Je vous propose un article assez ancien mais qui mérite d’être lu si vous souhaitez mettre en œuvre Azure Sentinel. L’article se focalise sur le déploiement et la gestion de la solution en mode « as Code ». Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.
L’article explique comment automatiser les différents composants :
- L’onboarding
- Les règles d’alerte
- Les requêtes d’investigation (Hunting)
- Les playbooks
- Les workbooks
- Les connecteurs
Je vous invite à lire Deploying and Managing Azure Sentinel as Code
