Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

  • Disponibilité Générale de Microsoft Sentinel Solution for SAP. Celle-ci est gratuite jusqu’en février 2023 où un coût additionnel sera ajouté sur celui de l’ingestion de données.
  • Des nouveautés sont apportées sur la Threat intelligence incluant :
    • Microsoft threat intelligence matching analytics : Cette règle analytique fait correspondre vos logs avec la Threat Intelligence de Microsoft et génère des alertes et des incidents de haute fidélité avec une gravité appropriée en fonction du contexte du log. Par exemple, si une correspondance est reçue avec des journaux de pare-feu et qu'il s'agit de trafic "autorisé", une gravité élevée est attribuée à l'incident et s'il s'agit de trafic "bloqué", une faible gravité est attribuée à l'incident. Une fois qu'une correspondance est générée, l'indicateur est publié dans le référentiel de threat intelligence dans Microsoft Sentinel.
    • Il est maintenant possible d’importer des indicateurs à partir d’un fichier plat en CSV ou JSON.
  • Preview de la page d’entité pour les ressources Azure, conçue pour aider le SOC à enquêter sur les incidents impliquant des ressources Azure dans l’environnement, à rechercher des attaques potentielles et à évaluer les risques. Elle fournit quelques détails de base sur la ressource : où elle se trouve, quand elle a été créée, à quel groupe de ressources elle appartient, les balises Azure qu'elle contient, etc. Ensuite, elle fournit des informations sur la gestion des accès : combien de propriétaires, de contributeurs et d'autres rôles sont autorisés à accéder à la ressource, et quels réseaux peuvent y accéder ; quel est le modèle d'autorisation de Key Vault, l'accès public aux blobs est-il autorisé dans le compte de stockage, etc. Enfin, la page comprend également certaines intégrations, telles que Microsoft Defender for Cloud, Defender for Endpoint et Purview, qui enrichissent les informations sur la ressource.
  • Preview de nouvelles sources de données pour User and entity behavior analytics (UEBA) avec maintenant les événements de sécurité suivants :
    • 4625: An account failed to log on.
    • 4648: A logon was attempted using explicit credentials.
    • 4672: Special privileges assigned to new logon.
    • 4688: A new process has been created.
  • Nouvelle solution SOC Process Framework dans le Content Hub permettant de construire un Framework de procédures et processus standards pour le SOC

 

Note : Microsoft a partagé une solution permettant d’ingérer des données de démonstration dans Sentinel.

Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs

Facebook Like