Disponibilité générale d’Azure Sentinel : Un SIEM moderne ré-imaginé dans le cloud

Publié le 26 septembre, 2019

Director, Cloud+AI Security

Plus tôt dans la semaine, nous avons annoncé qu’Azure Sentinel était désormais mis à la disposition générale. Cela marque une étape importante dans notre parcours visant à redéfinir SIEM (Security Information and Event Management) pour l’ère du cloud. Avec Azure Sentinel, les entreprises du monde entier peuvent désormais suivre le rythme de la croissance exponentielle des données de sécurité, améliorer les résultats de la sécurité sans ajouter des ressources d’analyste et réduire les coûts matériels et opérationnels.

Avec l’aide des clients et des partenaires, y compris les commentaires provenant de plus de 12 000 essais au cours de la version préliminaire, nous avons conçu Azure Sentinel pour réunir la puissance d’Azure et de l’IA afin de permettre aux centres d’opérations de sécurité d’en faire plus. De nombreuses nouvelles fonctionnalités seront mises en ligne cette semaine. Je vais vous présenter plusieurs d’entre elles ici.

Collectez et analysez un volume quasiment illimité de données de sécurité

Avec Azure Sentinel, nous avons pour mission d’améliorer la sécurité pour l’ensemble de l’entreprise. De nombreuses sources de données Microsoft et non-Microsoft sont intégrées directement et peuvent être activées en un seul clic. De nouveaux connecteurs pour les services Microsoft comme Cloud App Security et Information Protection viennent rejoindre une liste croissante de connecteurs tiers pour faciliter plus que jamais l’ingestion et l’analyse des données de l’ensemble de votre patrimoine numérique.

Les classeurs offrent des options de visualisation riches permettant d’obtenir des informations sur vos données. Utilisez ou modifiez un classeur existant ou créez le vôtre.

image

Appliquez des analyses, y compris Machine Learning, pour détecter les menaces

Vous pouvez maintenant choisir parmi plus de 100 règles d’alerte intégrées ou utiliser le nouvel Assistant d’alerte pour créer les vôtres. Les alertes peuvent être déclenchées par un événement unique ou en fonction d’un seuil, ou en mettant en corrélation différents jeux de données (par exemple, les événements qui correspondent aux indicateurs de menace) ou en utilisant des algorithmes de Machine Learning intégrés.

image

Nous proposons en préversion deux nouvelles approches du Machine Learning qui offrent aux clients les avantages de l’intelligence artificielle sans la complexité. Tout d’abord, nous appliquons des modèles Machine Learning éprouvés et prêts à l’emploi pour identifier les connexions suspectes dans les services d’identité Microsoft afin de découvrir les accès SSH malveillants. En utilisant l’apprentissage transféré à partir de modèles Machine Learning existants, Azure Sentinel peut détecter les anomalies à partir d’un jeu de données unique avec exactitude. En outre, nous utilisons une technique de Machine Learning appelée fusion pour connecter des données à partir de plusieurs sources, comme les connexions anormales Azure AD et les activités Office 365 suspectes, pour détecter 35 menaces différentes couvrant des points différents sur la chaîne de destruction.

Accélérez la recherche des menaces, l’investigation des incidents et la réponse

La chasse proactive aux menaces est une tâche essentielle et fastidieuse pour les centres d’opérations de sécurité. Azure Sentinel rend la chasse plus facile grâce à une interface de chasse enrichie qui propose une collection croissante de requêtes de chasse, de requêtes exploratoires et de bibliothèques Python à utiliser dans les Bloc-notes Jupyter. Utilisez-les pour identifier les événements intéressants et les marquer en vue d’une référence ultérieure.

image

Les incidents (précédemment appelés cas) contiennent une ou plusieurs alertes qui nécessitent une investigation supplémentaire. Les incidents prennent désormais en charge le balisage, les commentaires et les affectations. Un nouvel Assistant Règles vous permet de décider quelles alertes Microsoft déclenchent la création d’incidents.

image

À l’aide de la nouvelle version préliminaire du graphique d’investigation, vous pouvez visualiser et parcourir les connexions entre les entités telles que les utilisateurs, les ressources, les applications ou les URL, et les activités associées, telles que les connexions, les transferts de données ou l’utilisation des applications, afin de comprendre rapidement l’étendue et impact d’un incident.

image

De nouvelles actions et de nouveaux playbooks simplifient le processus d’automatisation et de correction des incidents à l’aide d’Azure Logic Apps. Envoyez un e-mail pour valider une action de l’utilisateur, enrichissez un incident avec des données de géolocalisation, bloquez un utilisateur suspect et isolez un ordinateur Windows.

image

Développez l’expertise des membres de Microsoft et de la communauté

Le référentiel Azure Sentinel GitHub a augmenté jusqu’à plus de 400 requêtes de détection, d’exploration et de chasse, ainsi que des exemples Azure Notebooks et des bibliothèques Python, des exemples de playbooks et des analyseurs associés. La majeure partie de celles-ci ont été développées par nos chercheurs en sécurité MSTIC, en se basant sur leur vaste expérience en matière de sécurité globale et d’informations sur les menaces.

image

Prenez en charge les fournisseurs de services de sécurité gérée et les instances clientes complexes

Azure Sentinel fonctionne désormais avec Azure Lighthouse, en permettant aux clients et aux fournisseurs de services de sécurité gérée (MSSP) d’afficher Azure Sentinel pour plusieurs locataires sans avoir besoin de naviguer entre les locataires. Nous avons travaillé en étroite collaboration avec nos partenaires pour développer conjointement une solution qui répond à leurs besoins en matière de SIEM moderne. 

DXC Technology, l’un des principaux MSSP mondiaux est un excellent exemple de ce partenariat de conception :

« Grâce à notre partenariat stratégique avec Microsoft, et en tant que membre du Microsoft Security Partner Advisory Council, DXC intègre et déploie Azure Sentinel dans les solutions de cyberdéfense et les opérations de sécurité intelligentes que nous offrons à nos clients », explique Mark Hughes, vice-président senior et directeur général, Security, DXC. « Notre solution intégrée tire parti des capacités et ressources cloud natives d’Azure Sentinel pour orchestrer et automatiser de gros volumes d’incidents de sécurité, ce qui permet à nos experts en sécurité de se concentrer sur l’investigation légale des incidents et menaces à haute priorité ».

Prise en main

La prise en main est vraiment simple. Nous disposons de nombreuses informations pour vous aider, depuis une documentation de qualité jusqu’à la connexion avec nous via Yammer et les e-mails.

Le jeudi 26 septembre à 10 h (heure du Pacifique), participez à un webinaire pour en savoir plus sur ces innovations et voir des exemples concrets de la façon dont Azure Sentinel a permis de détecter les menaces précédemment non découvertes.

Et ensuite ?

Azure Sentinel est notre plateforme SOC du futur, et nous continuerons à la faire évoluer pour mieux répondre aux besoins de sécurité du monde complexe dans lequel nous vivons. Gardons le contact :