Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Preview de la création et exécution playbooks sur des entités à la demande. Les analystes SOC peuvent désormais prendre des mesures immédiates sur une entité particulière représentant un acteur de la menace, alors qu'ils sont en train d'enquêter sur un incident ou de faire la chasse aux menaces, sans quitter ces contextes ou devoir pivoter vers d'autres écrans ou apps. De même, les ingénieurs SOC peuvent désormais encapsuler une série d'actions automatisées dans des flux de travail qui s'exécutent sur une entité spécifique, afin que les analystes puissent utiliser ces flux de travail dans les scénarios ci-dessus. Ces améliorations de l'efficacité et de la productivité des SOC sont dues au nouveau déclencheur d'entité pour les playbooks.
- Preview de la personnalisation de plus de propriétés d'alerte. Par défaut, les alertes générées par une règle d'analyse donnée - et tous les incidents créés en conséquence - héritent du nom, de la description, de la gravité et des tactiques définis dans la règle, sans tenir compte du contenu particulier d'une instance spécifique de l'alerte. Il existe maintenant neuf autres propriétés d'alerte qui peuvent être personnalisées pour remplacer leurs valeurs par défaut.
Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs