Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Preview permettant d’exporter les règles d'automatisation vers des fichiers modèles Azure Resource Manager (ARM) et importer des règles à partir de ces fichiers afin de faire de l’Infrastructure as Code. L'action d'exportation créera un fichier JSON dans l'emplacement de téléchargement de votre navigateur, que vous pouvez ensuite renommer, déplacer et manipuler comme n'importe quel autre fichier.
- Preview du support de Microsoft Sentinel dans la gestion multitenant de Microsoft Defender. Seul un espace de travail Microsoft Sentinel par tenant est actuellement pris en charge dans la plateforme d'opérations de sécurité unifiée de Microsoft. Ainsi, la gestion multitenant de Microsoft Defender affiche les données de gestion des informations et des événements de sécurité (SIEM) d'un espace de travail Microsoft Sentinel par tenant.
- Preview du connecteur de données pour Microsoft Defender Threat Intelligence Premium.
- Avec le retrait imminent de l'agent Log Analytics, Microsoft Sentinel a consolidé la collecte et l'ingestion des messages de journal syslog, CEF et de format personnalisé en trois connecteurs de données polyvalents basés sur l'agent Azure Monitor (AMA) :
- Syslog via AMA, pour tout périphérique dont les journaux sont ingérés dans la table Syslog dans Log Analytics.
- Common Event Format (CEF) via AMA, pour tout dispositif dont les journaux sont ingérés dans la table CommonSecurityLog dans Log Analytics.
- Preview des journaux personnalisés via AMA, pour n'importe lequel des 15 types de périphériques, ou n'importe quel périphérique non répertorié, dont les journaux sont ingérés dans des tables personnalisées dont les noms se terminent par _CL dans Log Analytics.
- Microsoft a amélioré le schéma de la table SecurityEvent qui héberge les événements de sécurité Windows, et Microsoft a ajouté de nouvelles colonnes pour assurer la compatibilité avec l'Azure Monitor Agent (AMA) pour Windows (version 1.28.2). Ces améliorations sont conçues pour accroître la visibilité et la transparence des événements Windows collectés. Si vous ne souhaitez pas recevoir de données dans ces champs, vous pouvez appliquer une transformation au moment de l'ingestion ("project-away" par exemple) pour les supprimer.
- Preview du nouveau plan de rétention des journaux auxiliaires pour les tables Log Analytics vous permet d'ingérer de grandes quantités de journaux à fort volume avec une valeur supplémentaire pour la sécurité à un coût beaucoup plus bas. Les journaux auxiliaires sont disponibles avec une rétention interactive de 30 jours, au cours de laquelle vous pouvez exécuter des requêtes simples sur une seule table, par exemple pour résumer et agréger les données. Après cette période de 30 jours, les données des journaux auxiliaires sont conservées à long terme, pour une durée pouvant aller jusqu'à 12 ans, à un coût très faible. Ce plan vous permet également d'exécuter des tâches de recherche sur les données conservées à long terme, en extrayant uniquement les enregistrements souhaités dans une nouvelle table que vous pouvez traiter comme une table Log Analytics classique, avec toutes les fonctionnalités d'interrogation.
- Preview de la création des règles de résumé dynamiques dans Microsoft Sentinel en utilisant les règles de résumé d’Azure Monitor qui agrègent de grands ensembles de données en arrière-plan afin d'améliorer la fluidité des opérations de sécurité sur tous les niveaux de journalisation.
Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs