Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- J’en parlais le mois dernier de la disponibilité Générale des tâches d’incidents, qui vous aident à normaliser vos pratiques d'investigation et de réponse aux incidents afin de gérer plus efficacement le flux de travail lié aux incidents.
- Preview de la solution Microsoft Sentinel pour Microsoft Power Platform vous permettant de surveiller et de détecter les activités suspectes ou malveillantes dans votre environnement Power Platform. La solution recueille les journaux d'activité des différents composants de Power Platform et les données d'inventaire. Elle analyse ces journaux d'activité pour détecter les menaces et les activités suspectes telles que les activités suivantes :
- Exécution de Power Apps à partir de zones géographiques non autorisées
- Destruction suspecte de données par les Power Apps
- Suppression massive de Power Apps
- Attaques par hameçonnage rendues possibles par les Power Apps
- Activité des flux Power Automate par les employés qui quittent l'entreprise
- Ajout de connecteurs Microsoft Power Platform dans l'environnement
- Mise à jour ou suppression des politiques de prévention des pertes de données de Microsoft Power Platform
- Vous pouvez désormais ingérer (en Preview) des journaux à partir du Google Security Command Center, en utilisant le nouveau connecteur basé sur Google Cloud Platform (GCP) Pub/Sub.
- CrowdStrike Falcon Data Replicator V2 Data Connector est maintenant disponible. Le connecteur s'appuie sur un backend Azure Function pour interroger et ingérer les logs CrowdStrike FDR à grande échelle. Voici quelques-uns des avantages offerts par ce nouveau connecteur de données V2 :
- Amélioration de la mise à l'échelle en fonction du volume de données - maintien de la performance de l'ingestion à un niveau élevé.
- Plus d'ingestion de données avec le plan de consommation, ce qui permet d'optimiser les coûts.
- Normalisation du temps d'ingestion au modèle de données ASIM, permettant aux clients d'utiliser diverses solutions normalisées et le contenu associé (analyse, chasse, classeurs).
- L'analyse des requêtes est plus rapide car les données sont réparties dans plusieurs tables en fonction de la catégorie d'événement (réseau, authentification, fichier, DNS, etc.).
- Les données secondaires de CrowdStrike (comme appinfo, assetinfo, userinfo, etc.) peuvent également être ingérées.
- Il supporte l'ingestion de logs bruts en plus des logs normalisés (à des fins de conformité si nécessaire).
- Les nouveaux connecteurs de données prenant en charge l'AMA seront disponibles dans le Content Hub de Sentinel en juin 2024.
- Pour les sources de données qui utilisent actuellement l'agent MMA, de nouveaux connecteurs prenant en charge AMA seront disponibles dans le Microsoft Sentinel Content Hub.
- Ces connecteurs s'appuieront sur les DCR pour l'ingestion des journaux.
- Une nouvelle étiquette "Recommandé" sera visible pour mettre en évidence les nouveaux connecteurs dans le Content Hub.
- Les anciens connecteurs seront étiquetés "Deprecated".
- Compatibilité ascendante totale pour les solutions mises à jour : Parsers, Analytic Rules, Workbooks, etc.
- Tous les changements dans les modèles de contenu seront disponibles avec les mises à jour des solutions, de sorte que tous les clients devront mettre à jour les solutions concernées pour obtenir ces nouveaux modèles déployés dans le Content Hub lorsqu'ils seront disponibles.
- Les événements DNS Windows via le connecteur AMA sont désormais disponibles (GA)
- Les connecteurs de données AWS et GCP prennent désormais en charge les clouds gouvernementaux Azure.
Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs
