées au même incident au cours d’une période de 5 à 10 minutes, une seule mise à jour sera envoyée à Microsoft Sentinel, avec uniquement la modification la plus récente.

    Pour plus d’informations, consultez la rubrique Déclenchement de mise à jour de l’incident.
  • Règles d’automatisation qui ajoutent des tâches d’incident Si une règle d’automatisation ajoute une tâche d’incident, la tâche s’affiche uniquement sur le Portail Azure.
    Règle de création d’incident Microsoft Les règles de création d’incidents Microsoft ne sont pas prises en charge sur la plateforme d’opérations de sécurité unifiée.

    Pour plus d’informations, consultez Incidents Microsoft Defender XDR et règles de création d’incidents Microsoft.
    Exécution de règles d’automatisation à partir du portail Defender Il peut s’écouler jusqu’à 10 minutes entre le moment où une alerte est déclenchée et où un incident est créé ou mis à jour dans le portail Defender et le moment où une règle d’automatisation est exécutée. Ce décalage est dû au fait que l’incident est créé dans le portail Defender, puis transmis à Microsoft Sentinel pour la règle d’automatisation.
    Onglet Playbooks actifs Après l’intégration à la plateforme d’opérations de sécurité unifiée, l’onglet Playbooks actifs affiche par défaut un filtre prédéfini avec l’abonnement de l’espace de travail intégré. Sur le Portail Azure, ajoutez des données pour d’autres abonnements à l’aide du filtre d’abonnement.

    Pour plus d’informations, consultez la rubrique Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles de contenu.
    Exécution manuelle de playbooks à la demande Les procédures suivantes ne sont actuellement pas prises en charge sur la plateforme d’opérations de sécurité unifiée :
  • Exécuter manuellement un playbook sur une alerte
  • Exécuter manuellement un playbook sur une entité
  • Exécution de playbooks sur les incidents nécessite la synchronisation de Microsoft Sentinel Si vous essayez d’exécuter un guide opérationnel sur un incident à partir de la plateforme d’opérations de sécurité unifiée et que vous voyez le message « Impossible d’accéder aux données associées à cette action. Actualisez l’écran en quelques minutes. », cela signifie que l’incident n’est pas encore synchronisé avec Microsoft Sentinel.

    Actualisez la page d’incident après la synchronisation de l’incident pour exécuter le guide opérationnel avec succès.
    Incidents : ajout d’alertes à des incidents /
    Suppression des alertes des incidents
    Étant donné que l’ajout d’alertes ou la suppression d’alertes dans des incidents n’est pas pris en charge après l’intégration de votre espace de travail à la plateforme d’opérations de sécurité unifiée, ces actions ne sont pas non plus prises en charge dans les playbooks. Pour plus d’informations, voir Différences de capacités entre les portails.