Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Microsoft a annoncé un changement dans le prix d’Azure Sentinel et d’Azure Monitor Log Analytics permettant des économies.
- Le nom des réservations a changé pour Commitment tiers (niveau d’engagement).
- On retrouve aussi de nouveaux niveaux d’ingestion : 1 TB/Day, 2 TB/Day, et 5 TB/Day.
- Outre ces niveaux, Microsoft change la façon dont les données ingérées au-delà des réservations seront facturées en utilisant le taux du niveau d’engagement effectif au lieu d’une facturation pay-as-you-go.
- Le module PowerShell Azure Sentinel (Az.SecurityInsights) est en disponibilité Générale afin de vous permettre de réaliser vos tâches opérationnelles sur les incidents, la création ou la configuration de règles d’analyse, de connecteurs ou de bookmarks. Vous pouvez le télécharger à partir de ce lien et accéder à la documentation à partir de ce lien.
- Plus de 15 nouveaux connecteurs de données ont été ajoutés incluant : Zscaler ZPA, Cognni, Cyberpion Security Logs, Darktrace, Forcepoint Cloud Security Gateway, Morphisec UTPP, NXLog BSM MacOS, WatchGuard, Apache Tomcat, Atlassian, Exabeam User Behavior Analytics, NGINX http Server, Oracle WebLogic Server, OSSEC, SentineOne, Workplace from Facebook, et Zoom.
- Preview d’un nouveau connecteur Windows Security Events permettant de filtrer les événements collectés. Ceci est particulièrement intéressant pour limiter le coût d’ingestion.
- Les Watchlist d’Azure Sentinel supporte les modèles ARM. Voici par exemple un exemple permettant d’importer toutes les adresses IP Global Azure : How to Deploy the Azure Global IP Services List to an Azure Sentinel Watchlist – Azure Cloud & AI Domain Blog (azurecloudai.blog)
- L’interface des Watchlists a été mis à jour avec les éléments suivants permettant de :
- Ajouter de nouveaux éléments de Watchlists ou mettre à jour les éléments existants.
- Sélectionner et mettre à jour plusieurs éléments de Watchlists à la fois via Excel.
- Ajouter/supprimer des colonnes dans l'interface utilisateur de mise à jour de Watchlists pour une meilleure utilisation.
- Microsoft a annoncé une intégration avancée entre Azure Sentinel et Azure Firewall pour surveiller et visualiser des activités d’Azure Firewall, de détecter les menaces et exploiter les capacités d'investigation assistées par l'IA, et d’automatiser la réponse et la corrélation avec d'autres sources.
- Microsoft permet maintenant la personnalisation de la chronologie de la page d’entité. Azure Sentinel peut désormais corréler les données de n'importe quelle table à une entité spécifique, et ces données apparaîtront dans la page de l'entité.
- Microsoft a ajouté ou mis à jour des règles d’analyse pour fonctionner avec le modèle d’information Azure Sentinel (ASIM) (qui s’aligne sur Open-Source Security Events Metadata) lui-même retravaillé pour DNS.
- On retrouve un nouveau notebook intégré permettant de détecter les fuites d’identifiants s’ils sont mal stockés dans Azure Log Analytics, Azure Data Explorer ou Azure Blob Storage.
- Une nouvelle capacité en Preview permet de grouper les alertes par tous les types d’entités V3, custom fields, par sévérité dynamique et état. Vous pouvez accéder à l’option depuis la page Incident Settings de l’assistant de règle d’analyse.
