Microsoft a introduit un ensemble de nouveautés dans Azure Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Public Preview du connecteur Microsoft 365 Defender pour Azure Sentinel. Ceci permet l’ingestion des données brutes d’événements provenant de Microsoft 365 Defender et tous les services sous-jacents : Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office, etc.
- Il est désormais possible de sélectionner plusieurs playbooks pour une règle d’analyse. Ceci permet donc de lancer plusieurs actions d’automatisation selon vos besoins (par exemple avec la création d’un ticket dans l’outil d’helpdesk, l’ajout d’un IoC à un outil, le blocage d’un compte, etc.)
- On retrouve un nouveau Workbook de sécurité autour d’Azure Kubernetes Services (AKS) donnant la visibilité sur la création des conteurs, les opérations sur les secrets dans les clusters, les bindings des cluster-admin, et les images avec plusieurs alertes de sécurité.
- Mise à jour du connecteur Logic Apps d’Azure Sentinel avec les éléments suivants :
- Une seule action Update Incident remplace les actions: Change Incident Severity, Change Incident Status, Change Incident Title, Change Incident Description, Add/Remove Labels. Ces actions fonctionnent toujours dans les anciens playbooks mais Microsoft pourra un jour les supprimer de la galerie.
- L’action Update Incident permet maintenant d’assigner un propriétaire à un incident. Vous pouvez alors renseigner un Object ID ou un UPN.
- L’action Add Comment to Incident a été mis à jour pour inclure l’éditeur HTML.
- Précédemment, il y avait 4 champs permettant d’identifier un incident à mettre à jour. Il existe maintenant un seul champ Incident ARM ID qui peut être utilisé.
- Get-Incident utilise maintenant la mise à jour de l’API Sentinel. Les actions en entrée n’ont pas changée mais les réponses fournies pour chaque contenu sont plus riches.
- Les actions Alert – Get IPs/Accounts/URLs/Hosts/Filehashes ont été changes en Entities - Get IPs/Accounts/URLs/Hosts/Filehashes.
Notez que les playbooks existants ne sont pas affectés par ces changements.
- Mise à jour du connecteur CEF d’Azure Sentinel et notamment la ligne de commande d’installation qui devient : sudo wget -O cef_installer.py. Par conséquent, cette version supporte CentOS 8, RedHat 8, SUSE Linux 15. Le support de Python version 3 a aussi été ajouté.
- Un Workbook Playbooks health monitoring permet d’obtenir l’état de santé des playbooks.
On retrouve aussi un très bon article sur l’utilisation d’Azure Data Explorer pour garder plusieurs années de rétention : Using Azure Data Explorer for long term retention of Azure Sentinel logs - Microsoft Tech Community
Enfin, Forrester a publié une étude mandatée par Microsoft pour évaluer le ROI de la solution : Forrester TEI study: Azure Sentinel delivers 201 percent ROI over 3 years and a payback of less than 6 months - Microsoft Security
